C’est un fait, le risque de cyberattaques s’est accru ces dernières semaines avec l’épidémie de coronavirus. Des « hackers » cherchent en effet à tirer profit de la crise sanitaire mondiale. De bonnes pratiques s’imposent d’autant plus pour les entreprises et les administrations.
Malgré la promesse faite par certains hackers de ne pas s’en prendre aux établissements de santé dans le contexte de pandémie de Covid-19 qui frappe la planète[1], au cours des dernières semaines, un hôpital universitaire à Brno en République Tchèque qui effectuait des tests sur le Covid-19, le département de santé publique de l’Illinois aux États-Unis, et dimanche 22 mars 2020, l’Assistance publique-Hôpitaux de Paris (AP-HP) ont été victimes de cyberattaques visant à paralyser leur fonctionnement[2].
S’agissant de l’attaque contre les hôpitaux de Paris, durant une heure environ, une attaque par déni de service ou attaque par connexion massive a noyé les serveurs informatiques et bloqué l’accès externe à la messagerie et aux applications de l’AP-HP, ainsi qu’à Skype[3]. Une enquête a été ouverte par le parquet de Paris[4].
Le 16 mars 2020, en une journée seulement, un expert du groupe de cyber-sécurité ESET a encore fait état de 2.500 attaques sur des ordinateurs Windows utilisant des informations liées au Coronavirus comme « appât »[5].
Les hackers exploitent ainsi la forte demande d’informations au sujet de la pandémie parmi les internautes.
C’est dans des circonstances que le 16 mars 2020, l’ANSSI a publié une alerte appelant au renforcement des mesures de vigilance en matière de cybersécurité, s’adressant notamment aux professionnels alors qu’un accroissement des cyberattaques et des cyber-escroqueries liées à la crise du coronavirus – Covid-19 est prévisible[6].
Le même jour, la cellule d’accompagnement cybersécurité des structures de santé (ACSS) de l’Agence du numérique en santé (ANS) a prévenu que le coronavirus est utilisé pour réaliser des cyberattaques : « Via de faux emails des autorités de santé, de fausses notes internes en entreprise ou encore de fausses alertes de retard de livraison, les cybercriminels tentent dans le monde entier d’exploiter la peur liée à la pandémie pour s’infiltrer sur les réseaux informatiques des entreprises et des particuliers. »[7]
Or, cette situation intervient dans un contexte où le risque d’attaques informatiques est d’ores et déjà très prégnant, y compris pour les entreprises et les administrations.
Pour rappel, les grandes entreprises ou les administrations sont désormais, en nombre, les premières victimes des cyberattaques de type « ransomware » et ce, devant les particuliers[8].
Au demeurant, tel que l’a souligné l’ANSSI, les techniques utilisées par les pirates informatiques sont de plus en plus sophistiquées[9].
Nous assistons à une recrudescence de cette menace dans le contexte du Covid-19.
Pour mémoire, les cyberattaques peuvent se matérialiser de plusieurs façons et notamment par :
- le « phishing » ou hameçonnage, qui consiste en l’introduction de virus ou de logiciels espions, susceptibles de capter des données, en invitant l’internaute à cliquer sur un lien malveillant et/ou à télécharger un document sur un site, ou par le biais d’un email ou des réseaux sociaux ;
- le «ransomware » ou rançongiciel, qui consiste en « un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent » [10], l’hameçonnage pouvant être le préalable au rançongiciel.
Une vigilance accrue est donc de mise en ces temps de pandémie et ce, pour plusieurs raisons.
D’une part, le recours massif au télétravail expose davantage encore les entreprises à un risque de cyberattaques.
Ainsi, aux termes de son bulletin d’actualité du 18 mars 2020, l’ANSSI a mis en garde contre les risques accrus que présente l’explosion du recours au travail à distance et ce, dans l’urgence.
Le travail à distance suppose en effet une mise en place rapide et conséquente de connections à distance aux messageries professionnelles et aux serveurs et banques de données.
Or, ces moyens d’accès à distance augmentent l’exposition des systèmes d’information ainsi que leur vulnérabilité au risque d’attaques.
Ainsi, si les « virtual private networks » ou réseaux privés virtuels permettent l’accès et la connexion des employés depuis leur domicile aux systèmes d’information de l’entreprise, ils risquent toutefois, mal déployés ou configurés, d’exposer l’entreprise à un risque d’attaques[11].
