De plus en plus fréquentes et sophistiquées (l’on parle désormais de « Big Game Hunting » adapté aux moyens financiers des victimes), ces attaques font l’objet d’une attention particulière de l’ANSSI qui a récemment publié un guide pour aider à y faire face :« Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? ».
Le 14 octobre 2020, lors de l’ouverture des 20èmes Assises de la Cybersécurité, Guillaume Poupard, directeur de l’ANSSI, a fait une déclaration l’on ne peut plus claire, à propos du risque cyber : « Je ne veux pas transformer les victimes en coupables, mais les décideurs qui minorent deviennent de plus en plus fautifs. Aujourd’hui, plus personne ne peut dire « je ne savais pas ». Il a en même temps montré son enthousiasme en relevant les progrès accomplis : « Entraînez-vous. Ne soyez pas superstitieux. Ce n’est pas parce qu’on pense au pire que le pire se réalise ! » [1].
Un ransomware, ou rançongiciel en français, est un programme malveillant visant à obtenir de la victime le paiement d’une rançon. Lors d’une attaque par ransomware, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner, de manière réversible. La plupart du temps, les ransomware chiffrent les données par des mécanismes cryptographiques, rendant leur consultation ou leur utilisation impossibles. L’attaquant adresse alors un message non chiffré à la victime par lequel il lui propose de lui fournir le moyen de déchiffrer ses données, contre le paiement d’une rançon[2]. La motivation est donc l’appât du gain.
Bien qu’étant un phénomène connu, les attaques par ransomware connaissent actuellement une augmentation significative : l’ANSSI a ainsi traité 104 attaques par ransomware sur la seule période de janvier à septembre 2020 (sans que ce chiffre ne représente le nombre réel des attaques subies)[3].
S’attaquant autrefois principalement aux particuliers dont les systèmes d’information étaient mal protégés, la prolifération d’attaques par ransomware concerne aujourd’hui toutes sortes d’acteurs et de plus en plus en plus de grosses organisations pourtant mieux armées sur le plan de la sécurité informatique : Fleury Michon en avril 2019[4], le groupe M6 en octobre 2019, le CHU de Rouen en novembre 2019, le groupe de restauration collective Elior en juin 2020[5], la chaîne de grande distribution Mr Bricolage, en septembre 2020[6] ou encore le groupe de fret maritime CMA CGM, également en septembre 2020[7], en sont quelques exemples.
La crise sanitaire a renforcé le phénomène et les cyberattaques ont particulièrement visé les établissements de santé et les données sensibles qu’ils traitent (par exemple en septembre 2020, la clinique universitaire de Düsseldorf, contrainte au transfert de certains patients vers un autre hôpital ou la chaîne d’hôpitaux américaine UHS, dont une partie du système informatique est devenu inutilisable).
Les conséquences négatives peuvent être substantielles voire désastreuses : blocage de l’activité, fuites de données dont des données personnelles potentiellement sensibles, responsabilités en chaine du fait des manquements contractuels le cas échéant engendrés, préjudice financier, préjudice réputationnel interne et externe, etc..
Le droit français dispose d’un arsenal d’outils pour à la fois (i) prévenir les risques de cyberattaques (notamment le statut d’organisme d’importance vitale, ou celui d’opérateur de service essentiel transposant la Directive dite « NIS » de juillet 2016 ou bien les guides de l’ANSSI et de la CNIL pour aider les entreprises dans leur programme de sécurité de données[8]…) et (ii) en appréhender les auteurs, notamment par l’action de cybersurveillance coordonnée au niveau européen ou français ou les actions disponibles en procédure pénale.
Mais qu’en est-il de la responsabilité des entreprises victimes à l’égard de leur écosystème ?
Dans un contexte particulier de procédure civile, la jurisprudence a parfois admis la qualification de la force majeure pour un ransomware affectant l’activité de certains auxiliaires de justice, permettant la levée de la sanction de caducité d’un appel déposé hors délai[9].
Cependant d’une manière plus générale s’agissant de contrats commerciaux impactés par une attaque par ransomware, la jurisprudence n’admet pas cette qualification au profit des entreprises victimes qui, faute de pouvoir mener normalement leurs activités, pourraient manquer à leurs obligations. En effet, une attaque par ransomware ne remplit ni l’exigence d’imprévisibilité ni a priori, celle d’irrésistibilité prévues par l‘article 1218 du Code civil.
Par un arrêt du 7 février 2020[10], la Cour d’appel de Paris a ainsi considéré « qu’un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité (…) qu’en présence de sauvegardes totalement exploitables, l’infection du système informatique de l’intimée par le virus n’aurait pas eu les conséquences dommageables constatées ».
Même si la force majeure n’est pas qualifiée, la mise en place de mesures adaptées est généralement clef pour minimiser les préjudices directs ou indirects et donc une éventuelle responsabilité pouvant découler d’une attaque par ransomware et ainsi préserver autant que possible les bonnes relations contractuelles.
La sensibilisation régulière des salariés (les attaques cyber ont souvent pour origine une défaillance humaine par imprudence).
Cela passe bien sûr par la formation mais aussi la responsabilisation de chacun ; selon le stade de maturité de l’entreprise, il sera recommandé d’engager le personnel au titre d’une charte informatique rappelant les principes de prudence nécessaires ;
La gestion efficace des contrats avec les clients, fournisseurs et autres partenaires.
Ils devront être conçus, négociés voire mis à jour pour protéger l’entreprise et minimiser au plus ses risques de responsabilité, notamment au travers des clauses de force majeure. En effet, les parties à un contrat entre professionnels sont libres de s’écarter de la définition de l’article 1218 du Code civil. Dans les limites des dispositions d’ordre public applicables, elles pourront donc façonner les scénarios d’exclusion de leur responsabilité si le contexte de la négociation le permet, sachant que la force majeure n’est pas reconnue dans tous les systèmes juridiques, y compris dans l’UE et que celle-ci peut parfois relever de la pure volonté des cocontractants.
La jurisprudence récente le démontre encore : parmi les mesures de prévention attendues des entreprises, la sauvegarde des données est fondamentale mais elle n’est pas la seule action à mener.
Ainsi, le guide publié par l’ANSSI en août 2020, propose des mesures à la fois préventives et curatives permettant de démontrer une attitude proactive de la part de la victime, et ainsi potentiellement d’écarter, ou au moins de diminuer, l’engagement de sa responsabilité en raison des conséquences du ransomware. Ces mesures font écho à de précédentes publications de l’ANSSI ou de la CNIL dans son guide sur la sécurité des données.
On le constate, une batterie de mesures existe pour freiner la survenance des ransomware ou tenter d’en maîtriser les conséquences une fois l’attaque réalisée. Et pour celles des entreprises qui n’ont pas encore inclus des plans de prévention de cyber attaques dans leurs procédures, il est recommandé de le faire rapidement !
https://www.zdnet.fr/actualites/thesee-le-projet-de-plainte-en-ligne-a-le-vent-en-poupe-39905997.htm
[12] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042056637/ – https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042056623/.
De Gaulle Fleurance annonce le lancement de SPATIO, un think tank dédié à l’industrie spatiale
A l’occasion d’un événement de place réunissant les acteurs du secteur (industriels, ...
Loi spatiale européenne : le pari ambitieux de la Commission
Tribune de Michel Matas et Laetitia Cesari dans Les Echos « Avec 70.000 salariés, 1...