Aujourd’hui le risque d’une cyberattaque est omniprésent. Cela part d’un double constat, d’une part 47% de la population mondiale est connectée à internet (soit 3,5 milliards de personnes), d’autre part, des services de hack sont de plus en plus répandus et simple à utiliser. Il est donc impératif de savoir comment sécuriser cet environnement connecté. Concernant ces services de hack, on peut voir fleurir dans les tréfonds du Deep web[1] un type de services regroupé sous l’appellation de Hack-as-a-Service. Ce terme emprunté à la notion de Software-as-a-Service (SaaS) se définit comme la possibilité d’accéder à un logiciel (pour lequel on dispose le plus souvent d’une licence) hébergé, installé, stocké non pas sur notre propre système d’information, mais dans le cloud, c’est à dire un serveur à distance auquel on se connecte via notre navigateur internet. L’outil logiciel est certes conçu par une personne ayant les capacités nécessaires mais son utilisation ne nécessite pas de compétences abouties en matière de programmation, d’architecture système ou réseau, etc. Il s’agit donc d’une forme de service standardisé, dont la rémunération se fait selon différents critères qui varient d’un service à l’autre au gré des développeurs.
Il en va de même pour les solutions de piratage, qui sont désormais hébergées sur des serveurs à distance et auxquels on accède via son navigateur. On peut distinguer plusieurs types de prestation de hack dont le Ransomware-as-a-Service[2] (par exemple, le logiciel Stampado vendu à 39 dollars pour une « full time licence » et dont la promotion avait été faite via une vidéo postée sur Youtube mais supprimée depuis). Il existe aussi le Attack-for-hire-Service qui n’est ni plus ni moins que du DDoS-as-a-Service[3] (on peut citer Titanium Stresser qui a permis de lancer 1,7 millions d’attaques par déni de services et qui comptaient 122 000 utilisateurs inscrits, dont l’administrateur a été condamné à deux ans de prison). Enfin on peut mentionner le Phishing-as-a-Service, avec par exemple le iCloud phishing service qui permet pour la modique somme de 80$ par mois, de récupérer l’identifiant et le mot de passe d’un compte iCloud. L’attaque repose sur l’envoi d’un SMS à des personnes qui ont perdu leur iPhone, le SMS déclarant provenir des services d’Apple et contenant un lien vers une fausse page de connexion aux services iCloud et ressemblant à la page officielle.
Face à ces services qui se multiplient au même titre que les attaques, il n’était pas concevable de rester passif. L’ensemble des acteurs économiques ont un rôle à jouer et sont responsables de la sécurité de leurs systèmes d’information. Mais jusqu’à quel point une entreprise est-elle responsable de la cyberattaque qu’elle subit?
Le texte est clair : toute personne traitant des données personnelles est tenue de les protéger par des mesures adéquates selon l’article L226-17 du Code pénal. Ce texte renvoi lui-même à l’article 34 de la loi informatique et libertés qui prévoit que le responsable du traitement (celui qui décide des moyens pour mettre en œuvre le traitement et de ses finalités), est tenu de prendre « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Cette obligation figure également à l’article 5.1.f) du Règlement 2016/679 du 27 avril 2016 relatif à la protection des données personnelles. Ce qui démontre bien la volonté continue du législateur européen de responsabiliser les entreprises sur la sécurité informatique.
Ce faisant, traiter des données personnelles sans mettre en œuvre les mesures préalables appropriées en matière de sécurité est constitutif d’un délit au sens de l’article 226-16 du Code pénal qui prévoit que traiter des données personnelles sans respecter les formalités préalables (même par négligence), est puni de 5 ans d’emprisonnement et de 300 000 € d’amende. Il est évident qu’on entend ici par mesures préalables des mesures de protection comme l’installation de pare-feu, le contrôle des connections entrantes, l’utilisation du chiffrement ou encore des systèmes d’authentification pour accéder aux composants du système d’information.
