La cybersécurité, une préoccupation majeure

par | Nov 9, 2022

Mise à jour janvier 2023 : La LOMPI

Arrêt de la Cour de cassation en matière de compétence territoriale (attaque STAD par DDOS)

 

La Cybersécurité

Depuis plusieurs années, les cyberattaques sont en hausse en France. On estime une augmentation de + 400 % des cybermenaces depuis 2020. Il s’agit d’ailleurs d’un risque qui avait déjà été évoqué par l’ANSI (Agence Nationale de la Sécurité des Systèmes d’Information) il y a quelques années, qui prévoyait une augmentation de la menace au cours de ces prochaines années.

Si les cyberattaques visaient initialement plutôt les entreprises, elles concernent de plus en plus les établissements médicaux et les collectivités territoriales. Comment expliquer cette explosion des cyberattaques ? Qu’est-ce que la cybersécurité et quel est son rôle ?

Qu’est-ce que la cybersécurité ?

La cybersécurité a pour objectif principal de protéger les systèmes informatiques, les réseaux et les programmes contre des attaques numériques. Bien souvent, ces cyberattaques ont pour but de tenter d’accéder à des informations sensibles afin de les modifier ou les détruire ou bien de les utiliser afin d’en tirer profit, la plupart du temps financièrement.

La cybersécurité, également appelée sécurité informatique ou sécurité des systèmes d’information, se distingue en plusieurs catégories :
La sécurité des réseaux,
La sécurité des applications,
La sécurité des informations,
La sécurité opérationnelle.

Les cyberattaques les plus répandues visent à collecter des informations afin de les réutiliser de différentes façons. On distingue différents types de cybermenaces telles que : le virus, le Cheval de Troie, le Spyware, le Ransomware, le Adware ou encore le Botnet. Cependant, depuis quelques années, on découvre 3 nouvelles cybermenaces de plus en plus utilisées :
Le Malware Dridex. Il s’agit d’un Cheval de Troie Bancaire qui infecte des systèmes par l’envoi de courriels de phishing. En récupérant des données de connexion, coordonnées bancaires ou données personnels, les cybercriminels peuvent ainsi réaliser des transactions malhonnêtes.
Les arnaques sentimentales. Ces arnaques visent à mettre en place des escroqueries sur des salons de discussion, des applications ou sites de rencontre. En profitant de la vulnérabilité des victimes, les pirates informatiques récupèrent des données personnelles qu’ils utiliseront ensuite à des fins délictuelles.
Le Malware Emotet. Ce Cheval de Troie permet de voler des données en profitant d’un mot de passe non sécurisé.

Le droit et la cybersécurité, consulter un avocat spécialisé en droit informatique à Paris

Le droit de la cybersécurité concerne tous les risques et toutes les menaces volontaires qui sont d’origine humaine et qui peuvent porter atteintes aux patrimoines de l’entreprise. Face à un phénomène d’ampleur de plus en plus conséquente, une entreprise peut régulièrement être amenée à faire appel à un avocat pour se protéger des cyberattaques et pour défendre ses intérêts dans une affaire dans laquelle elle aurait pu être victime ou mise en cause.

Le droit français et européen fixe un cadre juridique clair et précis qui nécessite la mise en place de mesures de sécurité strictes. Toute entreprise est tenue de tenir ses obligations au risque de s’exposer à de lourdes sanctions. En effet, dans le cas où une cyberattaque aurait été rendue possible du fait que l’entreprise n’a pas respecté ses obligations en matière de sécurité et de confidentialité, l’entreprise s’exposerait alors à de lourdes sanctions financières pouvant être prononcées par la CNIL (Commission Nationale de l’Informatique et des Libertés).

Afin de respecter ces réglementations de protection des données personnelles, les entreprises peuvent se faire accompagner d’un avocat en cybersécurité. L’avocat spécialisé peut ainsi accompagner son client dans la rédaction d’un document contractuel et dans les formalités indispensables au respect des obligations légales. L’avocat spécialisé en cybersécurité apporte des conseils sur les solutions de protection et de sécurité à mettre en place. Il peut assurer la défense des droits de son client dans le cas d’un litige.

La cybersécurité : pourquoi est-elle indispensable ?

La mise en place de mesures qui permettent de lutter efficacement contre la cybermenace est de plus en plus compliquée aujourd’hui. En effet, l’évolution numérique est constante et les pirates informatiques sont bien informés de ces transformations et savent être toujours plus innovants.

