La cybersécurité, une préoccupation majeure

La Cybersécurité

Depuis plusieurs années, les cyberattaques sont en hausse en France. On estime une augmentation de + 400 % des cybermenaces depuis 2020. Il s’agit d’ailleurs d’un risque qui avait déjà été évoqué par l’ANSI (Agence Nationale de la Sécurité des Systèmes d’Information) il y a quelques années, qui prévoyait une augmentation de la menace au cours de ces prochaines années.

Si les cyberattaques visaient initialement plutôt les entreprises, elles concernent de plus en plus les établissements médicaux et les collectivités territoriales. Comment expliquer cette explosion des cyberattaques ? Qu’est-ce que la cybersécurité et quel est son rôle ?

Qu’est-ce que la cybersécurité ?

La cybersécurité a pour objectif principal de protéger les systèmes informatiques, les réseaux et les programmes contre des attaques numériques. Bien souvent, ces cyberattaques ont pour but de tenter d’accéder à des informations sensibles afin de les modifier ou les détruire ou bien de les utiliser afin d’en tirer profit, la plupart du temps financièrement.

La cybersécurité, également appelée sécurité informatique ou sécurité des systèmes d’information, se distingue en plusieurs catégories :
La sécurité des réseaux,
La sécurité des applications,
La sécurité des informations,
La sécurité opérationnelle.

Les cyberattaques les plus répandues visent à collecter des informations afin de les réutiliser de différentes façons. On distingue différents types de cybermenaces telles que : le virus, le Cheval de Troie, le Spyware, le Ransomware, le Adware ou encore le Botnet. Cependant, depuis quelques années, on découvre 3 nouvelles cybermenaces de plus en plus utilisées :
Le Malware Dridex. Il s’agit d’un Cheval de Troie Bancaire qui infecte des systèmes par l’envoi de courriels de phishing. En récupérant des données de connexion, coordonnées bancaires ou données personnels, les cybercriminels peuvent ainsi réaliser des transactions malhonnêtes.
Les arnaques sentimentales. Ces arnaques visent à mettre en place des escroqueries sur des salons de discussion, des applications ou sites de rencontre. En profitant de la vulnérabilité des victimes, les pirates informatiques récupèrent des données personnelles qu’ils utiliseront ensuite à des fins délictuelles.
Le Malware Emotet. Ce Cheval de Troie permet de voler des données en profitant d’un mot de passe non sécurisé.

Le droit et la cybersécurité, consulter un avocat spécialisé en droit informatique à Paris

Le droit de la cybersécurité concerne tous les risques et toutes les menaces volontaires qui sont d’origine humaine et qui peuvent porter atteintes aux patrimoines de l’entreprise. Face à un phénomène d’ampleur de plus en plus conséquente, une entreprise peut régulièrement être amenée à faire appel à un avocat pour se protéger des cyberattaques et pour défendre ses intérêts dans une affaire dans laquelle elle aurait pu être victime ou mise en cause.

Le droit français et européen fixe un cadre juridique clair et précis qui nécessite la mise en place de mesures de sécurité strictes. Toute entreprise est tenue de tenir ses obligations au risque de s’exposer à de lourdes sanctions. En effet, dans le cas où une cyberattaque aurait été rendue possible du fait que l’entreprise n’a pas respecté ses obligations en matière de sécurité et de confidentialité, l’entreprise s’exposerait alors à de lourdes sanctions financières pouvant être prononcées par la CNIL (Commission Nationale de l’Informatique et des Libertés).

Afin de respecter ces réglementations de protection des données personnelles, les entreprises peuvent se faire accompagner d’un avocat en cybersécurité. L’avocat spécialisé peut ainsi accompagner son client dans la rédaction d’un document contractuel et dans les formalités indispensables au respect des obligations légales. L’avocat spécialisé en cybersécurité apporte des conseils sur les solutions de protection et de sécurité à mettre en place. Il peut assurer la défense des droits de son client dans le cas d’un litige.