Mais les obligations des responsables du traitement ne s’arrêtent pas à cela. En effet, ces derniers sont désormais tenus de notifier à la CNIL les violations des données personnelles qu’ils ont subies. Ils devront en outre informer les personnes concernées de cette violation, s’il existe un risque d’atteinte à leur vie privée (d’où l’importance d’analyser l’impact potentiel d’une faille de sécurité pour chacune des données au regard de la finalité globale du traitement et d’utiliser du chiffrement). Dans l’éventualité où ne serait pas respectée l’obligation de notification, une condamnation pénale est possible aux termes de l’article l’article 226-17-1 du Code Pénal (5 ans de prison et 300 000 € d’amende), ainsi qu’une condamnation financière au titre du RGPD (soit 2 à 4% du chiffre d’affaire mondial de l’entreprise).
Le risque pour l’entreprise est alors d’une part, une atteinte à son image et d’autre part, une responsabilité pénale et civile dans la mesure où les personnes concernées, si elles ont subi un dommage, peuvent demander réparation (sur le fondement de la responsabilité civile délictuelle). En atteste l’action de groupe intentée contre Target au Royaume-Uni pour violation des données personnelles. Même si l’action a été rejetée en appel, le risque de subir une telle action est réel. De même, la responsabilité contractuelle peut être actionnée, par exemple, si l’hébergeur, à qui on a confié les données, n’a pas respecté les termes du contrat en matière de sécurisation des données ou s’il a été négligent.
Sont prévues par la Directive NIS (Directive 2016/1148 du 6 juillet 2016 Network and Information Security) des exigences supplémentaires de sécurité et de notification des incidents. Certains opérateurs, de par la nature des activités qu’ils exercent, sont soumis à certaines obligations en matière de sécurité. Cela concerne d’abord les opérateurs de services essentiels (terme consacré dans la directive) qui peuvent être identifiés par différents critères comme le fait que l’entité doit fournir un « service qui est essentiel au maintien d’activités sociétales et ou économiques critiques », ce qui concerne des infrastructures vitales pour les intérêts d’une nation (par exemple : Réseau électrique, opérateurs de communications, de transport, etc…).
Mais sont également impliqués les fournisseurs de services numériques, qui sont définis dans la directive comme « Une personne morale qui fournit un service numérique ». N’étant pas plus avancé par cette lapalissade, on regarde donc la définition de service numérique dans la directive et cette dernière renvoie à la directive 2015/1535 qui commence par définir les services numériques comme « tout service de la société de l’information » et la suite de l’article explique que cela recouvre « tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ». D’accord, mais concrètement ? Cela recouvre globalement les activités de places de marchés en ligne, de moteur de recherche et de cloud. On notera par ailleurs l’absence des opérateurs de communications électroniques (FAI et opérateurs mobile par exemple). En effet, ces derniers trouvent leurs obligations dans la directive 2002/21 du 7 mars 2002 (article 8.4.f selon lequel « les autorités réglementaires soutiennent les intérêts citoyens, notamment […] en garantissant l’intégrité et la sécurité des réseaux de communications publics ». En ce qui concerne notre législation nationale, la loi du 18 décembre 2013 relative à la programmation militaire utilise la notion d’opérateurs d’importance vitale (OIV). Les critères pour retenir cette qualification sont exposées à l’article R1332-2 du Code de la défense et sont similaires à ceux de la directive NIS.
Ainsi selon les articles 14 et 16 de la directive NIS, ces deux types d’acteurs sont tenus de prendre des « mesures techniques et organisationnelles » qui s’avèrent adaptées pour gérer les risques menaçant la sécurité des réseaux et des systèmes d’information utilisés. De même, ils doivent être en mesure de prévenir ce type d’atteinte pouvant compromettre la sécurité des réseaux et des systèmes, et de notifier à l’autorité compétente (l’ANSSI en ce qui concerne la France) les cyberattaques dont ils sont victimes. A cette fin, l’autorité nationale compétente peut évaluer le respect de cette obligation de sécurisation par l’opérateur. En cas d’identification d’une défaillance dans un système, elle peut l’enjoindre à corriger ses failles par des instructions contraignantes. Le non-respect de cette obligation de sécurisation des systèmes d’information ou d’entretien de la sécurité est sanctionnée, en droit interne, aux termes de l’article L1332-7 alinéa 3 du Code de la défense (amende de 150 000 €). Cet article prévoit plusieurs cas où une amende peut être prononcée et notamment l’omission « d’établir un plan de protection ou de réaliser les travaux prévus ».
