« Toute organisation doit se préparer à une attaque cyber »

Entretien avec Gérard Haas, Avocat à la Cour

Fondateur du cabinet HAAS Avocats, Gérard Haas, docteur en droit, est spécialisé en droit de la propriété intellectuelle et en droit des nouvelles technologies de l’information et de la communication. Auteur de nombreux ouvrages sur ses sujets d’intervention, la transformation digitale, l’IA, le RGPD, les Cyber-risques et la Cybercriminalité, il est président du Think-Tank KLIMA, cercle de réflexion sur l’innovation et la transformation des activités par le numérique pour les professionnels du droit. Conférencier, il intervient, notamment, à l’université de Montpellier, à l’ESCP-Europe, et HEC Executive Education.

 A l’ère du numérique, la cybercriminalité est devenue un véritable fléau mondial, on estime que sept entreprises sur dix sont victimes chaque année d’une tentative de fraude informatique. Quelles infractions englobe-t-elle en particulier ? Parvient-on à les réprimer de manière satisfaisante, avec l’arsenal juridique et les moyens de police dont on dispose ?

A cette question, j’en envie de répondre à la fois par oui et par non, car oui, nous disposons d’un arsenal juridique qui permet de répondre à la plupart des attaques, mais non aussi, car le problème est souvent de pouvoir identifier les auteurs, qui opèrent par pseudonymes ainsi que la plupart du temps hors de notre territoire national et même européen. Or, comme l’a publié l’ANSSI[1] dans son panorama en 2021, on relève 37% d’attaques informatiques en plus au cours de l’année, avec un gain pour les cybercriminels d’un milliard d’euros, le risque cyber doit donc absolument devenir une priorité pour toutes les organisations, privées comme publiques.

Concrètement, aujourd’hui, on dispose de cinq sources de qualifications d’infractions, selon la nature des attaques :

Les atteintes aux systèmes automatisés de données prévues dans le code pénal aux articles 323-1 à 323-8, lesquels sont issus de la loi de confiance en l’économie numérique[2] ;

Le RGPD qui prévoit, notamment dans son article 65, les modalités face aux violations de données à caractère personnel ;

Le code de la défense qui prévoit un certain nombre de dispositions (notamment les articles L.1332-6-1 là L.1332-6-6) en cas d’atteintes d’opérateurs publics comme privés qui seraient de nature à affecter la sécurité de la Nation ou pourraient présenter un danger grave pour la population ;

La directive NIS (Network and Information System Security) adoptée en 2016 et transposée en droit français par la loi n°2018-133 du 26 février 2018 dite loi sur la cybersécurité  qui concerne les « opérateurs de sécurité essentiels » (OSE), privés comme publics, et les fournisseurs de sécurité numérique (FSN) et leur impose de respecter un certain nombre d’obligations, notamment auprès de l’ANSSI ;

Les infractions classiques du code pénal, si je puis dire, relatives, notamment, aux escroqueries, falsifications, extorsions, contrefaçons, fraudes à la carte bancaire, vol d’informations, usurpations d’identité et de chantage.

Par ailleurs, il faut noter qu’en suite de la loi de confiance en l’économie numérique de 2004, l’autorité judiciaire peut requérir auprès des fournisseurs d’accès internet et des hébergeurs, la communication des données qu’elles détiennent pour permettre l’identification de créateurs de contenus, soit la levée de l’anonymat en cas d’infractions pénales et d’enquêtes de police judiciaires.

« La question n’est plus si cela va arriver, mais que faire quand cela va arriver »

Mais pour autant, ce n’est parce qu’on a des réponses qu’on a les solutions. La crise cyber est terrible car elle met en péril les organisations dont il faut prendre conscience qu’elles mettent beaucoup de temps à se remettre, la reprise d’activité normale est toujours lente. Depuis, en particulier la crise Covid, le phénomène de demandes de rançon s’est aggravé, les cryptolockers[3] se sont multipliés. Les magistrats du parquet et l’ANSSI se sont insurgés contre les paiements de rançons par les compagnies d’assurance intervenant dans ces situations parce que cela encourage de telles menaces, mais si la structure n’est pas préparée à l’attaque, le « ransom as a service », la rançon en tant que service, demeure souvent la seule solution si l’on veut refaire démarrer l’activité et sauver les emplois sans mettre la clé sous la porte.

Aujourd’hui, toute organisation doit se préparer à l’attaque qu’elle peut subir, insidieusement, l’avantage étant quasiment toujours à celui qui attaque. La question, ce n’est donc plus si cela va arriver, mais que faire quand cela va arriver ?

En cette année d’élections, où nous allons avoir un nouveau gouvernement et où l’Assemblée nationale va être renouvelée, quel message avez-vous envie d’adresser à nos futurs gouvernants et législateurs pour renforcer la cybersécurité ?