La cybersécurité : pourquoi est-elle indispensable ?

La mise en place de mesures qui permettent de lutter efficacement contre la cybermenace est de plus en plus compliquée aujourd’hui. En effet, l’évolution numérique est constante et les pirates informatiques sont bien informés de ces transformations et savent être toujours plus innovants.

Les entreprises doivent pouvoir prendre conscience du risque en matière de cybersécurité. En assurant une veille spécifique d’identification des cybermenaces auxquelles ils peuvent être confrontés, les dirigeants peuvent ainsi anticiper et réagir de la meilleure façon aux cybermenaces.

Pour une entreprise, être victime d’une cyberattaque peut entraîner une perte de données sensibles, une perte financière importante due au vol et pour récupérer des données volées, des dommages à la réputation et peut même dans certains cas entraîner la fermeture d’une entreprise.

Une entreprise doit donc s’assurer de garantir la sécurité des achats en ligne afin de se conformer à la législation et dans un but de confiance auprès de ses clients.

Quels sont les principes fondamentaux de la cybersécurité ?

La cybersécurité vise cinq objectifs principaux : l’intégrité, la disponibilité, la confidentialité, la non-répudiation et l’authentification. Aucun système informatique n’est infaillible malgré la mise en place de différentes mesures de prévention. Ainsi, pour détecter une cybermenace, il convient d’assurer un suivi attentif de sa propre protection informatique. Afin de prévenir le risque informatique, il convient de s’assurer de :
Analyser convenablement les risques,
Définir une politique de sécurité,
Mettre en œuvre une solution de prévention,
Évaluer fréquemment les solutions de protection,
Mettre à jour constamment le système de protection en fonction de l’évolution des
risques.

Règlementation en matière de cybersécurité : quelles règles pour les entreprises ?

Les entreprises sont tenues de respecter quelques règles de protection et de sécurité informatique fixées par le droit français. Le cas contraire, leur responsabilité peut se voir engagée et l’entreprise peut s’exposer à d’importantes sanctions.

Toute entreprise est tenue de protéger au maximum ses données. Elle droit pouvoir utiliser toutes les solutions utiles à sa protection contre les cyberattaques. En tant qu’employeur, il s’agit également de pouvoir protéger les salariés en ce qui concerne leurs informations personnelles. Une entreprise peut être amenée à internaliser les compétences en matière de cybersécurité en créant une Direction des Systèmes d’Information (DSI). En confiant des audits à un expert extérieur, l’entreprise peut également s’assurer d’un contrôle et d’une analyse des processus mis en place pour obtenir une cybersécurité optimale et efficace.

La protection des données est l’un des principaux objectifs dans la mise en place de solutions de protection contre les cyberattaques. Ainsi, chaque entreprise doit s’assurer de mettre en place des mesures de protection qui permettent de garantir la confidentialité et l’intégrité des données. Pour garantir une protection efficace, une entreprise doit donc s’assurer d’appliquer :
Des méthodes de chiffrement des données et des connexions,
Des mesures d’authentification fortes afin de détecter d’éventuels robots,
Des mesures d’accès aux données en toute circonstance, par des sauvegardes sécurisées,
Des procédures d’évaluation de la protection mise en place, l’entreprise doit pouvoir améliorer à tout moment sa protection afin de se conformer aux failles et aux évolutions numériques.

Chaque entreprise doit pouvoir se conformer aux règles qui concernent le RGPD (Règlement Général sur la Protection des Données). Le RGPD définit une violation de données personnelles comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. » De ce fait, une entreprise doit protéger les données qu’elle possède dans son système. En augmentant son degré de sécurité afin de se conformer aux différentes exigences du RGPD, l’entreprise évite tout incident qui pourrait nuire à ses valeurs et lui faire perdre la confiance de ses clients.

Une hausse de + 400 % de cyberattaques depuis 2 ans : comment l’expliquer ?

