Une société (« la cliente ») spécialisée dans la fabrication de portails a confié à un prestataire informatique (« le prestataire ») le soin de renouveler son infrastructure informatique vieillissante et obsolète. Un contrat de prestations de services est signé entre les parties pour un budget de presque 200.000 euros, comprenant quatre phases : (1) la gestion de projet, (2) la configuration et le test, (3) l’installation du matériel, (4) la rédaction de livrables et la recette finale.
Quelques mois après l’installation de la nouvelle infrastructure, la cliente est victime d’une cyber-attaque par rançongiciel. Les attaquants chiffrent l’intégralité du système d’information de la cliente, comprenant toutes ses données administratives, clientes, bancaires, dont des données personnelles. La restauration du système dure 3 mois et met l’activité de l’entreprise partiellement à l’arrêt, en raison d’un système de sauvegarde non déconnecté ne permettant pas une restauration des données sous 2 à 3 jours, et à un active directory mal configuré et peu protégé.
La cliente assigne le prestataire pour manquement à ses obligations de conseil, d’information et de mise en garde, et demande l’indemnisation de ses préjudices sur le fondement de la perte de chance d’éviter l’attaque. Le tribunal de commerce de Nantes déboute la cliente, laquelle interjette appel devant la Cour d’appel de Rennes.
Cet arrêt est dans la droite lignée de la reconnaissance d’une obligation des prestations informatiques de conseiller, informer et mettre en garde leurs clients.
La cliente a chiffré ses préjudices à hauteur de presque 500.000 euros, mais n’obtiendra qu’une somme forfaitaire de 50.000 euros pour indemnisation de sa perte de chance d’éviter la cyber attaque, dont l’origine se tire des manquements du prestataire du défaut d’information, de conseil et de mise en garde sur le renouvellement de son infrastructure souffrant de nombreuses failles de sécurité.
Cet arrêt démontre l’importance de bien préparer ses projets informatiques et de se faire accompagner par des professionnels, afin d’au mieux éviter les risques, et au pire être bien protégés.
