Victimes de ransomware : vous êtes potentiellement responsables, vérifiez vos contrats et surtout, ne payez pas !

De plus en plus fréquentes et sophistiquées (l’on parle désormais de « Big Game Hunting » adapté aux moyens financiers des victimes), ces attaques font l’objet d’une attention particulière de l’ANSSI qui a récemment publié un guide pour aider à y faire face :« Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? ».

 

Le 14 octobre 2020, lors de l’ouverture des 20èmes Assises de la Cybersécurité, Guillaume Poupard, directeur de l’ANSSI, a fait une déclaration l’on ne peut plus claire, à propos du risque cyber : « Je ne veux pas transformer les victimes en coupables, mais les décideurs qui minorent deviennent de plus en plus fautifs. Aujourd’hui, plus personne ne peut dire « je ne savais pas ». Il a en même temps montré son enthousiasme en relevant les progrès accomplis : « Entraînez-vous. Ne soyez pas superstitieux. Ce n’est pas parce qu’on pense au pire que le pire se réalise ! » ^[1].

 

Qu’est-ce qu’un ransomware ?

Un ransomware, ou rançongiciel en français, est un programme malveillant visant à obtenir de la victime le paiement d’une rançon. Lors d’une attaque par ransomware, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner, de manière réversible. La plupart du temps, les ransomware chiffrent les données par des mécanismes cryptographiques, rendant leur consultation ou leur utilisation impossibles. L’attaquant adresse alors un message non chiffré à la victime par lequel il lui propose de lui fournir le moyen de déchiffrer ses données, contre le paiement d’une rançon^[2]. La motivation est donc l’appât du gain.

 

Un développement massif des attaques par ransomware

Bien qu’étant un phénomène connu, les attaques par ransomware connaissent actuellement une augmentation significative : l’ANSSI a ainsi traité 104 attaques par ransomware sur la seule période de janvier à septembre 2020 (sans que ce chiffre ne représente le nombre réel des attaques subies)^[3].

 

S’attaquant autrefois principalement aux particuliers dont les systèmes d’information étaient mal protégés, la prolifération d’attaques par ransomware concerne aujourd’hui toutes sortes d’acteurs et de plus en plus en plus de grosses organisations pourtant mieux armées sur le plan de la sécurité informatique : Fleury Michon en avril 2019^[4], le groupe M6 en octobre 2019, le CHU de Rouen en novembre 2019, le groupe de restauration collective Elior en juin 2020^[5], la chaîne de grande distribution Mr Bricolage, en septembre 2020^[6] ou encore le groupe de fret maritime CMA CGM, également en septembre 2020^[7], en sont quelques exemples.

 

La crise sanitaire a renforcé le phénomène et les cyberattaques ont particulièrement visé les établissements de santé et les données sensibles qu’ils traitent (par exemple en septembre 2020, la clinique universitaire de Düsseldorf, contrainte au transfert de certains patients vers un autre hôpital ou la chaîne d’hôpitaux américaine UHS, dont une partie du système informatique est devenu inutilisable).

 

Les conséquences négatives peuvent être substantielles voire désastreuses : blocage de l’activité, fuites de données dont des données personnelles potentiellement sensibles, responsabilités en chaine du fait des manquements contractuels le cas échéant engendrés, préjudice financier, préjudice réputationnel interne et externe, etc..

 

Qu’est-ce que dit le droit sur l’éventuelle responsabilité des entreprises victimes ?

Le droit français dispose d’un arsenal d’outils pour à la fois (i) prévenir les risques de cyberattaques (notamment le statut d’organisme d’importance vitale, ou celui d’opérateur de service essentiel transposant la Directive dite « NIS » de juillet 2016 ou bien les guides de l’ANSSI et de la CNIL pour aider les entreprises dans leur programme de sécurité de données^[8]…) et (ii) en appréhender les auteurs, notamment par l’action de cybersurveillance coordonnée au niveau européen ou français ou les actions disponibles en procédure pénale.

 

Mais qu’en est-il de la responsabilité des entreprises victimes à l’égard de leur écosystème ?

 

Dans un contexte particulier de procédure civile, la jurisprudence a parfois admis la qualification de la force majeure pour un ransomware affectant l’activité de certains auxiliaires de justice, permettant la levée de la sanction de caducité d’un appel déposé hors délai^[9].

 

Cependant d’une manière plus générale s’agissant de contrats commerciaux impactés par une attaque par ransomware, la jurisprudence n’admet pas cette qualification au profit des entreprises victimes qui, faute de pouvoir mener normalement leurs activités, pourraient manquer à leurs obligations. En effet, une attaque par ransomware ne remplit ni l’exigence d’imprévisibilité ni a priori, celle d’irrésistibilité prévues par l‘article 1218 du Code civil.

 

Par un arrêt du 7 février 2020^[10], la Cour d’appel de Paris a ainsi considéré « qu’un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité (…) qu’en présence de sauvegardes totalement exploitables, l’infection du système informatique de l’intimée par le virus n’aurait pas eu les conséquences dommageables constatées ».

