Dans son Panorama de la cybermenace 2023, l’ANSSI fait état d’un niveau de cybermenace accru, résultant à la fois d’opérations d’espionnage, et d’attaques par rançongiciel (+30% par rapport à 2022). Selon le rapport de l’assureur Hiscox sur la gestion des cyber-risques, en France en 2023, 22% des entreprises ont subi au moins une attaque par rançongiciel (contre 14% en 2021) et 73% des entreprises victimes ont payé la rançon (contre 65% en 2021).  

L’entreprise victime d’attaque par rançongiciel s’expose notamment à (i) un risque financier, une telle attaque pouvant bloquer le fonctionnement (et donc l’activité) de l’entreprise et avoir un impact négatif important sur le chiffre d’affaires ; (ii) un risque réputationnel ; (iii) un risque de désorganisation interne, en mobilisant des ressources qui ne pourront être mobilisées sur d’autres tâches. C’est pourquoi il faut se préparer à la survenance d’un tel événement, et être capable de réagir rapidement le cas échéant, non seulement d’un point de vue technique, mais aussi d’un point de vue juridique.

En prévention, il est fondamental de se doter d’outils internes afin de prévenir au maximum le risque, en s’assurant de la robustesse du système IT en lien avec l’équipe IT, en adoptant des politiques internes (charte informatique), en prévoyant des mesures d’évaluation des tiers en matière cyber et en mettant en place des formations afin d’éviter des négligences ou mauvaises pratiques par des salariés. Le Department of Justice américain a par exemple mis à jour en mars 2023 ses recommandations dans la mise en place de programmes de conformité, pour y inclure des éléments sur la régulation interne d’une entreprise de l’utilisation par les collaborateurs d’équipements personnels et l’usage de messageries instantanées pour les communications professionnelles. L’acuité de ces problématiques est accrue pour les entreprises soumises à des obligations spécifiques en matière de cybersécurité (à noter à cet égard que la directive NIS2 étend le champ de certaines obligations et doit être transposée par les États membres d’ici octobre 2024), ainsi que pour les entreprises opérant dans des secteurs sensibles, tels que le secteur militaire ou des biens à double usage.

En réaction, outre les aspects techniques liés au traitement des appareils compromis, certaines actions juridiques doivent être réalisées immédiatement après une attaque par rançongiciel : 

  • Nous recommandons de procéder rapidement à une investigation interne, de nature technique mais également juridique afin de le cas échéant d’identifier les origines de l’incident, et les actions de remédiation interne à mettre en œuvre. L’enquête doit être menée avec soin, dans la mesure où les preuves collectées au cours de l’enquête sont susceptibles d’être produites en justice. Il est donc impératif de sécuriser juridiquement l’obtention et l’utilisation de ces éléments de preuve, notamment dans le cadre d’un contentieux social à l’encontre d’un salarié. De plus, nous préconisons d’aller aussi loin que possible dans la recherche de la preuve dans le cadre du dépôt d’une plainte pénale en cas d’infraction (intrusion frauduleuse dans un système de traitement automatisé de données, abus de confiance, etc.), permettant de faire gagner aux enquêteurs du temps, et d’accélérer la procédure pénale. En effet, le temps de l’investigation pénale et les moyens judiciaires ne sont souvent pas à la hauteur de la rapidité et la réactivité qu’exige le traitement d’une cyberattaque.
  • À noter que la plainte pénale doit être déposée dans un délai maximal de 72 heures à compter de la connaissance de l’attaque par la victime, afin de bénéficier le cas échéant de la couverture des pertes et dommages causés par la cyberattaque par son assureur. Il faut donc réagir très vite dès la connaissance de la cyberattaque pour déposer une plainte pénale, en privilégiant le dépôt de plainte directement dans un commissariat, ou directement auprès du Procureur de la République contre récépissé (la date du récépissé faisant foi). Il est bien sûr possible de poursuivre les investigations en parallèle, et d’apporter aux enquêteurs les éléments de preuve collectés par l’entreprise dans le cadre de l’enquête interne.
  • Si certains contrats d’assurance sont explicites à ce sujet, la loi ne précise pas si les clauses d’assurance peuvent couvrir le montant de la rançon qui aurait été versée par l’entreprise aux cyberattaquants. En tout état de cause, l’ANSSI recommande de ne pas payer dans pareille situation, d’une part parce que le paiement ne garantit en rien un retour à la situation antérieure (récupération des données), et d’autre part parce qu’un tel versement est susceptible d’alimenter des réseaux criminels. Aux États-Unis, l’Office of Foreign Assets Control (OFAC) du département du Trésor a mis à jour une communication le 21 septembre 2021 indiquant que les entreprises qui paieraient une rançon à la suite d’une cyberattaque à des personnes faisant l’objet de sanctions américaines, ainsi que les tiers ayant facilité un tel paiement, pourraient se voir infliger de lourdes sanctions, quand bien même les entreprises ignoreraient verser un paiement à des personnes sous sanctions.
  • Vis-à-vis de la CNIL, toute violation de données personnelles (perte de disponibilité, d’intégrité ou de confidentialité) doit faire l’objet d’une notification dans les meilleurs délais, au plus tard dans les 72 heures après en avoir pris connaissance. La notification peut être réalisée en deux temps : une notification initiale dans un délai de 72 heures suivant la constatation de la violation (avec les informations disponibles à cette date), puis une notification complémentaire dès lors que les informations complémentaires requises sont disponibles. Si le délai de 72 heures est dépassé, il conviendra d’expliquer, lors de la notification, les motifs du retard. A noter que si l’incident engendre un risque élevé pour la vie privée des personnes concernées, l’incident doit également être notifié aux personnes concernées dans les meilleurs délais.

En anticipation, nous recommandons de mener les actions suivantes : 

  • S’assurer que les mesures de prévention (cartographie des risques, politiques internes, formations, évaluation des tiers, etc.) existent et sont adaptées au risque cyber auquel l’entreprise est exposée.
  • Effectuer un audit de sécurité, notamment pour identifier les données considérées comme sensibles de l’entreprise et vérifier que ces données bénéficient d’une protection adéquate.
  • Prévoir des exercices de simulations de cyberattaques pour anticiper les problématiques liées à la communication interne et externe, la gestion de l’activité et des impacts économiques et réputationnels pour l’entreprise, ainsi que la gestion des problématiques juridiques.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.