Depuis 2020, on constate une explosion des cyberattaques en France. Près de la moitié des entreprises françaises reconnaissent une hausse significative des attaques ces deux dernières années. En effet, dans son dernier rapport d’activité, le GIP ACYMA (Groupement d’Intérêt
Public Action contre la Cybermalveillance), dévoile une hausse significative des demandes d’assistance en ligne.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a enregistré une hausse de + 37 % d’intrusions sur des systèmes informatiques, soit un peu plus de 1 000 intrusions au cours de l’année 2021. 69% des cyberattaques concernaient des entreprises, 11% des hôpitaux et 20 % des collectivités territoriales.

Si plus d’une entreprise sur deux a été victime de cybercriminalité durant l’année 2021, on constate également que moins d’une entreprise sur deux investit une part financière de son budget dans sa cybersécurité. En effet, rares sont les entreprises qui réservent une partie de leur budget à l’acquisition d’outils et solutions de sécurisation des réseaux. Les salariés ne sont pas toujours assez bien sensibilisés sur le danger informatique et les potentielles cyberattaques. On estime qu’environ 85% des violations de données privées sont causées par l’erreur humaine qui concerne principalement l’ouverture d’un courriel frauduleux.

À la suite de la crise sanitaire de la pandémie Covid-19, nombreuses sont les entreprises qui font un lien entre l’augmentation des cyberattaques auxquelles elles sont confrontées et l’augmentation du télétravail de leurs salariés. Tandis que sur le lieu de travail, certaines solutions de sécurité mises en place par l’entreprise permettaient de limiter le risque de cybermenace, dans le cadre du télétravail, les entreprises ne pouvaient pas toujours veiller à la sécurité de leurs données.

L’avocat spécialisé en droit informatique

Qu’est-ce que la directive NIS 2 ?

C’est une directive qui vise à renforcer et à homogénéiser le dispositif européen anti-attaques cyber, et qui est destinée à remplacer la directive NIS 2016 / 1148 – Etat de la procédure d’adoption ici

Transfert de données : l’évaluation nécessaire des législations étrangères ?

Mise à jour 2 novembre 2022

 

Le Comité européen de la protection des données (CEPD) donne son cadre pour être en conformité avec le RGPD en cas de transfert de données hors de l’Union européenne.

Recommendations 01/2020 on measures that
supplement transfer tools to ensure compliance with
the EU level of protection of personal data
Version 2.0
Adopted on 18 June 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

On pouvait s’attendre à ce que ce cadre allège les formalités contractuelles des entreprises (Binding Corporate Rules ou Clauses contractuelles type) en matière de transfert de données hors Union Européenne.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde,

Sauf à rentrer dans les dérogations prévues par l’article 49 du RGPD.

En effet, un Etat souverain peut dans tous les cas accéder aux données, sur demande spécifique : seule une demande générale d’accès aux données pourrait être contestée sur le plan des principes.

En ce qui concerne les transferts de données vers les Etats-Unis, il n’existe toujours pas de décision d’adéquation par la Commission Européenne, après les arrêts CJUE dits Schrems I du 6 octobre 2015 (C-362/14) (invalidation du Safe Harbour) et Schrems II du 16 juillet 2020 (C-311/18) (invalidation du Privacy Shield). La législation US reflète en effet une conception de la vie privée centrée sur la protection du citoyen américain n’incluant pas les étrangers, qui n’est pas celle, universaliste, de l’Union Européenne.

Le 4ème amendement de la Constitution des Etats-Unis prévoit en effet : « Le droit des citoyens d’être garantis dans leur personne, leur domicile, leurs papiers et leurs effets contre les perquisitions et saisies non motivées ne sera pas violé et il ne sera émis aucun mandat si ce n’est sur présomption sérieuse, corroborée par serment ou déclaration solennelle et décrivant avec précision le lieu à perquisitionner et les personnes ou choses à saisir. »

Malgré les efforts de rapprochement (cf.le récent executive order de Joe Biden du 7 octobre 2022 prévoyant bien le recours à un délégué du pouvoir exécutif et même à une cour indépendante mais dont les avis n’ont pas de force exécutoire), la législation américaine prévoit toujours la surveillance de masse et l’absence de recours effectifs en ce qui concerne les droits des personnes concernées par un traitement de données.

