Article réservé aux abonnés Archimag.com

Cybermenaces : comment lutter contre les ransomwares en toute légalité ?

  • lutter-cybermenace-ransomware.jpg

    cybermenace-reagir-ransomware-legalite
    Le fait de disposer d’une sauvegarde permet de décliner avec politesse la délicate proposition du pirate. Encore faut-il que le virus de ransomware ne se trouve pas dans la sauvegarde ! (Freepik/diana.grytsku)
  • Nul ne peut être absolument certain que ses procédures de protection, ses pare-feu et ses antivirus sont totalement efficaces. Désormais, la question dans les entreprises n’est donc plus comment se protéger de façon totalement sûre contre les malwares (= utopie), mais comment gérer le chantage ou ransomware dont on va faire l’objet un jour (= réalité). Ce qui n’exclut pas de se protéger tout de même contre les cybermenaces (= professionnalisme).

    Temps de lecture : 7 minutes

    mail Découvrez Le Brief de la Démat', la newsletter thématique gratuite d'Archimag dédiée à la dématérialisation et à la transformation numérique des organisations !

    sylvain-martin-avocat-adijNon seulement les cybercriminels ont amélioré les performances de leurs virus pour passer au travers des mailles des filets de protection, mais ils ont également fait preuve de diversité chez leurs victimes (Même les hôpitaux sont attaqués : Cyberattaques des hôpitaux, aspects et enjeux juridiques, par Hugo-Bernard Pouillaude, avocat associé au Cabinet BRL Avocats, et Maryline Grange, maître de conférences en droit public à l’université de Lyon) et de créativité dans le contenu du chantage.

    Bien sûr, l’objectif est toujours de gagner de l’argent, mais la menace pour convaincre la cible de payer s’est diversifiée.

    enlightenedLire aussi : 80 % des entreprises craignent une fuite de données dans les 12 prochains mois

    Le chantage à la clé de décryptage ou la sauvegarde dans les règles de l’art

    Le grand classique dans la gamme des chantages. La solution pour ne pas céder à ce chantage l’est tout autant, c’est la sauvegarde.

    rancongiciel-donnees-otage-anssiDans sa fiche pratique Rançongiciel — vos données sont prises en otage, l’Agence nationale de la sécurité des systèmes d’information (Anssi) donne comme première préconisation, avant la mise à jour des logiciels, d’effectuer des sauvegardes régulières des données.

    Pourtant, elles ne sont pas systématiques. Suite à l’incendie de deux des data centers OVH à Strasbourg, nombre de clients se sont mordus les doigts (au sens figuré espérons-le) lorsqu’ils ont réalisé les conséquences irrémédiables de cette catastrophe industrielle et numérique suite à leur décision de ne pas payer le supplément prévu par le tarif OVH pour bénéficier d’une sauvegarde.

    enlightenedLire aussi : Sécurité numérique : un guide à l'attention des dirigeants

    Virus dans la sauvegarde

    La sauvegarde permet de relativiser la menace une fois le ransomware installé. Elle fournit une alternative au dilemme binaire : payer pour avoir la clé de décryptage — ce qui n’est pas garanti — ou devoir tout reconstruire en partant de zéro — ce qui prend du temps et donc de l’argent.

    Le fait de disposer d’une sauvegarde permet de décliner avec politesse la délicate proposition du pirate. Encore faut-il que le virus de ransomware ne se trouve pas dans la sauvegarde ! Certains pirates programment un temps d’attente avant que le virus ne s’active une fois qu’il est installé dans le système d’information cible. De ce fait, les sauvegardes réalisées pendant cette période enregistrent en même temps le virus qui va s’activer au moment de l’installation de la sauvegarde destinée à remplacer le système d’information infecté et va le réinfecter.

    enlightenedLire aussi : EY : enquête mondiale sur la sécurité de l’information 2021  

    D’un point de vue juridique, le fait d’installer une sauvegarde soulève la question de la solution de continuité, c’est-à-dire du risque de créer une rupture dans le stock d’informations. Des données peuvent se perdre au moment de la réalisation de la sauvegarde, pendant la période de stockage ou lors de son installation pour remplacer le système d’information congelé par le virus.

    La perte d’informations est normalement involontaire et résulte d’un dysfonctionnement du système de sauvegarde, mais elle peut aussi être volontaire ; une réinitialisation peut être l’occasion de faire disparaître quelques fichiers ennuyeux. Pour assurer l’intégrité des données, on peut avoir recours à la norme Afnor NF Z42 013 dont le respect fait preuve en droit

    Ndlr : Norme NF Z 42-013:2020 ou Iso 14641:2018 : la version Iso est une traduction de la norme française légèrement adaptée pour lui donner une portée internationale. La portée juridique de cette norme a déjà été reconnue par la cour d’appel de Paris dans un arrêt du 11 février 2016 et par la cour d’appel de Lyon dans un arrêt du 3 septembre 2015 (Caprioli-avocats.com). Sur ce sujet, voir notre article : Archivage électronique : ce qu'il faut savoir sur la nouvelle norme NF Z42-013 version 2020

    Si l’entreprise décide d’externaliser ses sauvegardes, elle peut donc légitimement demander dans son cahier des charges la conformité à cette norme.

    enlightenedLire aussi : 80 % des entreprises craignent une fuite de données dans les 12 prochains mois

    Manquement à « obligation essentielle » ?