 

Quelles mesures juridiques prendre pour prévenir et réagir à de telles attaques ?

Même si la force majeure n’est pas qualifiée, la mise en place de mesures adaptées est généralement clef pour minimiser les préjudices directs ou indirects et donc une éventuelle responsabilité pouvant découler d’une attaque par ransomware et ainsi préserver autant que possible les bonnes relations contractuelles.

 

Cela joue à la fois en interne et en externe, par exemple au moyen de :

La sensibilisation régulière des salariés (les attaques cyber ont souvent pour origine une défaillance humaine par imprudence).

Cela passe bien sûr par la formation mais aussi la responsabilisation de chacun ; selon le stade de maturité de l’entreprise, il sera recommandé d’engager le personnel au titre d’une charte informatique rappelant les principes de prudence nécessaires ;

 

La gestion efficace des contrats avec les clients, fournisseurs et autres partenaires.

Ils devront être conçus, négociés voire mis à jour pour protéger l’entreprise et minimiser au plus ses risques de responsabilité, notamment au travers des clauses de force majeure. En effet, les parties à un contrat entre professionnels sont libres de s’écarter de la définition de l’article 1218 du Code civil. Dans les limites des dispositions d’ordre public applicables, elles pourront donc façonner les scénarios d’exclusion de leur responsabilité si le contexte de la négociation le permet, sachant que la force majeure n’est pas reconnue dans tous les systèmes juridiques, y compris dans l’UE et que celle-ci peut parfois relever de la pure volonté des cocontractants.

 

Lorsque l’attaque survient, une série de mesures juridiques devra être déclenchée, notamment :

• Ouvrir une main courante permettant de tracer les actions et les évènements liés à l’incident, et notamment : l’heure et la date de l’évènement, le nom de la personne à l’origine de cette action ou ayant informé sur l’évènement, la description de l’évènement ;
• Déposer plainte dès que possible pour déclencher une enquête permettant éventuellement l’identification des auteurs, la clé de déchiffrement, et peut-être in fine la réparation du sinistre. A cet égard, la nouvelle plateforme « THESEE » en matière d’escroquerie sur internet^[11], a vocation à recevoir les plaintes des victimes après la publication en juin 2020 de deux arrêtés définissant ses modalités de fonctionnement^[12] ;
• Prendre contact au plus vite avec son assureur pour analyser la couverture de l’entreprise ;
• Notifier la fuite de données personnelles auprès de la CNIL dans les 72 heures et vérifier si les personnes physiques dont les données ont été atteintes, doivent être informées et si oui, mettre en œuvre cette information ;
• Analyser l’impact de l’attaque sur les contrats en cours avec les clients, fournisseurs et autres partenaires, en commençant par les contrats majeurs ; selon cette analyse, prendre contact avec les cocontractants concernés pour étudier le périmètre concret de l’impact de l’attaque et les mesures curatives à prendre dans l’intérêt de chaque entreprise ;
• A moyen ou plus long terme, « tirer les leçons » de la crise en adaptant si besoin ses contrats ou modèles de contrats voire les polices d’assurance de l’entreprise.

Quelles autres mesures organisationnelles ou techniques sont recommandées ?

La jurisprudence récente le démontre encore : parmi les mesures de prévention attendues des entreprises, la sauvegarde des données est fondamentale mais elle n’est pas la seule action à mener.

Ainsi, le guide publié par l’ANSSI en août 2020, propose des mesures à la fois préventives et curatives permettant de démontrer une attitude proactive de la part de la victime, et ainsi potentiellement d’écarter, ou au moins de diminuer, l’engagement de sa responsabilité en raison des conséquences du ransomware. Ces mesures font écho à de précédentes publications de l’ANSSI ou de la CNIL dans son guide sur la sécurité des données.

Voici quelques mesures extraites de ce nouveau guide sur le plan de la prévention :

• Organiser une sauvegarde régulière des données, déconnectées du système d’information afin de prévenir le chiffrement de ces sauvegardes, à l’instar des autres fichiers ; Rédiger un plan de reprise et de continuité d’activité informatique, et procéder à des tests réguliers de la restauration de sauvegardes ;
• Maintenir à jour les logiciels et les systèmes, utiliser et maintenir à jour les logiciels antivirus ;
• Cloisonner le système d’information entre les différentes zones réseaux afin de limiter le risque de propagation du ransomware, sécuriser les postes de travail ;
• Limiter les droits des utilisateurs et les autorisations des applications, mettre en place une politique de mots de passes robustes conformes aux recommandations de la CNIL, soit au minimum 8 caractères avec au moins 3 des 4 types de caractères ;
• Maitriser les accès internet par la mise en œuvre d’une passerelle internet sécurisée permettant de bloquer les flux illégitimes ;
• Pour permettre la détection de compromission et une réaction rapide, mettre en place une politique de journalisation sur les différentes ressources du système d’information permettant d’enregistrer les évènements générés par les services hébergés ;
• Sensibiliser les collaborateurs par des formations aux bonnes pratiques de sécurité numérique.
• Evaluer l’opportunité de souscrire à une assurance cyber qui fournirait notamment une couverture financière du préjudice ;
• Mettre en œuvre un plan de réponse aux cyberattaques associé à un dispositif de gestion de crise pour assurer la continuité d’activité puis son retour à un état normal ;
• Mettre en place ou faire évoluer sa stratégie de communication de crise cyber et la mettre en application dès les premières heures pour limiter les impacts de la crise sur l’image et la réputation de l’entité victime. Cette communication et la reconnaissance de l’attaque permettra de rassurer les cocontractants de la victime du ransomware, notamment sur les mesures mises en œuvre pour arrêter l’attaque et en minimiser les effets et permettre un retour le plus rapide possible à une activité normale.

