La compagnie aérienne British Airways a révélé jeudi 6 septembre 2018 avoir subi un vol en ligne de données via son site internet de réservation de vol en ligne en les termes suivants : "Entre 22h58 (21h58 GMT) le 21 août 2018 et 21h54 le 5 septembre, les données personnelles et financières des clients faisant des réservations sur notre site internet et notre application mobile ont été compromises". Les cyberattaques touchent de plus en plus d’entreprise et sont de plus en plus techniquement complexes. Comment se préparer et y faire face ?
1. Prévenir :
Il est aujourd’hui devenu indispensable et obligatoire dans certains cas1 de protéger de manière efficace les systèmes d’informations, réseaux, objets connectés, site webs d’une entreprise.
Cette sécurité passe par :
- la mise en œuvre d’une politique de sécurité régulièrement mise à jour,
- un audit régulier de l’ensemble de son système d’information, voire le recours à des procédures de bug bounty encadrées contractuellement,
- identifier et respecter ses obligations légales et contractuelles par exemple assurer la sécurité des données à caractère personnel dans le respect de l’article 32 du RGPD, l’établissement d’un registre des failles de sécurité (en matière de données à caractère personnel), connaitre et maîtriser ses obligations contractuelles vis-à-vis des ses clients et tout tiers,
- l’encadrement contractuel des obligations de ses prestataires et sous-traitants en matière de sécurité informatique,
- la sensibilisation du personnel de l’entreprise par des formations internes (administrateurs et RSSI, salariés, direction générale) et la mise en œuvre de procédures internes efficaces (BYOD, nomadisme, procédure d’alerte, etc),
- anticiper les risques avec un contrat de cyber assurance.
Enfin, n’oublions pas que l’ANSSI publie de nombreux guides en la matière, à destination des entreprises régulièrement mis à jour.
2. Réagir en cas d’atteintes à son système d’information
S’organiser pour mettre fin dans les plus brefs délais à l’atteinte :
> mettre en place une organisation de crise : afin de pouvoir investiguer rapidement et efficacement, il est nécessaire de définir les acteurs et actions nécessaires en vue de mobiliser les expertises et compétences pour la gestion de l’incident.
> identifier et documenter précisément l’ensemble des caractéristiques de l’incident de sécurité. En matière de données à caractère personnel, l’entreprise devra notamment fournir les informations suivantes à la CNIL :
- décrire la nature de la violation ;
- les catégories et le nombre approximatif de personnes concernées par la violation ;
- les catégories et le nombre approximatif d’enregistrements de données concernées ;
- décrire les conséquences probables de la violation ;
- décrire les mesures prises ou envisagées pour éviter que l’incident ne se reproduise ou atténuer les éventuelles conséquences négatives.
> préserver des preuves fiables de l’incident de sécurité par l’organisation d’un constat réalisé par un huissier de justice et/ou une équipe d’experts techniques.
Identifier ses obligations légales, notamment en matière de :
> notification à la CNIL2 → dans les 72h "après avoir pris connaissance" de la violation de données à caractère personnel, "à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques".
> notification aux personnes concernées3 → En matière de données à caractère personnel, "lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais".
> notification à l’ANSSI4 → les "fournisseurs de service numérique" à savoir les Place de marché en ligne, les moteurs de recherche en ligne et les services d'informatique en nuage "déclarent, sans délai après en avoir pris connaissance, (…) lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services, compte tenu notamment du nombre d'utilisateurs touchés par l'incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l'ampleur de son impact sur le fonctionnement de la société ou de l'économie."
Définir une stratégie efficace de gestion du risque de l’entreprise :
> déterminer une stratégie de communication à destination des clients, partenaires et tiers pour préserver l’image de l’entreprise
> envisager les recours judiciaires pour obtenir l’indemnisation de son préjudice. Il est possible soit d’engager des procédures d’identification des auteurs de l’infraction ou devant les juridictions civiles, soit de confier l’affaire au Procureur de la République en le saisissant pour un dépôt d’une plainte pénale avec constitution de partie civile.
Pour rappel, les atteintes aux systèmes de traitement automatisé de données sont sanctionnées par les articles 323-1 et suivants du Code pénal qui prévoit notamment que "Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende" et "Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende."
Enfin, il existe par ailleurs de nombreuses autres infractions prévues par le Code pénal, le Code de la propriété intellectuelle, etc
En conclusion, si l’anticipation de toutes formes cyberattaques apparait être une chimère, sécuriser son système d’information et pouvoir le prouver est devenu une obligation pour chaque entreprise pour répondre à ses obligations légales.
Marine Hardy, Avocat responsable du Pôle « Sécurité » et Claudia WEBER, Avocat Fondateur ITLAWAvocats
____________________________
Notes :
1 : L’article 226-17 du code pénal dispose "Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende."
2 : Article 33 du Règlement (UE) 2016/679 dit RGPD
3 : Article 34 du Règlement (UE) 2016/679 dit RGPD
4 : Article 13 de la Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité