L’Hexagone n’est pas plus épargné. Selon une étude réalisée par Symantec, la France serait passée en 2015 dans le top 10 des pays où la cybercriminalité est la plus forte. Phishing, cheval de Troie, logiciel espion, ou encore vol de données personnelles, les cyberattaques sont en effet légion, et leurs victimes subissent de lourds préjudices.
Face à de telles menaces, la voie judiciaire bien sûr (2), mais la prévention d’abord (1).
Face à de telles menaces, la voie judiciaire bien sûr (2), mais la prévention d’abord (1).
1) Mettre en place des mesures nécessaires à la sécurité informatique
En plus de permettre aux cibles potentielles d’éviter la majorité des attaques, la mise en place de mesures de sécurité est indispensable pour se conformer aux obligations légales. En effet, les cyberattaques et le droit des données personnelles sont intimement liés, tant il est fréquent que le piratage informatique porte atteinte aux données à caractère personnel.
A cet égard, l’article 34 de la Loi Informatique et Libertés impose aux responsables de traitement de « prendre toutes précautions utiles » pour « préserver la sécurité des données ». En plus de subir un dommage considérable, l’entreprise victime d’une cyberattaque qui ne se serait pas conformée à cette obligation de sécurité pourrait donc voir sa responsabilité partiellement engagée.
Il est donc nécessaire pour les entreprises d’évaluer le niveau de protection des données qu’elles traitent et de prendre des mesures adéquates. Dans cette optique, la CNIL a édité un guide relatif à la sécurité des données personnelles. On y trouve toute une série de préconisations et de bonnes pratiques, consistant notamment à authentifier les utilisateurs, sécuriser les postes de travail (« pare-feu » et antivirus à jour), protéger les locaux et le réseau informatique, ou encore sécuriser les échanges avec d’autres organismes.
Rappelons qu’en cas de violation de données à caractère personnel, les fournisseurs de services de communications électroniques au public ont l’obligation d’avertir la CNIL sans délai. Avec le nouveau règlement européen, cette obligation de notification se trouve étendue à tous les responsables de traitement.
A cet égard, l’article 34 de la Loi Informatique et Libertés impose aux responsables de traitement de « prendre toutes précautions utiles » pour « préserver la sécurité des données ». En plus de subir un dommage considérable, l’entreprise victime d’une cyberattaque qui ne se serait pas conformée à cette obligation de sécurité pourrait donc voir sa responsabilité partiellement engagée.
Il est donc nécessaire pour les entreprises d’évaluer le niveau de protection des données qu’elles traitent et de prendre des mesures adéquates. Dans cette optique, la CNIL a édité un guide relatif à la sécurité des données personnelles. On y trouve toute une série de préconisations et de bonnes pratiques, consistant notamment à authentifier les utilisateurs, sécuriser les postes de travail (« pare-feu » et antivirus à jour), protéger les locaux et le réseau informatique, ou encore sécuriser les échanges avec d’autres organismes.
Rappelons qu’en cas de violation de données à caractère personnel, les fournisseurs de services de communications électroniques au public ont l’obligation d’avertir la CNIL sans délai. Avec le nouveau règlement européen, cette obligation de notification se trouve étendue à tous les responsables de traitement.
2) Recourir aux procédures judiciaires pour obtenir réparation
Primordiale, la mise en place de mesures de sécurité informatique ne permet pas de réparer le préjudice subi. Pour cela, il convient d’envisager une action judiciaire.
Si l’entreprise victime ne parvient pas à identifier l’auteur de l’attaque, il est possible de déposer une requête en identification devant le Président du Tribunal de grande instance, lequel pourra ordonner au fournisseur d’accès à internet de communiquer l’identité précise de l’auteur. Il sera alors possible d’engager des poursuites à son égard.
Faute d’identification ou face à des cyberattaques plus élaborées, il est recommandé de suivre la voie pénale qui a pour avantage de mettre en marche des investigations efficaces, permettant de remonter à la source de l’attaque et d’identifier l’auteur grâce à son adresse IP. A noter que depuis l’entrée en vigueur de la loi du 24 juillet 2015 sur le renseignement, le montant des amendes sanctionnant les atteintes aux systèmes de traitement automatisé de données a doublé, voire triplé selon les cas (article 323-1 et suivants et Code pénal).
D’aucuns qui ont subi de telles attaques pourront attester qu’outre les dommages financiers subis, la conséquence psychologique sur les salariés de l’entreprise victime est considérable : sentiment de « mise à nu », insécurité, perte de confiance en l’environnement numérique…
C’est pourquoi il est très fortement recommandé aux entreprises de mettre en place des mesures préventives de sécurité informatique.
les Vendredis de l'IT n°93 du 10 juin 2016
Si l’entreprise victime ne parvient pas à identifier l’auteur de l’attaque, il est possible de déposer une requête en identification devant le Président du Tribunal de grande instance, lequel pourra ordonner au fournisseur d’accès à internet de communiquer l’identité précise de l’auteur. Il sera alors possible d’engager des poursuites à son égard.
Faute d’identification ou face à des cyberattaques plus élaborées, il est recommandé de suivre la voie pénale qui a pour avantage de mettre en marche des investigations efficaces, permettant de remonter à la source de l’attaque et d’identifier l’auteur grâce à son adresse IP. A noter que depuis l’entrée en vigueur de la loi du 24 juillet 2015 sur le renseignement, le montant des amendes sanctionnant les atteintes aux systèmes de traitement automatisé de données a doublé, voire triplé selon les cas (article 323-1 et suivants et Code pénal).
D’aucuns qui ont subi de telles attaques pourront attester qu’outre les dommages financiers subis, la conséquence psychologique sur les salariés de l’entreprise victime est considérable : sentiment de « mise à nu », insécurité, perte de confiance en l’environnement numérique…
C’est pourquoi il est très fortement recommandé aux entreprises de mettre en place des mesures préventives de sécurité informatique.
les Vendredis de l'IT n°93 du 10 juin 2016
Le Privacy Shield en Suisse -The Privacy Shield in Switzerland (par les experts du réseau PANGEA / by the experts from PANGEA Network)
