Face à la multiplication des cyberattaques, il est primordial d’informer les particuliers et les entreprises sur les différents procédés à mettre en œuvre afin de se préparer aux potentielles attaques et d’adopter les bons réflexes pour réagir rapidement dès que l’infraction a été constatée.
Ces attaques touchent à la fois les entreprises privées et publiques, les administrations ainsi que les particuliers.
Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité à la Direction centrale de la Police judiciaire, affirme que les cyberattaques sont des menaces croissantes, irradiantes, difficiles à maitriser et aux conséquences très importantes pour les victimes. « L'explosion du numérique, la simplification de l'accès à l'informatique et la démocratisation des réseaux sociaux » sont des facteurs qui contribuent à la croissance à la multiplication de ces attaques.
Qu’est-ce qu’une cyberattaque ?
Le gouvernement français définit une cyberattaque comme étant une atteinte malveillante à des systèmes informatiques tels que des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à internet des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les « smartphones » ou les tablettes.
Ces attaques peuvent prendre plusieurs formes.
Il y a par exemple les attaques de type rançongiciel, qui consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. Le Groupe M6 a par exemple été victime de rançongiciel en octobre 2019.
Il existe également des attaques opérées par des botnets, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques définit ces outils comme étant des « réseaux de machines infectées et contrôlées à l’insu de leurs propriétaires légitimes ». Ce sont des logiciels malveillants qui ont infiltré un appareil informatique ou connecté, sans que son propriétaire n’en soit averti, pour ensuite lancer une cyberattaque. C’est un accès illicite, on parle alors de piratage informatique.
Quelles sont les missions de l'Anssi ? L’ANSSI est l’autorité nationale en charge de la cybersécurité. Elle a été créée le 7 juillet 2009 par le décret n°2009-834. Elle accompagne les administrations et les entreprises pour la sécurisation de leurs systèmes d’information : « Elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques. ». Pour ce faire, l’ANSSI est divisée en quatre sous-directions :
- La sous-direction opération (SDO) : c’est le centre opérationnel de la sécurité des systèmes d’information, cette sous-direction doit notamment détecter les cybermenaces et faire face à la survenance des attaques grâce à différents moyens, comme l’application de mesures correctives.
- La sous-direction stratégie (SDS) : c’est la sous-direction en charge du processus de planification stratégique, qui contribue à l’élaboration et à la mise en œuvre des politiques publiques sur la sécurité numérique.
- La sous-direction expertise (SDE) : cette sous-direction assure les missions d’expertise et d’assistance technique de l’ANSSI. Elle peut notamment être sollicitée pour ses expertises par les autres sous-directions de l’ANSSI, par les ministères, les industriels et prestataires de la sécurité et les opérateurs d’importance vitale.
- La sous-direction administration (SDA) : c’est la sous-direction responsable de la programmation et de l’exécution des activités de soutien et d’administration de l’ANSSI.
L’ANSSI et le ministère de l’intérieur ont mis en place ensemble une plateforme d’assistance et de prévention du risque numérique, cybermalveillance.gouv.fr, qui informe les entreprises, les particuliers et les collectivités sur les menaces liées au numérique et les bonnes pratiques à adopter.
Cette plateforme propose également de réaliser un diagnostic gratuit en ligne, en répondant à quelques questions. Selon les réponses que vous aurez fournies, des conseils seront automatiquement proposés pour répondre aux actes de cyber-malveillance. Vous pourrez également être orienté vers un prestataire.
L’ANSSI a également publié en partenariat avec le Club des directeurs de sécurité et de sûreté des entreprises (CDSE) un guide de gestion en cas de crise d’origine cyber.
Que faire en cas de cyberattaques ?
Les cyber-attaques présentent plusieurs risques, à la fois pour la sécurité de vos données présentes sur le système informatique piraté, mais également pour votre intégrité et l’image de votre entreprise.
Il existe plusieurs démarches à réaliser pour prévenir ces attaques et sécuriser les systèmes informatiques, mais également des actions pour remédier à ces attaques et protéger les victimes une fois que celles-ci sont survenues.
AGIR EN AMONT
Agir en amont : Procédés à mettre en place pour prévenir d’une cyber-attaque
Agir en amont aide les personnes physiques ou morales à se préparer à une éventuelle attaque et permet ainsi de limiter le stress et d’agir rapidement en cas d’attaque.
Si vous êtes une entreprise
- Vous pouvez tout d’abord vous rapprocher d’un délégué à la protection des données
Le délégué à la protection des données (DPO) est un acteur clé prévu à aux articles 37, 38 et 39 du RGPD.
La désignation d’un DPO est obligatoire seulement pour les autorités et organismes publics, les responsables de traitement dont les activités de base exigent un suivi régulier et systématique des personnes à grande échelle et les responsables de traitement dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou des données à caractère personnel relatives à des condamnations pénales et infractions.
