Retour aux articles du blogSi l’utilisation de l’informatique a simplifié grandement l’utilisation et la conservation des données des entreprises, elle est aussi source d’attaques perpétrées par des pirates informatiques (« hackers »).
Le rapport Global Cybersecurity Outlook du Forum Economique Mondial indique qu’à l’échelle mondiale les cyberattaques ont augmenté de 125 % en 2021, les données suggèrent une hausse continue jusque fin 2022.
En France, les attaques par rançongiciel sont au plus haut.
En attestent les derniers exemples d’attaques informatiques estivales par des groupes de hackers contre notamment la Poste mobile, filiale du Groupe La Poste, Hensoldt, ancienne filiale d’Airbus spécialisé dans l’électronique militaire, dont les deux datacenters de Nexeya en France ont été touchés par l’attaque de son infrastructure informatique ou encore celle du Centre hospitalier de Corbeil-Essonne paralysant le fonctionnement de l’hôpital et laissant craindre une nouvelle fuite massive de données.
Les pirates informatiques ont multiplié le vol et le chantage aux données dans des proportions inédites, d’une telle ampleur que rien que pour 2021, l’Agence nationale de la sécurité des systèmes d’information, a recensé auprès des victimes françaises une hausse de 37 % des intrusions avérées par rapport à 2020.
Dans la plus récente édition de son rapport trimestriel sur la sécurité internet, l’éditeur WatchGuard observe une explosion massive des détections de rançongiciel en ce début d’année 2022 : 80% de plus par rapport au dernier trimestre, et trois fois plus qu’au premier trimestre 2021.
Ces attaques peuvent avoir de très lourdes conséquences sur l’activité des entreprises, voire sur leur pérennité. Elles peuvent également avoir d’importantes répercussions réglementaires, juridiques et, finalement et sur la réputation des entreprises ou organisations victimes de telles attaques.
Dans ce contexte de menace en évolution rapide, il apparaît donc primordial pour les entreprises de se protéger non seulement, en adoptant une approche stratégique des cyber-risques, mais encore, lorsqu’elles sont cibles d’attaques informatiques, de savoir comment réagir et quelles sont les procédure possibles et actions à mettre en œuvre.
Qu’est-ce qu’un rançongiciel ?
Les rançongiciels sont des virus conçus pour paralyser le système informatique d’une organisation. Les pirates commencent généralement par s’infiltrer sur un réseau, prennent le contrôle d’un certain nombre d’appareils, puis infectent le parc informatique de l’entité (entreprise, collectivité, hôpital, association…) pour le rendre inutilisable. Ils demandent ensuite une rançon à leur victime en échange de la clé de déchiffrement permettant de rétablir les fichiers des appareils concernés.
Si l’entreprise est cible d’attaques informatiques (rançongiciel, phishing, etc.), quelles infractions peuvent-être retenues contre les cybercriminels ?
Le droit français prévoit plusieurs infractions qui varient suivant la nature de l’attaque informatique et sa finalité.
Ainsi, les principales retenues sont les suivantes :
- Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60.000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100.000 euros d’amende.
- Dans le cas d’un piratage de compte de messagerie : Atteinte au secret des correspondances (article 226-15 du code pénal) : délit passible d’une peine d’emprisonnement d’un an et de 45.000 euros d’amende.
- Dans le cas de collecte de données à caractère personnel quel que soit le compte: Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende.
- Si le compte a été détourné : Usurpation d’identité par voie de télécommunication (article 226-4-1 du code pénal) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15.000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.
- Si l’entreprise piratée a payé la rançon, l’entreprise est dans ce cas vous êtes alors victime d’une extorsion au sens de l’article 312-1 du Code pénal : délit passible de sept ans d’emprisonnement et de 100.000 € d’amende.
Que faire en cas d’attaque informatique ?
- Déconnectez immédiatement les postes touchés pour éviter l’infection de tous les ordinateurs de l’entreprise via le réseau auquel ils sont reliés.
- Prévenez le responsable sécurité informatique de l’entreprise.
- En cas de demande de rançon suite à un ransomware, ne la payez pas.
- Collectez toutes les informations pour avoir des preuves dans le cadre de votre plainte à venir et de la déclaration du sinistre à l’assureur de la société (heure de l’attaque, zone compromise (les logiciels, e-mails ou fichiers qui étaient utilisés ou ouverts au moment de l’attaque), etc. ).
- Prévenez sans délai l’assureur de l’entreprise si vous avez souscrit une assurance cyber-risque, informez également en parallèlement votre service juridique et/ou conseil juridique.
- Établissez une première liste des préjudices que l’attaque a causé à votre entreprise (vol ou suppression de données, blocage du site web provoquant une perte de chiffre d’affaires, demande de rançon, etc.).
- Déposer plainte en ligne sur le site internet qu’a mis en place le gouvernement (https://www.ssi.gouv.fr/en-cas-dincident/) ou auprès du Commissariat ou de la Gendarmerie le plus proche. Déposer plainte présente un triple intérêt : permettre la mise en jeu de votre assurance, permettre l’identification et éventuellement retrouver le hacker, et enfin envoyer un signal fort de responsabilité et de sérieux à vos investisseurs, partenaires et clients par sa réaction à l’attaque.
- En cas d’atteinte avérée de vol de données à caractère personnel afin de respecter les obligations légales issues du RGPD, toute entreprise doit notifier toute faille de sécurité :
- À la CNIL dans les 72 heures suivant la découverte de l’attaque.
- À l’ensemble des personnes victimes de l’atteinte à leur vie privée.
A défaut vous exposez l’entreprise à un risque de sanction pouvant aller jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaires annuel.
- Faites-vous accompagner par des professionnels pour une gestion et une communication de crise efficace et limiter ainsi tant vos préjudices que l’atteinte à la réputation de votre entreprise.
A noter le Gouvernement à développer un site internet d’assistance et de prévention du risque numérique www.cybermalveillance.gouv.fr qui peut vous permettre d’aller plus loin sur ce sujet et vous informer des arnaques en cours de sorte à vous permettre de sensibiliser le personnel de votre entreprise afin de protéger l’entreprise contre certaines attaques et modus operandi d’ores et déjà identifiés les services de l’ANSSI.
Par Cynthia Picart
24/08/22
