K.Pratique

Saisissez votre adresse mail pour recevoir nos articles :




A propos de l'auteur
Karine Riahi

Avocat au Barreau de Paris depuis 1989
Associé depuis 2008
Bureau : Paris
Secrétariat : Françoise Delaroche : 33 (0)1 44 95 20 40
Email : k.riahi@kga.fr

Quels réflexes adopter face aux cyberattaques ?


Le 18 mai dernier, un hôpital du Kansas a été victime d’un ransomware . Ce logiciel malveillant, nommé « rançongiciel » en français, se propage par email et rend illisibles les données d’un PC tant qu’un code de déblocage n’a pas été saisi. Pour espérer récupérer les données ainsi bloquées, la victime doit se résoudre à payer une rançon au pirate en Bitcoins. L’hôpital, qui a pourtant payé les pirates dans cette affaire, n’a jamais pu récupérer ses données… Ce n’est pas la première fois que ce type de cyberattaque frappe le monde médical : en février dernier, c’est un hôpital presbytérien de Los Angeles qui avait été victime de chantage informatique.


L’Hexagone n’est pas plus épargné. Selon une étude réalisée par Symantec, la France serait passée en 2015 dans le top 10 des pays où la cybercriminalité est la plus forte. Phishing, cheval de Troie, logiciel espion, ou encore vol de données personnelles, les cyberattaques sont en effet légion, et leurs victimes subissent de lourds préjudices.

Face à de telles menaces, la voie judiciaire bien sûr (2), mais la prévention d’abord (1).


1) Mettre en place des mesures nécessaires à la sécurité informatique

En plus de permettre aux cibles potentielles d’éviter la majorité des attaques, la mise en place de mesures de sécurité est indispensable pour se conformer aux obligations légales. En effet, les cyberattaques et le droit des données personnelles sont intimement liés, tant il est fréquent que le piratage informatique porte atteinte aux données à caractère personnel.

A cet égard, l’article 34 de la Loi Informatique et Libertés impose aux responsables de traitement de « prendre toutes précautions utiles » pour « préserver la sécurité des données ». En plus de subir un dommage considérable, l’entreprise victime d’une cyberattaque qui ne se serait pas conformée à cette obligation de sécurité pourrait donc voir sa responsabilité partiellement engagée.

Il est donc nécessaire pour les entreprises d’évaluer le niveau de protection des données qu’elles traitent et de prendre des mesures adéquates. Dans cette optique, la CNIL a édité un guide relatif à la sécurité des données personnelles. On y trouve toute une série de préconisations et de bonnes pratiques, consistant notamment à authentifier les utilisateurs, sécuriser les postes de travail (« pare-feu » et antivirus à jour), protéger les locaux et le réseau informatique, ou encore sécuriser les échanges avec d’autres organismes.

Rappelons qu’en cas de violation de données à caractère personnel, les fournisseurs de services de communications électroniques au public ont l’obligation d’avertir la CNIL sans délai. Avec le nouveau règlement européen, cette obligation de notification se trouve étendue à tous les responsables de traitement.

2) Recourir aux procédures judiciaires pour obtenir réparation

Primordiale, la mise en place de mesures de sécurité informatique ne permet pas de réparer le préjudice subi. Pour cela, il convient d’envisager une action judiciaire.

Si l’entreprise victime ne parvient pas à identifier l’auteur de l’attaque, il est possible de déposer une requête en identification devant le Président du Tribunal de grande instance, lequel pourra ordonner au fournisseur d’accès à internet de communiquer l’identité précise de l’auteur. Il sera alors possible d’engager des poursuites à son égard.

Faute d’identification ou face à des cyberattaques plus élaborées, il est recommandé de suivre la voie pénale qui a pour avantage de mettre en marche des investigations efficaces, permettant de remonter à la source de l’attaque et d’identifier l’auteur grâce à son adresse IP. A noter que depuis l’entrée en vigueur de la loi du 24 juillet 2015 sur le renseignement, le montant des amendes sanctionnant les atteintes aux systèmes de traitement automatisé de données a doublé, voire triplé selon les cas (article 323-1 et suivants et Code pénal).

D’aucuns qui ont subi de telles attaques pourront attester qu’outre les dommages financiers subis, la conséquence psychologique sur les salariés de l’entreprise victime est considérable : sentiment de « mise à nu », insécurité, perte de confiance en l’environnement numérique…

C’est pourquoi il est très fortement recommandé aux entreprises de mettre en place des mesures préventives de sécurité informatique.

les Vendredis de l'IT n°93 du 10 juin 2016

Rédigé par Karine Riahi, Sarah Kerboua le Vendredi 8 Juillet 2016

        

Nouveau commentaire :
Facebook Twitter


Une publication du cabinet


S'abonner

Saisissez votre adresse mail pour recevoir nos articles




Nous suivre en ligne

Facebook
Twitter
Rss
iPhone

KGA Avocats sur votre mobile

Store

Facebook + Twitter


Recherche


NOS CHRONIQUES