Les cyberattaques peuvent pousser des entreprises à l'insolvabilité en quelques heures. Quand une attaque par rançongiciel déclenche-t-elle l'obligation de déposer le bilan selon le § 15a InsO – et comment les dirigeants se protègent-ils de la responsabilité personnelle ?
Une cyberattaque comme menace existentielle
En juillet 2021, le district d’Anhalt-Bitterfeld est devenu la première collectivité allemande à déclarer l’état de catastrophe en raison d’une cyberattaque. Pendant plus de six mois, les systèmes informatiques ont été largement paralysés, les coûts s’élevant à environ 2,5 millions d’euros. Ce qui était dramatique mais surmontable pour une collectivité publique peut signifier la fin pour une entreprise privée : la cyber-insolvabilité.
Ce terme désigne les cas où une cyberattaque – généralement par rançongiciel – perturbe si massivement les opérations qu’une entreprise devient incapable de payer ses dettes et doit déposer le bilan. Le nombre de ces cas augmente. L’Office fédéral de la sécurité des technologies de l’information (BSI) a enregistré en moyenne 119 nouvelles vulnérabilités par jour dans son rapport 2025 – une augmentation de 24 pour cent par rapport à l’année précédente.
Cas emblématiques : de Maersk à Südwestfalen
Maersk et NotPetya : 300 millions de dollars de dommages
Le cas le plus célèbre de cyber-catastrophe a frappé le géant logistique danois A.P. Møller-Maersk en 2017. Le logiciel malveillant NotPetya a chiffré la quasi-totalité de l’infrastructure informatique en quelques heures – 49 000 ordinateurs portables et 3 500 serveurs dans 130 pays. Maersk, qui traite environ 20 pour cent du commerce mondial de conteneurs, a été inopérant pendant plusieurs jours. Le montant total des dommages s’est élevé à environ 300 millions de dollars américains. Seule une sauvegarde conservée par hasard au Ghana a permis la restauration. Une entreprise disposant de moins de réserves n’aurait pas survécu.
Südwestfalen-IT : 103 communes hors ligne
En octobre 2023, une attaque par rançongiciel contre Südwestfalen-IT (SIT) a paralysé l’infrastructure informatique de plus de 100 communes de Rhénanie-du-Nord-Westphalie. Les centres de services aux citoyens ne pouvaient plus délivrer de pièces d’identité, les bureaux d’immatriculation de véhicules étaient à l’arrêt et les prestations sociales ne pouvaient pas être versées. La restauration a pris plus de onze mois. Fait marquant : le conseil d’administration de la SIT avait voté à l’unanimité contre la souscription d’une cyber-assurance quelques semaines seulement avant l’attaque.
PME allemandes : Fasana et Einhaus
Le Mittelstand allemand est particulièrement vulnérable. Le fabricant de serviettes Fasana d’Euskirchen a dû déposer le bilan en 2024 après une attaque par rançongiciel – dès le premier jour, des commandes d’une valeur supérieure à 250 000 euros n’ont pu être exécutées, et les pertes de chiffre d’affaires au cours des deux semaines suivantes se sont élevées à environ deux millions d’euros. Le groupe Einhaus de Hamm, autrefois premier assureur électronique d’Allemagne, a connu un sort similaire après une attaque du groupe de rançongiciel « Royal ».
Quand une cyberattaque déclenche-t-elle l’obligation de déposer le bilan ?
Incapacité de paiement par interruption d’activité
La question centrale pour les dirigeants concernés est : quand une perturbation informatique devient-elle une obligation au titre du droit de l’insolvabilité ? Selon le § 15a InsO, les gérants d’une GmbH doivent déposer une demande d’insolvabilité sans retard fautif, et au plus tard dans les trois semaines suivant la survenance de l’incapacité de paiement.
L’incapacité de paiement au sens du § 17 InsO existe lorsque l’entreprise n’est pas en mesure de remplir ses obligations de paiement échues. Le standard IDW S 11 précise qu’un simple défaut de paiement – c’est-à-dire un déficit temporaire de liquidité inférieur à dix pour cent qui peut être résorbé dans les trois semaines – n’est pas encore suffisant.
Cependant, une attaque par rançongiciel peut rapidement dépasser ce seuil :
- Arrêt de production : lorsque les systèmes informatiques sont chiffrés, de nombreuses entreprises ne peuvent ni produire, ni livrer, ni facturer
- Défaillances de paiement : les systèmes bancaires en ligne et de comptabilité sont bloqués ; les salaires et factures fournisseurs échus ne peuvent être réglés
- Fuite des clients : les grands clients résilient leurs contrats lorsque les délais de livraison ne sont pas respectés
- Coûts de restauration : l’analyse forensique et la reconstruction de l’informatique absorbent des ressources considérables
Le délai de trois semaines en pratique
Le délai du § 15a InsO commence objectivement au moment de la survenance de l’incapacité de paiement – et non seulement lorsque le dirigeant en prend conscience. En pratique, la recommandation est donc : réaliser immédiatement une analyse de liquidité après une cyberattaque grave. Documentez en permanence l’état de la capacité de paiement et sollicitez sans délai un conseil juridique.