De la même façon, l’accès à des logiciels installés sur des postes de travail internes via l’équipement d’une solution dite « desktop remote access » ou protocole d’administration à distance rend également les systèmes d’information plus vulnérables.
Or, les pirates ont notamment recours, pour mener les attaques de type « ransomware » à la compromission des protocoles d’administration à distance[12].
Par ailleurs, les ordinateurs personnels auxquels les employés peuvent avoir recours en situation de télétravail ne bénéficient pas toujours du même niveau de protection que ceux mis à disposition par l’employeur, notamment en raison de l’absence de proxy ou de mise à jour des anti-virus.
D’autre part, la crainte suscitée par la pandémie, rend les particuliers, et par extension les employés en situation de télétravail, davantage susceptibles d’être victimes de virus ou de fraudes.
Ainsi, la rupture d’équipements de protection et de prévention que sont notamment les masques ou les gants, ou encore le gel hydroalcoolique, a donné lieu à une multiplication de sites frauduleux proposant faussement à la vente ces différents produits. De la même façon, d’autres sites frauduleux proposant des attestations de déplacement dérogatoire et des justificatifs de déplacement professionnel ont également été recensés, tout comme des appels aux dons frauduleux.[13]
Or, ces sites et documents sont susceptibles de permettre l’intrusion de logiciels malveillants sur les ordinateurs ou téléphones via le procédé dit d’hameçonnage, avec un risque d’impact grave pour les employeurs et entreprises.
En effet, comme le rappelait l’ANSSI, aux termes de son rapport « État de la menace rançongiciel à l’encontre des entreprises et institutions » du 5 février 2020, et s’agissant des hackers :
« Notamment, ils utilisent désormais des listes d’adresses de messagerie professionnelle en vente sur les marchés noirs afin de diriger leur campagne d’hameçonnage sur des employés et ainsi compromettre des machines susceptibles de contenir des données importantes »[14]
La prévention de ces cyberattaques et la gestion des risques en découlant répondent à des enjeux de plusieurs ordres pour les entreprises et les employeurs.
Il s’agit, en premier lieu, de prévenir le préjudice économique d’une cyberattaque, direct (la rançon) et indirect (la rupture ou la désorganisation de l’activité).
En particulier, les attaques dites « ransomware » sont de plus en plus douloureuses financièrement, les montants de rançons pouvant atteindre plusieurs dizaines de millions de dollars.
Mais surtout, ces attaques peuvent mettre en péril l’activité de l’entreprise. En effet, elles donnent lieu à un blocage des systèmes d’information susceptible de contraindre l’entreprise ou l’organisme à suspendre tout ou partie de ses activités.
A titre d’exemple, le 11 mars 2019, l’entreprise Fleury Michon a dû interrompre sa production et positionner 3.000 employés en chômage technique par suite de la compromission de l’ensemble de son réseau logistique par un rançongiciel[15].
Il existe également un risque que l’attaque paralyse une partie de l’activité des sous-traitants de l’entreprise affectée[16].
En deuxième lieu, c’est également la confidentialité des données de l’entreprise qui est en jeu.
Tel que l’a rappelé l’ANSSI, l’attaque informatique, désormais plus sournoise et « invisible », est souvent précédée d’une première phase de repérage par des logiciels conçus à des fins d’espionnage. Or, durant cette étape, des données et fichiers de l’entreprise sont collectées, y compris, parfois, les données à caractère personnel des salariés, des clients, etc.[17].
Cette phase de repérage permet par la suite de soumettre la cible à un chantage : des données sensibles seront divulguées au compte-goutte pour pousser la victime à procéder au paiement de la rançon.
Ainsi, récemment, le groupe Bouygues s’est vu sommé de payer une rançon de dix millions de dollars par le groupe de hackers MAZE en contrepartie de données volées[18]. Ce groupe de pirates informatiques n’avait pas hésité à mettre à exécution ses menaces par le passé en divulguant sur leur site des données volées à la société américaine Southwire spécialisée dans la production de câble[19].
En troisième lieu, l’enjeu dans la gestion du risque accru de cyberattaques réside dans le respect de l’obligation de protection des données à caractère personnel incombant aux employeurs et aux entreprises au titre du règlement général sur la protection des données (RGPD)[20].