    L’incendie subi par la société OVH est un drame pour cette société (qui devait entrer en bourse deux jours plus tard) et pour les clients qui ne payaient pas le service de sauvegarde. Ce sinistre peut être aussi à l’origine de batailles judiciaires en droit des contrats engagées par ces derniers à la recherche de dommages et intérêts.

    Dans ses « Conditions générales de service OVHcloud », la société OVH précise bien que « à défaut d’option payante souscrite, […] OVH n’effectue aucune sauvegarde spécifique du contenu stocké dans le cadre des services » et qu’il « appartient au client de prendre toutes mesures nécessaires à la sauvegarde de ses contenus afin de se prémunir contre les risques de perte ou de détérioration, quelle qu’en soit la cause ».

    Voilà le client dûment informé, voire alerté, mais est-ce suffisant ? On peut même se demander a posteriori si l’absence de sauvegarde, même dûment notifiée par contrat au client, ne constitue pas un manquement à ce que la jurisprudence qualifie d’« obligation essentielle » à un service contractuel. Les clients doivent plaider que la société OVH a manqué à son devoir essentiel de fournir obligatoirement la sauvegarde à tous ses clients dans les tarifs qu’elle définit librement.

    enlightenedLire aussi : Le métier de responsable sécurité des systèmes d’information (RSSI) : missions, compétences, formation et salaire

    Force majeure

    Par ailleurs, la société OVH qualifie dans ses conditions générales l’incendie comme étant un cas de force majeure ce qui revient à une auto-exonération de responsabilité contractuelle dès lors que cet incendie était bien indépendant de toute volonté d’OVH, imprévisible — OVH n’avait aucune raison d’imaginer qu’un incendie puisse se déclencher — et irrésistible — OVH ne pouvait pas éviter les dégâts importants causés par l’incendie grâce en particulier à toutes les mesures anti-incendie existantes dans les bâtiments qui ont brûlé. C’est OVH qui a la charge de la preuve.

    Le chantage à la dénonciation à la Cnil ou l’occasion de se mettre — un peu tard — en conformité avec le RGPD

    Certains pirates allient cynisme et bonne conscience. Ils recherchent des failles de sécurité dans les mesures de protection de vos bases de données à caractère personnel et vous les notifient en vous rappelant que ce n’est pas bien de négliger la sécurité de ces données et que c’est même une infraction au RGPD, le fameux Règlement général sur la protection des données — à caractère personnel.

    Le pirate endosse alors le costume du grand moralisateur : puisque vous avez pêché, il faut payer. Il vous demande donc de lui verser une somme d’argent afin qu’il garde pour lui la preuve de votre non-conformité au RGPD. Sinon, il notifiera vos défaillances sécuritaires également à la Commission nationale de l’informatique et des libertés (Cnil) qui, malheureusement pour vous, ne s’offusque pas de ce genre de pratique et viendra voir chez vous ce qu’il en est. Et vous infligera une sanction financière si vous n’avez pas tout mis en ordre en urgence.

    enlightenedLire aussi : 3 applications de messagerie instantanée sécurisées à télécharger

    La répression des victimes de chantage, un projet dans l’air du temps

    Lorsque vous êtes victime d’un chantage, vous êtes devant un dilemme : payer ou pas. Ce dilemme va peut-être disparaître car les pouvoirs publics réfléchissent à l’interdiction du paiement des rançons.

    Il ne faut pas se leurrer, les pirates demandent rarement de l’argent pour construire une piscine dans le jardin d’une villa déjà payée avec de l’argent gagné honnêtement. Le plus souvent les rançonneurs opèrent dans les trafics en tout genre, voire dans le terrorisme. Payer une rançon, c’est souvent financer le terrorisme international.

    C’est pourquoi, l’Anssi et le Parquet de Paris se sont déplacés le 15 avril dernier au Sénat pour une audition durant laquelle on a reproché aux assureurs d’encourager le ransomware en acceptant de payer les rançons demandées lors d’une cyberattaque. Avec près de 2 victimes sur 3 qui acceptent de payer, la France fait partie des pays du monde qualifiés de bons payeurs par les pirates.

    Or, selon Johanna Brousse, vice-procureure de la section cybercriminalité du parquet de Paris, « payer encourage les hackeurs à s’en prendre plus facilement à notre tissu économique ».

    enlightenedLire aussi : La Commission européenne annonce la création d’une unité conjointe de cybersécurité au sein de l’UE

    Sylvain Martin
    Membre de MadeLex SCM d’Avocats
    Membre de l’Adij
    www.juristechnologie.com

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    Archimag-346-cybersécurité
    Rendant les organisations plus numériques que jamais, la pandémie profite aussi à la cybercriminalité. Les faits de cyberattaques augmentent de manière exponentielle, faisant prendre conscience de la vulnérabilité des systèmes d’information. Entreprises, administrations, collectivités territoriales, hôpitaux mesurent l’ampleur des risques. Les mises en garde sont à la fois européennes et étatiques et relèvent aussi de la gouvernance de l’information et des données. Mais qui sont les cyberattaquants ? Les hackers éthiques ? À chacun d’appliquer conseils et bonnes pratiques, et de s’équiper de solutions de protection.
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    1
    est en moyenne signalée toutes les semaines dans les établissements de santé depuis janvier 2021. Les hôpitaux ont subi 27 cyberattaques majeures - qui ont effectué tout ou partie de leurs systèmes d'information - en 2020.
    Publicité