Le surendettement comme motif d’insolvabilité supplémentaire
Outre l’incapacité de paiement, un surendettement (§ 19 InsO) peut également exister lorsque les dettes dépassent les actifs et qu’un pronostic positif de continuité n’est plus possible. Une cyberattaque peut massivement altérer le pronostic de continuité, par exemple si des données clients essentielles sont irrémédiablement perdues ou si la confiance des partenaires commerciaux est détruite.
Responsabilité des dirigeants : quand l’attaque devient un risque personnel
Devoir de diligence selon le § 43 GmbHG
Selon le § 43 GmbHG, les gérants doivent faire preuve de la diligence d’un homme d’affaires prudent. Selon l’opinion dominante, ce devoir englobe également la sécurité informatique. Un gérant qui n’implémente pas de mesures de cybersécurité adéquates risque une responsabilité personnelle envers la société.
La responsabilité peut se concrétiser par :
- Défaut d’investissement dans la sécurité informatique malgré un paysage de menaces connu
- Absence de plans d’urgence (Business Continuity Management)
- Absence d’assurance : renoncer délibérément à une cyber-assurance peut constituer un fondement de responsabilité
- Réaction tardive après une attaque, notamment pour le dépôt de bilan
Le dépôt tardif de bilan comme infraction pénale
Si la demande d’insolvabilité est déposée tardivement après une cyberattaque, le dirigeant encourt non seulement une responsabilité civile, mais également des poursuites pénales pour dépôt tardif de bilan (§ 15a al. 4 InsO). La peine : emprisonnement jusqu’à trois ans ou amende. La simple négligence suffit.
Cyber-assurance : une protection avec des lacunes
Le marché de la cyber-assurance en Allemagne connaît une croissance rapide – l’Allemagne détient la plus grande part de marché en Europe avec 24,4 pour cent. Cependant, la cyber-assurance n’est pas une panacée :
- Taux de refus élevés : près d’une demande sur trois est désormais rejetée, les assureurs imposant des exigences plus strictes en matière de sécurité informatique
- Lacunes de couverture : de nombreuses polices ne couvrent pas l’intégralité des pertes d’exploitation, en particulier les bénéfices perdus sur de longues périodes
- Obligations de l’assuré : si les normes de sécurité convenues ne sont pas respectées, l’assureur peut refuser de payer
- Plafonds de garantie : les montants de couverture sont souvent insuffisants pour une attaque menaçant l’existence de l’entreprise
Néanmoins, une cyber-assurance adéquate constitue un élément essentiel de la stratégie de gestion des risques et peut faire la différence entre une restructuration et une insolvabilité en cas d’urgence.
Mesures préventives : ce que les entreprises doivent faire maintenant
Business Continuity Management selon le standard BSI 200-4
Le BSI a publié un guide pratique pour le Business Continuity Management (BCM) avec le Standard 200-4. Les mesures suivantes sont centrales pour la cyber-résilience :
- Analyse d’impact sur l’activité : identifiez les processus critiques et leur dépendance aux systèmes informatiques
- Plans d’urgence : créez des plans documentés pour fonctionner sans informatique – au minimum pour les processus essentiels
- Stratégie de sauvegarde : appliquez la règle 3-2-1 (trois copies, deux types de supports, une copie externe) avec des tests de restauration réguliers
- Équipe de réponse aux incidents : définissez les rôles et responsabilités pour les situations de crise – y compris les prestataires forensiques externes et les conseillers juridiques
Mesures techniques et organisationnelles
- Segmentation du réseau : empêchez la propagation latérale des logiciels malveillants
- Authentification multi-facteurs : protégez en particulier les accès privilégiés et les connexions VPN
- Formation des collaborateurs : 90 pour cent de toutes les cyberattaques commencent par du phishing – des formations régulières de sensibilisation sont indispensables
- Gestion des correctifs : comblez rapidement les failles de sécurité – l’attaque de la SIT a exploité une vulnérabilité VPN connue
Précautions juridiques
- Vérifiez les clauses contractuelles : votre cyber-assurance contient-elle des dispositions de force majeure ? Vos contrats fournisseurs sont-ils préparés en cas d’interruption informatique ?
- Documentation : consignez par écrit toutes les mesures de sécurité et décisions d’investissement – cette documentation peut s’avérer décisive en cas de mise en cause de la responsabilité
- Plan de communication de crise : préparez à l’avance la communication avec les clients, fournisseurs, autorités et médias
Recommandations pour les dirigeants
La cyber-insolvabilité n’est plus un risque théorique, mais une réalité commerciale. Pour les dirigeants, cela engendre des devoirs concrets :
- La sécurité informatique est l’affaire de la direction : la responsabilité ne peut pas être entièrement déléguée au service informatique
- Évaluations régulières des risques : évaluez vos cyber-risques au moins annuellement – en tenant compte du rapport actuel du BSI
- Réserves de liquidité : maintenez des réserves capables de couvrir un arrêt d’activité de plusieurs semaines
- Impliquez un conseil juridique : faites examiner vos risques de responsabilité et vérifier vos polices d’assurance
- Testez le plan de crise : effectuez régulièrement des exercices – un plan d’urgence non testé n’est pas un plan d’urgence
Chez compleneo, nous vous accompagnons à l’intersection du droit de l’insolvabilité, du droit des sociétés et du conseil en situation de crise. Qu’il s’agisse d’analyse préventive de responsabilité, de planification d’urgence ou de gestion de crise aiguë après une cyberattaque – contactez-nous.