S’agissant des mesures à prendre lorsque l’attaque est survenue :

• Ne pas payer la rançon ! : le paiement ne garantit pas l’obtention de la clef de déchiffrement, et incite les cybercriminels à poursuivre leur activité. En outre, la clef peut elle-même contenir un virus. Dans certains cas selon le droit applicable, le paiement de la rançon peut même constituer une infraction ;
• Déconnecter au plus vite les supports de sauvegardes après s’être assuré qu’ils ne sont pas infectés, et isoler les équipements infectés du système d’information en les déconnectant du réseau ;
• Ne pas éteindre les machines dont les fichiers ont été chiffrés : l’extinction électrique peut réduire les chances de retrouver dans la mémoire de l’équipement, les éléments permettant de recouvrer les fichiers chiffrés. Il convient de préférer la mise en veille prolongée afin de faire cesser l’activité du programme malveillant tout en préservant la mémoire en vue d’une analyse ultérieure, et de laisser éteints les équipements non démarrés ;
• Conserver les données chiffrées, dans la mesure où une solution de déchiffrement peut être découverte et rendue publique ultérieurement : de nouvelles réponses aux cyberattaques sont découvertes quotidiennement, raison pour laquelle il est nécessaire de maintenir des systèmes et des antivirus à jour ;
• Mettre en place une cellule de crise au plus haut niveau de l’organisation, indépendante des groupes de travail opérationnels qui auront des responsabilités de pilotage et d’exécution. Celle cellule aura notamment pour objet de répondre aux enjeux stratégiques, à d’éventuelles actions judiciaires, de suivre les notifications réglementaires éventuellement réalisées, et de traiter les interrogations des différents clients et partenaires ;
• Recourir à des prestataires spécialisés dans la réponse aux incidents de sécurité ;
• Déployer la stratégie de communication définie dans le cadre des mesures de prévention, tant au niveau externe qu’interne (notamment pour préparer les salariés aux éventuelles sollicitations médiatiques).

 

On le constate, une batterie de mesures existe pour freiner la survenance des ransomware ou tenter d’en maîtriser les conséquences une fois l’attaque réalisée. Et pour celles des entreprises qui n’ont pas encore inclus des plans de prévention de cyber attaques dans leurs procédures, il est recommandé de le faire rapidement !

 

 

[1] https://www.nextinpact.com/article/44187/cybersecurite-pour-guillaume-poupard-anssi-plus-personne-ne-peut-dire-je-ne-savais-pas.

[2] Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? ANSSI, août 2020.

[3] https://www.cnil.fr/fr/rancongiciels-lanssi-et-le-ministere-de-la-justice-publient-un-guide

[4] Guide de l’ANSSI sur les rançongiciels d’août 2020, précité

[5] https://www.lemagit.fr/actualites/252489422/Sodinokibi-ce-ransomware-que-le-groupe-Elior-peine-a-digerer

[6] https://www.usine-digitale.fr/article/mr-bricolage-est-touche-par-un-ransomware.N1011389

[7] https://www.linformaticien.com/actualites/id/55206/cma-cgm-victime-d-un-ransomware.aspx

[8] Guide d’hygiène informatique de l’ANSSI : https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

Guide sur la maîtrise des risques numériques de l’ANSSI et de l’AMRAE : www.ssi.gouv.fr/uploads/2019/11/anssi_amraeguide-maitrise_risque_numerique-atout_confiance.pdf.

Guide EBIOS Risk manager et son supplément : www.ssi.gouv.fr/guide/la-methode-ebios-risk-manager-le-guide

Guide de la CNIL sur la sécurité des données :

https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf.

[9] Par exemple : Cour d’appel de Nîmes, 28 juillet 2020, n° 19/04433 ; Cour d’appel de Paris, 12 février 2020, n° 19/17629.

[10] Cour d’appel de Paris, 7 février 2020, n° 18/03616.

[11] https://www.pre-plainte-en-ligne.gouv.fr/

https://www.zdnet.fr/actualites/thesee-le-projet-de-plainte-en-ligne-a-le-vent-en-poupe-39905997.htm

[12] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042056637/ – https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042056623/.