Réagir à une cyberattaque

 

Comment réagir à une cyberattaque ? Quels sont les bons réflexes à adopter en cas de rançongiciel ? Quelles sont les premières mesures à prendre ?

Les cyberattaques visant des entreprises ou administrations se multiplient en France et dans l’Union Européenne. Nombreuses sont les organisations qui ne savent pas comment réagir. Votre Avocat fait le point sur ces enjeux essentiels en matière de cybersécurité. 

Quelques chiffres sur les cyberattaques en France

Début septembre 2022, la Direction Générale du Trésor publiait des chiffres particulièrement inquiétants sur l’augmentation des cyberattaques. Ainsi, elle relevait que :

  • 54% des entreprises françaises auraient fait l’objet d’une cyberattaque en 2021 ;
  • Moins de 0,3% des PME françaises sont couvertes par un contrat d’assurance cyber.

Ces chiffres sont par ailleurs confirmés par le « baromètre du ransomware » publié en juin 2022 par la start-up Anozr Way. Ainsi, les cyberattaques réalisées entre janvier et avril 2022, représenteraient déjà 50% des attaques recensées en 2021. Pour Anozr Way, la France serait le troisième pays de l’Union européenne le plus touché. Le secteur public hospitalier étant particulièrement visé.

Qu’est-ce qu’une cyberattaque ?

Le gouvernement définit une cyberattaque comme « une atteinte à des systèmes informatiques réalisées dans un but malveillant ».

Ainsi, les attaquants peuvent bloquer l’usage d’un site internet, intranet voire d’une administration ou d’une entreprise si elle repose sur un système d’information (SI). On parle alors de sabotage.

Le plus souvent, les cyberattaques reposent sur deux techniques très répandues :

  • le hameçonnage ou « phishing » ;
  • Le rançongiciel ou « ransomeware ».

L’attaque par hameçonnage ou technique du phishing

Dans le cas d’une attaque par hameçonnage, les attaquants usurpent l’identité d’un tiers de confiance (banques, administrations, impôts, fournisseurs d’accès, opérateur téléphonique). Ils transmettent un message contenant une pièce jointe ou un lien frauduleux. En suivant les consignes du fraudeur, la victime se dirige vers un site frauduleux imitant le tiers de confiance.

Ce site va l’inciter à remplir des coordonnées bancaires ou personnelles pour en subtiliser le contenu. 

L’attaque par rançongiciel ou technique du ransomeware

Dans le cas d’une attaque par rançongiciel, l’attaquant utilise la même technique consistant à transmettre au destinataire ciblé un message contenant des liens frauduleux.

En suivant le lien, la victime télécharge à son insu un logiciel qui va crypter l’ensemble des données contenues sur l’ordinateur, voire sur le système informatique de l’organisation.

Une fois les données cryptées, la victime voit apparaître un message l’incitant à payer une somme d’argent, le plus souvent en cryptomonnaie pour obtenir une clé déchiffrage et récupérer les données subtilisées.

Attention : rien ne garantit qu’en payant la rançon demandée, la situation sera rétablie. Le système d’information demeure compromis et les données corrompues.

Comment s’en prémunir ? Quelles précautions en interne ?

Tous les experts en cybersécurité s’accordent à dire que le plus souvent la porte d’entrée dans un système sécurisée repose sur une défaillance humaine. S’il est impossible de faire disparaître totalement le risque d’une cyberattaque, il est néanmoins possible de prendre des mesures efficaces pour s’en prémunir. 

  • Mettre en place des procédures internes de veille et d’alerte ;
  • Former le personnel sur l’utilisation des outils informatiques ;
  • S’adjoindre les conseils d’experts en cybersécurité ;
  • Effectuer régulièrement les mises à jour des logiciels et systèmes d’exploitation ;
  • Utiliser un logiciel antivirus à jour ;
  • Sauvegarder régulièrement ses données sur un stockage externe et sécurisé ;
  • Cartographier les données personnelles et sensibles détenues par l’entreprise ;
  • Désigner un responsable de la cybersécurité ;
  • Au moindre doute, vérifier l’expéditeur d’un message ou mail douteux 

Que faire en cas de cyberattaque ?