Ce dernier enjeu est juridique, pécuniaire mais aussi réputationnel.
En effet, en tant que responsable de traitement de données à caractère personnel de leurs employés ainsi que de leurs clients, les entreprises sont tenues de mettre en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque y compris, entre autres selon les besoins (…) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » [21].
Or, les données exfiltrées au cours de cyberattaques sont ensuite susceptibles d’être divulguées. Ainsi, en 2018, cinq milliards de données, notamment bancaires, d’identité, ou d’accès à des messageries se seraient trouvées en circulation sur les marchés cybercriminelles en 2018[22].
Dans ce contexte, le manquement du responsable de traitement à son obligation de préserver la sécurité des données personnelles qu’il a lui-même collectées, s’il est avéré, est susceptible de donner lieu à des sanctions administratives de la part de la Commission nationale de l’informatique et des libertés (CNIL) notamment sous la forme d’amendes.
Ces sanctions peuvent être rendues publiques et c’est peut-être cette publicité, et l’enjeu réputationnel y afférent, qui sont susceptibles d’avoir l’impact le plus important sur l’entreprise victime.
Plusieurs solutions existent toutefois pour prévenir et réduire le risque de cyberattaques.
Ainsi, la CNIL a mis à disposition un guide de la sécurité́ des données personnelles à l’attention des professionnels détaillant les différentes mesures de sécurité attendues de la part des employeurs, notamment pour tracer et gérer les incidents, sécuriser les postes de travail et l’informatique mobile ainsi que les serveurs ou les sites web. Il peut notamment s’agir :
- aux fins de sécuriser l’informatique mobile: de mettre en œuvre des mécanismes maîtrisés de sauvegarde ou de synchronisation des postes nomades pour se prémunir contre la disparition des données stockées, prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), ou encore de ne pas utiliser comme outil de sauvegarde ou de synchronisation les services cloud installés par défaut sur un appareil sans analyse approfondie de leurs conditions d’utilisation et des engagements de sécurité pris par les fournisseurs de ces services ;
- aux fins de protéger le réseau informatique interne: de limiter les accès Internet en bloquant les services non nécessaires (VoIP, pair à pair, etc.), d’imposer un VPN pour l’accès à distance ainsi que, si possible, une authentification forte de l’utilisateur (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.), ou de limiter les flux réseau au strict nécessaire en filtrant les flux entrants/sortants sur les équipements (pare-feu, proxy, serveurs, etc.) ;
- aux fins d’authentifier les utilisateurs: de ne pas stocker ses mots de passe dans un fichier en clair, ou encore de ne pas enregistrer ses mots de passe dans son navigateur sans mot de passe maître.
Le site gouvernemental cybermalveillance.gouv.fr créé en 2017 par le ministère de l’Intérieur et l’ANSSI a également mis en ligne un ensemble de bonnes pratiques qui s’adressent aux professionnels, parmi lesquelles figurent notamment :
- être attentif aux fausses commandes ou aux modifications de virements bancaires frauduleux et faire confirmer toute commande suspecte, demande de changement de RIB ou demande de virement « exceptionnel », en contactant directement le demandeur ;
- appliquer les mises à jour de sécuritésur les équipements connectés (serveurs, ordinateurs, téléphones…) ;
- utiliser des mots de passe uniques et solideset activer la double authentification chaque fois que possible.
L’avocat doit conseiller les entreprises en matière de bonnes pratiques s’agissant de la protection des données à caractère personnel et de la mise en place de mesures de cybersécurité. Dans l’hypothèse d’une cyberattaque, il se retrouvera aux côtés de ses clients afin d’envisager un dépôt de plainte ou une notification à la CNIL.
Il convient en effet de rappeler que les comportements susvisés constituent les délits d’accès et de maintien dans un système de traitement automatisé de données (STAD), de suppression ou de modification des données ou d’altération du fonctionnement du système[23], d’entrave au fonctionnement d’un STAD[24], d’introduction de données dans un STAD, de détention, de reproduction, ou de transmission frauduleuses de données qu’il contient[25], ainsi que d’escroquerie[26] et même d’extorsion dans le cas d’une demande de rançon.[27]
Il est donc recommandé aux entreprises, et à tout organisme, d’anticiper ce type d’attaques le plus en amont possible en mettant en place l’ensemble de ces bonnes pratiques.