Les entreprises qui ne rentrent pas dans ces catégories peuvent tout de même embaucher un DPO.
Les missions que ce dernier peut exercer sont nécessaires et peuvent être d’une grande aide pour toutes les entreprises qui traitent des données personnelles.
Il doit informer, conseiller et contrôler les responsables de traitement pour garantir la protection des données personnelles.
Il peut conseiller les responsables de traitement sur les différents procédés à adopter pour se protéger contre les cyberattaques, il peut participer à l’élaboration et la mise à jour des documents de gouvernance, notamment les politiques de sécurité. Il est également l’interlocuteur direct avec la CNIL, il peut ainsi agir directement en cas d’attaque.
Le DPO peut également vous apporter son expertise dans la gestion des cyber-crises.
Notre cabinet Avomedias a également la qualité de délégué à la protection des données.
Notre cabinet agit en Droit des données personnelles et en droit du numérique. Nous pouvons être le DPO de votre organisme. Du fait de notre profession, nos obligations de déontologies, d’indépendance et de secret professionnel, notre cabinet d’avocat DPO présente des garanties nécessaires pour vous conseiller et vous protéger contre des éventuelles cyber-attaques.
- Informer les employés et les former contre les cyberattaques
Il est important de former les employés aux cyber-risques pour qu’ils puissent adopter les bons réflexes afin de limiter le risque d’attaque.
Il faut par exemple les informer sur l’importance d’opter pour des mots de passe robustes et leur expliquer le principe de certaines attaques, telles que le phishing, hameçonnage en français.
Les auteurs de cette attaque peuvent vous demander de leur communiquer des données en cliquant sur un lien inséré dans le mail et qui vous redirigera vers un site internet frauduleux dans lequel vous devrez renseigner des informations personnelles.
- Garantir la résilience informatique à la suite d’une attaque
La résilience informatique, c’est le fait pour une entreprise de maintenir son activité, malgré le piratage informatique. Il est important d’analyser les risques et d’apporter des réponses en amont afin de garantir le fonctionnement de l’organisme.
L’ANSSI conseille notamment d’adapter le plan de continuité d’activité au scénario de crise cyber, notamment en prenant en compte l’indisponibilité de plusieurs services numériques, de prévoir un plan de reprise d’activité pour le scénario cyber et de mettre en place des outils de conduite de crise résilients notamment grâce à des outils de gestion de crise stockés hors ligne.
- Prévoir une stratégie de communication de crise cyber pour avertir les clients et préserver l’image de l’entreprise
Un responsable de traitement peut voir sa responsabilité engagée en cas de non-respect de leurs obligations relatives à la protection des données.
Ce dernier a notamment une obligation d’information et de transparence sur les données personnelles qu’il collecte. Vous pouvez avoir plus d’information sur les obligations des responsables de traitement en consultant notre article « Mise en conformité RGPD » sur le site internet de notre cabinet.
- Prévoir une cellule de réponse en cas d’incident
Il est également important que l’organisme sache en amont quels experts devront être contactés en cas de cyberattaque. Ces experts pourront assurer la gestion de la crise.
- Contracter un contrat d’assurance adapté en cas de cyber-attaques.
Il est important de s’assurer que votre contrat d’assurance réponde aux besoins de votre entreprise en cas de cyber-attaque.
Si vous êtes une personne physique
La plateforme gouvernementale cybermalveillance.gouv.fr prévoit une liste de procédés permettant d’assurer la protection des systèmes informatiques des individus.
Ces dispositions prévoient qu’il faut :
- Mettre à jour régulièrement l’appareil informatique, le système d’exploitation et les logiciels installés.
- Utiliser un antivirus régulièrement mis à jour.
- Ne pas installer de logiciels, programmes, applications ou équipements « piratés » ou dont l’origine est douteuse.
- Ne pas ouvrir les messages, pièces jointes et liens suspects, notamment si elles préviennent de chaînes de messages, d’expéditeurs inconnus ou d’un expéditeur connu mais dont le contenu est inhabituel ou vide.
- Évitez les sites non sûrs ou illicites.
- N’utilisez pas un compte avec des droits « administrateur » pour consulter votre messagerie privée ou effectuer des recherches sur internet.
- Faites des sauvegardes régulières et déconnectées de vos données et de votre système pour pouvoir le réinstaller dans son état d’origine au besoin.
- Utilisez des mots de passe suffisamment complexes.
- Éteignez votre machine lorsque vous avez fini de l’utiliser.
AGIR EN AVAL
Agir en aval : les bons réflexes à adopter si vous avez été victime d’une cyber-attaque.
Si vous êtes une entreprise
- Déployer les moyens techniques afin de faire cesser l’attaque.
Lorsque vous avez été victime d’une cyber-attaque, la première étape à suivre est d’alerter le personnel et de mobiliser des experts afin de faire cesser l’attaque et d’éviter qu’elle ne se propage.