A notre futur gouvernement, et aux prochains législateurs, l’une des grandes questions qui se posent est celle des moyens alloués à l’autorité régulatrice, et aux agences, à la CNIL, à l’ANSSI, notamment. Ce n’est pas mon rôle de répondre précisément à cette question, mais mon activité me permet d’observer un certain nombre de faits, par exemple concernant le site gouvernemental Cybermalveillance, qu’un agent unique gère parfois jusqu’à plusieurs milliers de demandes d’internautes en une journée ! Il me semble ainsi que l’avenir dépend beaucoup de cette question.

Parallèlement, il y a aujourd’hui une grande urgence : la sensibilisation des entreprises ! Le président de la République a eu une vision très juste avec la création, à son initiative, du Cyber Campus, pour aider les entreprises à mieux se protéger tout en favorisant leur rayonnement dans le domaine cyber. J’espère que ces Campus vont pouvoir être développés dans toutes les régions et grandes métropoles. La mobilisation doit se poursuivre aussi au niveau de la cyber défense afin de protéger des intérêts nationaux, dont les entreprises peuvent être détentrices.

« La question de la levée de l’anonymat au niveau civil doit être posée »

Enfin, une question ne relève pas directement de la cyber criminalité, mais il conviendrait de la prendre en considération au regard des risques colossaux, je pense, ici, aux « fake news » diffusées anonymement par voie électronique. Dès lors que ne sont pas réunis les éléments constitutifs d’une infraction pénale telle qu’injure ou diffamation, le parcours du combattant commence pour une entreprise qui a été dénigrée et qui veut obtenir la levée de l’anonymat, ou du « pseudodymat » en ligne afin d’obtenir réparation. Au moment où Elon Musk achète Twitter parce qu’il pense que le réseau n’est pas assez libre, nous pouvons avoir des craintes quand nous pensons que certains messages exprimés sont particulièrement nuisibles aux personnes et à l’activité des organisations. Ainsi, la question de la levée de l’anonymat sur les réseaux sociaux au niveau civil doit être posée, et cela, au nom de la démocratie. Si chacun doit pouvoir exprimer son opinion en démocratie, qu’il le fasse sans se cacher. A ce jour, la levée de l’anonymat n’est possible qu’en matière pénale or, trop souvent, on dissimule son identité sur les réseaux pour abuser de la liberté d’expression et nuire.

 Aux entreprises et collectivités publiques, quels réflexes juridiques pourriez-vous leur recommander d’adopter pour mieux se protéger

Les grandes structures ont déjà appris à se protéger, avec des logiciels de surveillance notamment, elles savent aussi monter des cellules de crises en plus d’anticiper pour la protection de leurs systèmes d’information. Mais dans les petites structures, on entre comme dans un moulin, si je puis dire, or celles-ci sont le médecin ou le laboratoire d’analyses avec des données qui sont très sensibles. Aujourd’hui, c’est plus facile d’attaquer une entreprise sur Net qu’aller braquer une banque !

« C’est plus facile d’attaquer une entreprise sur le Net qu’aller braquer une banque ! « 

 Pour répondre très concrètement, on ne rappellera jamais assez l’importance de mettre en place en interne des règles de bonnes conduites, telle que, déjà, ne cliquer sur aucun lien qui n’est pas parfaitement sourcé…

Un exercice est très intéressant, par ailleurs : le test de reprise d’activité en cas d’attaque afin d’évaluer combien de temps une entreprise a besoin pour se remettre d’une attaque cyber. Les résultats à ce test seront l’incitation la plus éloquente à la prévention… car la réponse est toujours que l’on met beaucoup de temps, avec en plus le risque de connaître parallèlement des plaintes de clients qui auront été exposés aux atteintes du piratage.

Il faut choisir de bons prestataires, et s’interroger aussi sur le coût des certifications de conformité au RGPD, notamment. Bien sûr, il existe beaucoup de biais pour financer les certifications d’un salarié ou d’un agent, mais cela manque tellement de fluidité quand c’est tellement nécessaire, qu’il faudrait s’interroger sur un principe de gratuité et des moyens à mettre en place pour garantir à chaque structure un accès à la certification. Le marché de la sécurité ne devrait pas être payant.

Aujourd’hui, comme il existe des exercices incendies dans les entreprises, il faudrait mettre en place des alertes attaques, qui nécessitent, en amont, la formation idoine du personnel et d’avoir pensé à la constitution d’une cellule de crise pour riposter en cas d’attaque et permettre la reprise d’activité. L’anticipation, qui passe aussi par l’adoption des garanties contractuelles à mettre en place dans le cadre prévu par le RGPD, est la clé pour être préparé à tout risque cyber. Il faut avoir conscience que le patrimoine d’une entreprise d’aujourd’hui, c’est beaucoup le « data », l’ensemble des données circulant par voie informatique, qui vont au delà des données à caractère personnel.

[1] Agence Nationale de la Sécurité des Systèmes d’Information

[2] https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000801164/

[3] logiciel malveillant de type ransomware ou rançongiciel qui cible les disques durs