+33 (0)4 42 70 07 03

Retour à la liste

PINT Avocats - Newsletter Novembre 2022 - Le CYBERMOIS avec Cyberwings : rançonlogiciel et sanctions de la CNIL

NEWSLETTER

Novembre 2022

Ce mois-ci, c’est le cybermois.

L’occasion de revenir avec notre partenaire Cyberwings sur les rançongiciels, leurs conséquences et surtout comment les éviter !

    Rançongiciel et sanctions CNIL :

Comment anticiper des risques complexes,  inconfortables et difficiles à quantifier ?

 

En 2020, les attaques dites par « ransomware » ou en français « rançongiciel[i] » sont devenues la principale menace informatique pour les professionnels[ii].

Bien que ces dernières touchent tout type d’organisations, on constate une plus grande propension des cybercriminels à cibler des collectivités locales, le secteur de l’éducation, de la santé ou encore des entreprises de services numériques[iii].

La pratique connaît une telle expansion, qu’elle est désormais qualifiée de « Big game hunting[iv] ».

L’explosion des cas de rançongiciels en cette deuxième partie d’année 2022 est notable : le mois de septembre peut être considéré comme l’un des pires observé depuis que la pratique des rançongiciels est devenue courante (renforcée par le phénomène COVID), avec pas moins de 255 cas de prises d’otages numériques connues[v][1].

Au-delà du risque de paralysie de l’entreprise, de la perte de temps et des conséquences sur le business, quels sont les risques en particulier au regard des données personnelles et de la CNIL[vi] ?

 

  1. Une attaque par rançongiciel peut - à la suite d’une déclaration d’incident, d’un contrôle, ou d’une plainte -  conduire à des sanctions de la CNIL. En effet, un rançongiciel peut conduire à une indisponibilité des données, mais également être à l’origine de leur exfiltration, diffusion et exploitation qui peuvent constituer des manquements au RGPD[vii] s’il est avéré que l’entreprise ciblée n’avait pas mis en œuvre les moyens suffisants pour s’assurer de la sécurité de ces données[viii].
  1. Une donnée personnelle non protégée et bien exploitée par l'attaquant peut faciliter l'attaque par rançongiciel car elle permet de personnaliser, cibler et crédibiliser l’attaque (via une usurpation d'identité, un spearphishing, etc.). La recherche en sources ouvertes (OSINT) couplée à de potentielles fuites de données permettent à l’attaquant d’élaborer un scénario actuel et vraisemblable à même de leurrer les collaborateurs de l’organisation visée.
  1. On assiste au développement de ce que l’on appelle « le double effet RGPD », c’est-à-dire une double menace à l’encontre des organisations frappées par des rançongiciels. Prise en étau entre le risque de sanction CNIL si l’incident et les fuites sont révélées par les attaquants eux-mêmes d’une part (menace brandie pour inciter au paiement d’une rançon plus élevée) ; et le risque financier et opérationnel généré par la prise en otage d’autre part, l’entreprise est acculée à subir l’attaque et souvent, payer la rançon qui y est associée.

De fait, comment répondre au mieux, et anticiper ce genre de situation ?

Le conseil clé : intervenir en amont pour être prêt le jour d’une éventuelle attaque

  1. Coté juridique, se mettre en conformité avec le RGPD afin d’éviter des sanctions CNIL et le « double effet RGPD ». En particulier, en 2022, 4 sanctions pour manquement à la sécurité et la confidentialité des données, avec des amendes de 10K€, 150K€, 600K€ et 800K€. 

Cette mise en conformité suppose d’identifier les obligations de l’entreprise puis la mise en œuvre d’une feuille de route, par une réelle implication des personnes clés : analyse des pratiques existantes, rédaction de la documentation nécessaire (registre des activités de traitement, analyses d’impacts, procédures d’exercice des droits, etc.) et la mise à jour continue de ce corpus constitué. 

Un accompagnement par des experts techniques et juridiques peut également s’avérer nécessaire pour impulser cette démarche, lorsque des actions pointues et à forte valeur ajoutée doivent être conduites rapidement, ou lorsque l’organisation n’a pas suffisamment de ressources / compétences internes à allouer à ce projet.

  1. Coté technique, tenter de limiter la vraisemblance de ce risque. Il est en effet conseillé d’opérer un diagnostic de sécurité ayant pour objectif de s’assurer de l’existence et de la suffisance des mesures de sécurité du système d’information de l’organisation. À la suite de cela, des tests d’intrusion peuvent être réalisés sur le SI afin de s’assurer de l’efficacité réelle de ces mesures, lorsque l’organisation est soumise à une attaque (simulée).
  1. Côté organisationnel : mettre en place des procédures en amont et tenter de limiter les impacts de ce risque et la durée de la crise, en identifiant et anticipant les personnes à prévenir et leur rôle.

L’évaluation et le test des procédures de gestion de crise, de continuité et de reprise d’activité (PCRA) sont nécessaires à la totale préparation d’une organisation face à ce type de menaces.

La réalisation d’un exercice de crise sur table, impliquant l’ensemble des personnes clés d’une organisation (DG, service juridique, service informatique, communication,  métiers, etc.) est un moyen ludique et efficace de limiter les impacts d’un rançongiciel à l’intérieur et à l’extérieur de l’organisation, dans une logique d’amélioration continue et de prévention pour être en mesure de répondre efficacement et « sereinement » le jour d’un incident.

⚠️ A retenir : 

  • N’attendez pas qu’il soit trop tard !
 

 

 

[i] Un rançongiciel est un code malveillant qui a pour action de chiffrer vos données et de fait de les rendre inaccessibles . Le paiement d’une rançon est réclamé pour obtenir le déchiffrement (potentiel) de vos données.

[ii] https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/ransomware-rancongiciel-definition#cibles-visees

[iii] Selon l’ANSSI

[iv] Littéralement « la chasse aux gros gibiers ». Dans le cas présent, les rançonneurs choisissent des cibles de plus en plus importantes auxquelles ils peuvent demander de plus grandes sommes d’argent

[v] https://www.zataz.com/ransomware-les-chiffres-de-septembre-2022-sont-affolants/

[vi] Commission Nationale Informatique et Libertés, autorité administrative indépendante de contrôle en matière de données personnelles

[vii] Règlement Général pour la Protection des Données (Règlement UE 2016/679) du 27 avril 2016

[viii] Article 32 du RGPD : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32