Les entreprises doivent pouvoir prendre conscience du risque en matière de cybersécurité. En assurant une veille spécifique d’identification des cybermenaces auxquelles ils peuvent être confrontés, les dirigeants peuvent ainsi anticiper et réagir de la meilleure façon aux cybermenaces.

Pour une entreprise, être victime d’une cyberattaque peut entraîner une perte de données sensibles, une perte financière importante due au vol et pour récupérer des données volées, des dommages à la réputation et peut même dans certains cas entraîner la fermeture d’une entreprise.

Une entreprise doit donc s’assurer de garantir la sécurité des achats en ligne afin de se conformer à la législation et dans un but de confiance auprès de ses clients.

Quels sont les principes fondamentaux de la cybersécurité ?

La cybersécurité vise cinq objectifs principaux : l’intégrité, la disponibilité, la confidentialité, la non-répudiation et l’authentification. Aucun système informatique n’est infaillible malgré la mise en place de différentes mesures de prévention. Ainsi, pour détecter une cybermenace, il convient d’assurer un suivi attentif de sa propre protection informatique. Afin de prévenir le risque informatique, il convient de s’assurer de :
Analyser convenablement les risques,
Définir une politique de sécurité,
Mettre en œuvre une solution de prévention,
Évaluer fréquemment les solutions de protection,
Mettre à jour constamment le système de protection en fonction de l’évolution des
risques.

Règlementation en matière de cybersécurité : quelles règles pour les entreprises ?

Les entreprises sont tenues de respecter quelques règles de protection et de sécurité informatique fixées par le droit français. Le cas contraire, leur responsabilité peut se voir engagée et l’entreprise peut s’exposer à d’importantes sanctions.

Toute entreprise est tenue de protéger au maximum ses données. Elle droit pouvoir utiliser toutes les solutions utiles à sa protection contre les cyberattaques. En tant qu’employeur, il s’agit également de pouvoir protéger les salariés en ce qui concerne leurs informations personnelles. Une entreprise peut être amenée à internaliser les compétences en matière de cybersécurité en créant une Direction des Systèmes d’Information (DSI). En confiant des audits à un expert extérieur, l’entreprise peut également s’assurer d’un contrôle et d’une analyse des processus mis en place pour obtenir une cybersécurité optimale et efficace.

La protection des données est l’un des principaux objectifs dans la mise en place de solutions de protection contre les cyberattaques. Ainsi, chaque entreprise doit s’assurer de mettre en place des mesures de protection qui permettent de garantir la confidentialité et l’intégrité des données. Pour garantir une protection efficace, une entreprise doit donc s’assurer d’appliquer :
Des méthodes de chiffrement des données et des connexions,
Des mesures d’authentification fortes afin de détecter d’éventuels robots,
Des mesures d’accès aux données en toute circonstance, par des sauvegardes sécurisées,
Des procédures d’évaluation de la protection mise en place, l’entreprise doit pouvoir améliorer à tout moment sa protection afin de se conformer aux failles et aux évolutions numériques.

Chaque entreprise doit pouvoir se conformer aux règles qui concernent le RGPD (Règlement Général sur la Protection des Données). Le RGPD définit une violation de données personnelles comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. » De ce fait, une entreprise doit protéger les données qu’elle possède dans son système. En augmentant son degré de sécurité afin de se conformer aux différentes exigences du RGPD, l’entreprise évite tout incident qui pourrait nuire à ses valeurs et lui faire perdre la confiance de ses clients.

Une hausse de + 400 % de cyberattaques depuis 2 ans : comment l’expliquer ?

Depuis 2020, on constate une explosion des cyberattaques en France. Près de la moitié des entreprises françaises reconnaissent une hausse significative des attaques ces deux dernières années. En effet, dans son dernier rapport d’activité, le GIP ACYMA (Groupement d’Intérêt
Public Action contre la Cybermalveillance), dévoile une hausse significative des demandes d’assistance en ligne.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a enregistré une hausse de + 37 % d’intrusions sur des systèmes informatiques, soit un peu plus de 1 000 intrusions au cours de l’année 2021. 69% des cyberattaques concernaient des entreprises, 11% des hôpitaux et 20 % des collectivités territoriales.

Si plus d’une entreprise sur deux a été victime de cybercriminalité durant l’année 2021, on constate également que moins d’une entreprise sur deux investit une part financière de son budget dans sa cybersécurité. En effet, rares sont les entreprises qui réservent une partie de leur budget à l’acquisition d’outils et solutions de sécurisation des réseaux. Les salariés ne sont pas toujours assez bien sensibilisés sur le danger informatique et les potentielles cyberattaques. On estime qu’environ 85% des violations de données privées sont causées par l’erreur humaine qui concerne principalement l’ouverture d’un courriel frauduleux.