[1] C’est ce que déclaraient notamment deux groupes de hackers, Maze Ransomware et DoppelPaymer. Cf. : WINDER Davey, « Hackers Promise ‘No More Healthcare Cyber Attacks’ During COVID-19 Crisis », Forbes, 19 mars 2019, accessible à l’adresse suivante : https://www.forbes.com/sites/daveywinder/2020/03/19/coronavirus-pandemic-self-preservation-not-altruism-behind-no-more-healthcare-cyber-attacks-during-covid-19-crisis-promise/#2e33e70b252b
[2] « Vu du Royaume-Uni. Coronavirus : les hackers sans pitié pour les hôpitaux », Courrier international, 23 mars 2020, accessible à l’adresse suivante : https://www.courrierinternational.com/article/vu-du-royaume-uni-coronavirus-les-hackers-sans-pitie-pour-les-hopitaux.
[3] « L’AP-HP victime d’une cyberattaque », Les Echos, 23 mars 2020, accessible à l’adresse suivante :
https://www.lesechos.fr/tech-medias/hightech/laphp-victimes-dune-cyberattaque-1188022.
[4] « En pleine crise du coronavirus, les hôpitaux parisiens visés par une brève attaque informatique », Le Monde avec AFP, 24 mars 2020, accessible à l’adresse suivante : https://www.lemonde.fr/pixels/article/2020/03/24/en-pleine-crise-du-coronavirus-les-hopitaux-parisiens-vises-par-une-breve-attaque-informatique_6034242_4408996.html
[5] BREWSTER Thomas, 2,500 Attacks In Less Than A Day: Coronavirus Scammers Just Went Into Overdrive, Forbes, 16 mars 2020, accessible à l’adresse suivante : https://www.forbes.com/sites/thomasbrewster/2020/03/16/2500-attacks-in-less-than-a-day-coronavirus-scammers-just-went-into-overdrive/.
[6] « CORONAVIRUS – COVID-19 : Appel au renforcement des mesures de vigilance cybersécurité », 16 mars 2020, accessible à l’adresse suivante : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/coronavirus-covid-19-vigilance-cybersecurite.
[7] Alertes : Le coronavirus est utilisé pour réaliser des cyberattaques, accessible à l’adresse suivante :
https://www.cyberveille-sante.gouv.fr/cyberveille-sante/1688-actualites-liees-au-coronavirus-2020-03-17.
[8] « État de la menace rançongiciel à l’encontre des entreprises et institutions », ANSSI, 5 février 2020, accessible à l’adresse suivante : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-001.pdf.
[9] Ibid, p. 3
[10] ANSSI, p. 3
[11] « VPN et télétravail : la faille des entreprises face au coronavirus ? », Le Journal du Net, 16 mars 2020, accessible à l’adresse suivante :https://www.journaldunet.com/web-tech/dictionnaire-du-webmastering/1203417-vpn-et-teletravail-la-faille-des-entreprises-face-au-coronavirus/.
[12] ANSSI, p. 3
[13] CORONAVIRUS – COVID-19 : Appel au renforcement des mesures de vigilance cybersécurité, 16 mars 2020, accessible à l’adresse suivante : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/coronavirus-covid-19-vigilance-cybersecurite.
[14] ANSSI, p. 5
[15] ANSSI, p. 20
[16] ANSSI, p. 17
[17] ANSSI, p. 8
[18] « Des pirates informatiques font du chantage à Bouygues Construction sur des documents volés », L’Express/AFP, 3 février 2020, accessible à l’adresse suivante : https://lexpansion.lexpress.fr/high-tech/des-pirates-informatiques-font-du-chantage-a-bouygues-construction-sur-des-documents-voles_2117168.html.
[19] ANSSI, p. 11
[20] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[21] Article 32 du RGPD.
[22]VERINT, The Data Breach Epidemic Report. 17 juin 2019, accessible à l’adresse suivante : https://cis.verint.com/resources/the-data-breach-epidemic-report/.
[23] Article 323-1, Code pénal
[24] Article 323-2, Code pénal
[25] Article 323-3, Code pénal
[26] Article 313-1 et suivants, Code pénal
[27] Article 312-1, Code pénal