Il faut isoler les appareils infectés en les déconnectant et sauvegardant les données.
Une fois l’attaque détectée, il convient de la qualifier pour y remédier.
Il est important de ne pas supprimer les mails ou autres documents, qui seront utiles lors de l’expertise pour déterminer la source de l’infection et constituer des preuves suffisantes devant les juridictions.
- Déclaration de l’incident auprès des autorités compétentes
Vous devez notamment notifier la violation des données auprès de la CNIL dans les 72h après la survenance de l’attaque comme l’énonce les articles 33-1 et 55 du RGPD.
Si vous ne respectez pas cette obligation légale, vous serez susceptible d’être sanctionné.
Vous pouvez également effecteur une déclaration auprès de l’ANSSI via le formulaire de déclaration en cas d’incident de sécurité.
- Vous pouvez également porter plainte pour cybercriminalité.
Il existe des procédures juridiques qui permettent de sanctionner les cyber-attaques. Vous pouvez porter plainte contre X si aucune expertise n’a permis de déterminer l’origine et l’identité de l’auteur de cette attaque. Cette plainte peut être déposée directement auprès du procureur de la République du tribunal judiciaire dont vous dépendez par courrier recommandé avec accusé de réception.
Il est également possible de déposer cette plainte après de la brigade de gendarmerie ou au commissariat de police.
- L’usurpation d’identité prévue à l’article 226-4-1 du Code pénal. C’est le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est punie d’une peine d’un an d’emprisonnement et de 15.000 euros d’amende.
- Le piratage informatique, prévu à l’article 323-1 du Code pénal. Cette infraction est décrite comme étant « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données. » Le piratage informatique est puni de deux ans d'emprisonnement et de 60 000 € d'amende. Cette peine peut s’élever à trois ans d'emprisonnement et de 100 000 € d'amende lorsque le piratage informatique a eu pour effet la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système.
- La collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite, prévue à l’article 226-18 du Code pénal. Ce délit est passible d’une peine d’emprisonnement de cinq ans et de 300.000 euros d’amende.
- L’escroquerie est consacrée à l’article 313-1 du Code pénal. C’est le fait, « soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L’escroquerie est punie de cinq ans d'emprisonnement et de 375 000 euros d'amende. »
- Contrefaçon des marques utilisées par l’auteur de l’arnaque pour augmenter sa crédibilité lors de l’hameçonnage. Cette infraction est prévue aux articles L.713-2 et L.713-3 du Code de la propriété intellectuelle. Ce délit est passible d’une peine d’emprisonnement de trois ans et de 300.000 euros d’amende.
- L’usage frauduleux de moyen de paiement prévu par les articles L163-3 et L163-4 du Code monétaire et financier. La peine prévue pour cette infraction peut s’élever jusqu’à sept ans d’emprisonnement et 750 000 euros d’amende.
Si vous êtes une personne physique
Vous pouvez signaler un contenu illicite en ligne ou toute infraction dont vous avez été victime sur internet en effectuant un signalement auprès de la plateforme Pharos, plateforme mise en place par le ministère de l’intérieur, en cliquant sur le lien suivant :
Internet-signalement.gouv.
Il est également possible de déposer une plainte auprès de la Commission national de l’informatique et des libertés (CNIL) contre le responsable de traitement s’il n’a pas assuré la protection des données personnelles prévue par le Règlement général sur la protection des données personnelles.
Sa responsabilité peut être engagée s’il n’a pas mis en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement des données est effectué conformément au RGPD.
Pour finir, vous pouvez également déposer une plainte pénale auprès du procureur de la République du tribunal judiciaire dont vous dépendez par courrier recommandé avec accusé de réception ou auprès de la brigade de gendarmerie ou au commissariat de police sur le fondement d’une ou plusieurs infractions prévues par le Code pénal.
Il est également important de conserver tous les mails, logs et données présentes sur votre système informatique, afin de présenter des preuves suffisantes permettant de caractériser l’infraction.
Nos prestations
L’assistance d’un avocat spécialisé en droit pénal du numérique est fondamentale pour vous aider à déterminer la nature précise de l’atteinte que vous avez subi.
- Notre cabinet Avomedias demeure à vos côtés, que vous soyez un particulier ou une entreprise, afin de vous conseiller en cas de cyber-attaques.
- Nous vous accompagnerons lors de toutes les démarches à suivre, devant les juridictions et les autorités compétentes, pour que vous puissiez faire cesser l’atteinte aux données présentes sur votre système de traitement automatisé des données.
- Nous vous assistons également dans toutes les démarches à effectuer afin de vous préparer à une éventuelle attaque.
Si vous souhaitez bénéficier de plus d’informations sur nos missions en tant qu’avocat en cybercriminalité, vous pouvez consulter notre page : « Avocat en Cybercriminalité à Paris».