Nous voyons donc qu’il existe une obligation de sécurisation dès lors que des données à caractère personnel sont traitées, mais également qu’indépendamment de tout traitement, il est possible de se voir imposer certaines obligations de sécurité informatique du simple fait de la nature des activités exercées. Aux vues de ces éléments, chaque entreprise doit s’interroger sur la nécessité de débloquer des budgets pour sécuriser ses systèmes d’information ou provisionner des sommes conséquentes en cas de sanction.
Télécharger notre Fiche Pratique « Tenue de registre de traitement » pour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.
[1] Ensemble du contenu web non indexé par les moteurs de recherche.
[2] Un ransomware est un logiciel malveillant permettant de chiffrer les données afin de demander une rançon en échange de la clef de déchiffrement.
[3] L’attaque par déni de service consiste à inonder de requêtes un serveur afin de rendre son accès indisponible.
Directive 2016/1148 du 6 juillet 2016 (Directive NIS, pour Network and information security) relative à la cybersécurité.
Directive 2002/21 du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive « cadre »)
Directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.
Code pénal
Code de la défense
« Ransomware As A Service Being Offered For $39 On The Dark Net », Kevin Murnane, 15 juillet 2016. Lien : https://www.forbes.com/sites/kevinmurnane/2016/07/15/ransomware-as-a-service-being-offered-for-39-on-the-dark-net/#619bea5855a6
« Meet ‘Tox’: Ransomware for the Rest of Us », McAfee Labs, 23 mai 2015. Lien : https://securingtomorrow.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us/
« Attaques DDoS : Deux ans ferme pour l’administrateur du Titanium Stresser », Louis Adam, 27 avril 2017. Lien : http://www.zdnet.fr/actualites/attaques-ddos-deux-ans-ferme-pour-l-administrateur-du-titanium-stresser-39851750.html
« UK Man Gets Two Years in Jail for Running ‘Titanium Stresser’ Attack-for-Hire Service », Brian, 25 avril 2017. Lien : https://krebsonsecurity.com/2017/04/uk-man-gets-two-years-in-jail-for-running-titanium-stresser-attack-for-hire-service/
« If Your iPhone is Stolen, These Guys May Try to iPhish You », Brian Krebs, 14 mars 2017. Lien : https://krebsonsecurity.com/2017/03/if-your-iphone-is-stolen-these-guys-may-try-to-iphish-you/
« Failles de sécurité : quelles responsabilités pour les entreprises ? », Olivier Proust, 30 janvier 2009. Lien: http://www.journaldunet.com/solutions/expert/35748/failles-de-securite—quelles-responsabilites-pour-les-entreprises.html
« L’adoption de la directive NIS (Network and Information Security) », Donatienne Blin, 16 septembre 2016. Lien : http://www.village-justice.com/articles/Breve-actualite-adoption-directive-NIS-Network-and-Information-Security,23011.html
« Quelles obligations pour les OIV en matière de cybersécurité : exigences européennes et françaises comparées », Betty Sfez, 17 avril 2014. Lien : http://www.village-justice.com/articles/Quelles-obligations-pour-les-OIV,16739.html »
« Settlement of Target Data Breach Consumer Class Action Is Derailed On Appeal », Davide Navetta et Matthew Spohn, 7 février 2017. Lien: http://www.dataprotectionreport.com/2017/02/settlement-of-target-data-breach-consumer-class-action-is-derailed-on-appeal/
DDoS-for-Hire costs just $38 per hour », Tara Seals , infosecurity magazine; 10 juin 2015. Liens : https://www.infosecurity-magazine.com/news/ddosforhire-costs-just-38-per-hour/