À la suite de la crise sanitaire de la pandémie Covid-19, nombreuses sont les entreprises qui font un lien entre l’augmentation des cyberattaques auxquelles elles sont confrontées et l’augmentation du télétravail de leurs salariés. Tandis que sur le lieu de travail, certaines solutions de sécurité mises en place par l’entreprise permettaient de limiter le risque de cybermenace, dans le cadre du télétravail, les entreprises ne pouvaient pas toujours veiller à la sécurité de leurs données.

L’avocat spécialisé en droit informatique

Qu’est-ce que la directive NIS 2 ?

C’est une directive qui vise à renforcer et à homogénéiser le dispositif européen anti-attaques cyber, et qui est destinée à remplacer la directive NIS 2016 / 1148 – Etat de la procédure d’adoption ici

Loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur

Avec la LOMPI 2023, le législateur veut renforcer les moyens de lutte contre la cybercriminalité.

Les dossiers pénaux sur les attaques STAD feront sans doute l’objet d’une attention plus soutenue et de meilleures investigations sur l’origine des attaques.

La loi prévoit un budget de 15 milliards d’euros sur les cinq prochaines années, pour enforcer les moyens de lutte (recrutements, acquisition de matériels.

On note

  • un volet sur la saisie des actifs numériques par les autorités judiciaires (articles 706-154 du code de procédure pénale et L54-10-1 du code monétaire et financier) permettant notamment la saisie de cryptomonnaies ; cette règlementation fait écho à la règlementation PSAN sur l’agrément des prestataires de crypto monnaies ; 
  • le versement d’indemnité d’assurance à la suite d’une demande de cyber rançon soumis au dépôt d’une plainte pénale préalable dans les 72h (article L12-10-1 du code des assurances) ;
  • les peines sont alourdies jusqu’à 7 ans et 300 000 euros d’amende, avec des circonsatances aggravantes en cas de mise en danger d’autrui (cas de cyber attaques sur les hôpitaux mettant en danger la vie des patients) ;
  • l’administration de plateformes darknet est punie (article 323-3-2 du code pénal), avec des circonstances aggravantes de bande organisée ;
  • les attaques STAD sont plus sévèrement réprimées (articles 323-1 et s. du code pénal) ;
  • les enquêtes sous pseudonyme (article 230-46 du code de procédure pénale) ;

 

Crim. 20 août 2018, F-P+B, n° 18-84.728,

Dans cet arrêt de rejet sur un pourvoi que j’avais porté dans le cadre d’une procédure dérogatoire, la Cour prend acte d’une incompétence territoriale, en affirmant que la saisine fondée sur la compétence nationale concurrente du tribunal de grande instance de Paris pour les infractions relatives au système de traitement automatisé de données relève de la seule prérogative du procureur de la République, de sorte qu’elle ne peut être le fait de la partie civile, et que la partie civile aurait pu présenter ses observations en la matière.

Pourtant aucun texte  n’exclut la saisine du tribunal de grande instance de Paris par la partie civile, et, dans des affaires complexes à étendue territoriale indéterminée on pourrait penser que la compétence nationale du tribunal de grande instance de Paris trouve précisément à s’appliquer.

L’arrêt paraît surtout pointer le manque de moyens de la justice à cette époque, en période estivale, en matière de lutte contre la cybercriminalité – Commentaires Dalloz : (“Atteintes aux systèmes de traitement automatisé de données : précisions sur la compétence de la justice parisienne”) (“La délicate montée en puissance de la justice dans les affaires de cybercriminalité”).

En l’espèce, il s’agissait d’une attaque STAD (article 323-1 du code pénal – entrave au fonctionnement d’un système de traitement automatisé de données) par DDOS (attaque informatique par déni de service distribué) ayant donné lieu à plainte avec constitution de partie civile. Le dossier a fait l’objet d’un non-lieu, les investigations n’ayant pas permis d’identifier des auteurs. C’est la difficulté de ces dossiers.

20 Août 2018 – Cour de cassation – Pourvoi n° 18-84.728 – Chambre criminelle – Formation restreinte – PUBLIÉ AU BULLETIN – ECLI:FR:CCASS:2018:CR02068

en_GBEnglish
en_GBEnglish