L’ANSSI (Agence Nationale de Sécurité des systèmes informatiques) propose un guide assez complet des premières mesures à prendre en cas de cyberattaque. De plus, le gouvernement a mis en ligne une plateforme permettant d’entrer en contact avec des prestataires de proximité spécialisé sur le site www.cybermalveillance.gouv.fr.

Exemples de bonnes pratiques :

  • Ne jamais payer la rançon ;
  • Suivre une procédure établie avec des professionnels de la cybersécurité ;
  • Effectuer une notification à la CNIL d’une violation des données personnelles dans les 72 heures au plus tard après en avoir pris connaissance ;
  • Déposer plainte auprès de la police nationale ou, mieux encore, auprès du procureur de la République ;
  • Déposer plainte en ligne sur la plateforme THESEE du ministère de l’intérieur
  • Former opposition sur les différents moyens de paiement susceptibles d’avoir été compromis.
  • Prévenir les tiers (clients, fournisseurs, partenaires, salariés) dont les données sont susceptibles d’avoir été compromises

Que peut faire votre Avocat pour vous accompagner lors d’une cyberattaque ?

Identifier une violation de données personnelles

Lorsqu’une entreprise ou une administration fait l’objet d’une cyberattaque, il existe un risque fort de violation des données personnelles. L’article 4.12 du RGPD définit une violation de données personnelles comme la

« violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées, ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Ainsi, toute entreprise qui utilise des données personnelles doit sécuriser les traitements de ces données (article 32 RGPD). Il lui appartient de désigner un responsable de traitement. Ce dernier n’aura pas une obligation de résultats mais une obligation de moyens. 

Le responsable du traitement doit veiller notamment au respect des objectifs suivants :

  • confidentialité des données ;
  • intégrité des données ; 
  • Disponibilité des données ;
  • Traçabilité des actions effectuées sur les données ;

Chaque organisation doit disposer de ses propres outils et moyens pour s’assurer du respect de ses obligations, selon la nature des données, leur niveau de sensibilité, leur utilisation. En cas de violation des données personnelles, il est également indispensable d’effectuer une notification documentée des violations constatées auprès de la CNIL. 

En l’absence de signalement, l’organisation s’expose à des amendes administratives et pénales.

Aussi, votre Avocat peut vous accompagner pour rédiger une notification à la CNIL et réagir rapidement auprès des autorités.

Réagir auprès des autorités policières et judiciaires 

Il est ensuite indispensable de ne pas rester isolé. Les autorités policières et judiciaires disposent d’équipes spécialisées dans les cyberattaques. 

C’est pourquoi il est nécessaire de déposer plainte. Le dépôt de plainte peut être effectué au commissariat. Mais pour plus d’efficacité, il est judicieux de déposer plainte entre les mains du procureur de la République territorialement compétent. Cette plainte vise alors une personne identifiée ou contre X, si l’auteur des faits n’est pas connu de la victime.

Il appartient au plaignant de déterminer la nature des faits, la date, d’évaluer autant que possible le préjudice subi et de joindre l’ensemble des éléments de preuve relatifs à la cyberattaque.

En l’absence de réponse dans un délai de trois mois à compter du dépôt de plainte, ou en cas de classement sans suite, il est possible de procéder à un dépôt de plainte avec constitution de partie civile auprès du doyen des juges d’instruction.

La partie civile devra alors verser une consignation. Le juge d’instruction transmet alors la plainte au procureur de la République qui prend des réquisitions qui pourront avoir pour effet de de mander au juge d’instruction l’ouverture d’une information judiciaire.

Votre Avocat vous accompagne alors tout au long de l’enquête ou de l’instruction.

Lorsque le plaignant devient partie civile, il accède au dossier et dispose de l’ensemble des droits accordés à la partie civile. Il est alors possible de formuler des demandes d’actes, des expertises complémentaires. 

Enfin, à l’issue de la procédure, en phase de jugement, la partie civile pourra alors demander l’indemnisation de son préjudice en formulant une demande de condamnation à des dommages et intérêts. 

Vous souhaitez échanger avec votre Avocat ? Contactez-nous