Il revient donc en premier lieu à l’exportateur de données, dans un exercice périlleux d’évaluation, de vérifier les législations étrangères. Le Comité donne une liste de sources de données à l’annexe III de ses recommandations.

Les nouvelles Clauses Contractuelles Types (« CCT ») (adoptées par la Commission européenne le 4 juin 2021 et publiées le 7 juin 2021, qui entreront en vigueur le 27 juin 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) ne dispensent pas de cet exercice.

La décision provisoire Doctolib peut donner des indices sur la façon de sécuriser un transfert de données : localisation et chiffrement en France, obligation de contestation par la filiale européenne de la demande « générale » étrangère, données peu sensibles, durée courte de conservation des données : https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Consultez un avocat spécialisé en droit informatique

Transfert de données sur un cloud étranger : la décision Doctolib

CE, ord. réf., 12 mars 2021, Doctolib, req. n° 450163 – Décision provisoire de référé

Lors de sa décision Doctolib, le Conseil d’État reconnaît l’incompatibilité du droit américain avec la protection des données à caractère personnel de l’Union européenne

Concernant les États-Unis, l’arrêt Schrems II (CJUE 16 juill. 2020, aff. C-311/18) a invalidé le Privacy Shield, équivalent d’une décision d’adéquation, qui permettait aux entreprises s’y soumettant d’exporter des données à caractère personnel vers les États-Unis. Le droit américain autorise en effet aux autorités publiques d’accéder aux données personnelles sans assurer aux personnes concernées des voies de recours effectives

La société Doctolib, qui propose un service de prise de rendez-vous médicaux en ligne, héberge ses données sur les serveurs d’une filiale d’Amazon Web Services (AWS), société de droit états-unienne. Dans le cadre de la campagne de vaccination contre la covid-19, Doctolib a été désignée par le ministère des Solidarités et de la santé pour gérer les prises de rendez-vous y afférent.

Le juge des référés du Conseil d’État a été saisi d’une demande de suspension de ce partenariat en ce qu’il méconnaîtrait le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD).

Le juge rejette en ce que :

La société AWS Sarl, filiale luxembourgeoise d’AWS Inc., est certifiée « hébergeur de données de santé » (CSP, art. L. 1111-8). Les données sont hébergées dans des centres situés en France et en Allemagne et il n’est pas prévu au contrat d’éventuels transferts de données aux États-Unis pour des raisons techniques. Puisqu’AWS Sarl est une filiale d’une société américaine, elle peut faire l’objet d’une demande d’accès par les autorités publiques américaines, selon les requérants.

Données en cause. – Le Conseil d’État relève que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination », les personnes devant simplement justifier leur éligibilité par une attestation sur l’honneur.

Durée de conservation. – Les données « sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de prise de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne ».

Demande d’accès par les autorités publiques américaines. – Afin de sécuriser leurs relations, il est prévu au contrat qu’AWS devra contester « toute demande générale ou ne respectant pas la réglementation européenne ». Cette mesure s’accompagne d’un « dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers ».

> le niveau de protection ainsi mis en place par les parties « ne peut être regardé comme manifestement insuffisant au regard du risque de violation du RGPD ».

 

La portée de la décision est relative en ce qu’il s’agit une décision provisoire de référé qui sanctionne le « manifestement illicite » et qui pourrait donc être corrigée. A suivre.

 
V.aussi
CNIL, délib. n° 2020-044 du 20 avr. 2020 et communiqué de presse du 14 oct. 2020
CE, ord. réf., 13 oct. 2020, n° 444937