Quelles sont les retombées juridiques à la suite d’une attaque par ransomware ?
![Image [Rédaction d’une PSSI :] les salariés soulignent le manque d’implication de la direction](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-management-direction-human-rh-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
![Image Chez les [opérateurs télécom], la cybersécurité est omniprésente](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-telecom-communication-center-2024-885x690.jpg)
Si la première source d’inquiétude de la plupart des entreprises touchées par une attaque de ransomware concerne leurs données, les conséquences juridiques d’un incident sont tout aussi importantes. Chaque entreprise doit prendre en compte et évaluer ces répercussions.
Les attaques via des logiciels malveillants sont en hausse ; il est donc essentiel d’examiner leurs retombées juridiques. L’ENISA signale que le nombre d’attaques a quasiment doublé de 2020 à 2021, et que le coût estimé des dégâts est passé de 761 000 à 1,85 million de dollars sur la même période. En outre, les attaques par rançongiciel touchent des entreprises de toutes les tailles dans tous les secteurs.
Faut-il payer la rançon ?
La question la plus urgente à la suite d’une attaque par ransomware est de savoir si l’entreprise paie la rançon ou non. Plus de 60% des entreprises la paient mais, ce faisant, elles peuvent s’exposer à des conséquences juridiques.
De nombreux groupes de cybercriminels sont sous le coup de sanctions de l’Union européenne. Tout transfert de fonds étant illégal, les autorités considérent cela comme une forme de coopération. Les entreprises font donc face à des conséquences supplémentaires quand elles décident de payer les rançons.
En outre, il n’existe aucune garantie de récupérer ses données en effectuant un paiement. Lorsqu’une entreprise tente de contourner les autorités en payant la rançon mais que les cybercriminels ne rendent pas les données, elle se retrouve les mains vides et obligée de faire appel aux autorités. En voulant gérer ces situations soi-même, on s’expose à davantage de risques juridiques.
Faut-il signaler l’attaque ?
Une entreprise peut essayer de gérer l’affaire discrètement, mais la meilleure solution est de s’adresser aux autorités compétentes. En théorie, elle peut résoudre le problème sans l’aide du gouvernement, mais elle s’expose ainsi à des amendes et des poursuites judiciaires.
La société doit signaler l’attaque auprès de l’autorité de surveillance. En outre, elle doit en informer toutes les parties concernées, telles que le personnel et les clients, qui pourraient subir un préjudice en raison de la violation de données. Les rançongiciels se distinguent des autres logiciels malveillants : en général ils se manifestent tout de suite. Agissez dès que le ransomware touche les systèmes de l’entreprise afin d’éviter les amendes.
Et si on ne fait rien ?
A part payer la rançon, ne pas agir semble la seule autre option, mais l’inaction peut aussi avoir des retombées négatives. Étant donné que le ransomware prend souvent en otage des données sensibles, les questions juridiques autour de l’incident relèvent du secret des données.
Au-delà de cela, les États considèrent certains secteurs comme essentiels et ne tolèreront pas des cas de négligence. Depuis mai 2022, une loi européenne oblige les secteurs tels que l’énergie, les transports, la banque et les télécoms à mettre en œuvre des protocoles de cybersécurité robustes, et aussi à agir sous 24 heures, sous peine de lourdes sanctions. L’attente est coûteuse car le risque d’amendes augmente avec le temps.
Comment gérer la violation de données ?
Même si en général les rançonneurs ne diffusent pas les données, ils y conservent l’accès tant que le problème n’est pas réglé. Entre 2021 et 2022, les acteurs de la menace ransomware ont dérobé près de dix téraoctets tous les mois. Comme on ne peut jamais vraiment savoir ce qu’ils feront de ces données, il est essentiel de gérer l’infraction avec soin.
L’État ne prend pas les violations de données de consommateurs à la légère ; les entreprises ont donc tout intérêt à immédiatement signaler toute attaque aux autorités de surveillance. En outre, il est essentiel de mettre en œuvre des mesures pour atténuer les dégâts.
Les amendes pour paiement de rançon
En vertu de la directive sur les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information de l’UE, les entreprises peuvent être condamnées à des amendes pour paiement de rançon. Sous la contrainte, payer la rançon peut sembler la meilleure ligne de conduite, mais l’entreprise devra sans doute payer des amendes en plus. Pour éviter des frais supplémentaires, n’essayez pas de payer la rançon. Adressez-vous plutôt à l’autorité de surveillance afin de régler le problème.
Les amendes pour non-signalement
La menace de poursuites judiciaires et d’amendes peut sembler sévère, mais c’est le meilleur moyen d’encourager les entreprises à signaler les attaques. Les autorités font rarement preuve de clémence en ce qui concerne les entreprises qui ne respectent pas la loi.
La loi sur la cybersécurité de l’UE de 2019 a accordé à l’ENISA plus de ressources et de compétences pour traiter la plupart des cas, de sorte qu’elle ait plus de portée. Les conséquences judiciaires qu’elle a mises en place sont sévères afin d’encourager la conformité. Par exemple, les secteurs industriels et de grande distribution pourraient être passibles d’amendes allant jusqu’à 15 millions d’euros s’ils n’alertent pas l’ENISA. Le signalement est essentiel, surtout si l’entreprise gère des données de consommateurs ou des informations financières sensibles.
Les amendes pour inaction
Si de nombreuses entreprises estiment qu’il vaut mieux s’armer de patience, il est au contraire préférable d’agir immédiatement. Le RGPD stipule que les entreprises ont 72 heures pour signaler une attaque par ransomware aux autorités. Tout manquement à cette exigence est passible de poursuites. La limite des 72 heures est un maximum, il est donc conseillé d’agir plus tôt.
En outre, les autorités pourront imposer des sanctions plus sévères si elles estiment qu’une société a failli dans son devoir d’atténuation des dégâts ou de coopération. Si l’entreprise ne met pas en place des mesures correctives ou qu’elle ne fait pas appel aux autorités compétentes, les conséquences judiciaires peuvent comprendre de lourdes amendes et d’autres sanctions.
Les amendes pour violations de données
La collecte et le traitement de données sont soumis à une réglementation stricte. Une violation de données expose donc l’entreprise à des poursuites. La non-conformité peut entraîner des amendes allant jusqu’à 4% de son chiffre d’affaires annuel mondial, ou 20 millions d’euros (le montant le plus élevé sera sélectionné). Bien que ces montants s’appliquent plus aux cas de négligence grave, ils ne sont pas à exclure.
Une entreprise ne peut pas rétroactivement renforcer sa protection de données mais elle peut essayer d’atténuer les dégâts autant que possible. La transparence envers les parties concernées, les sauvegardes, et le signalement aux autorités peuvent l’aider à éviter les poursuites judiciaires.
Les retombées juridiques d’une attaque de ransomware
Même si les conséquences varient selon le secteur ou la sensibilité des systèmes touchés, chaque entreprise a tout intérêt à agir immédiatement et s’adresser directement aux autorités compétentes. Étant donné qu’un paiement de la rançon ou un manquement au signalement dans les délais peuvent exposer l’entreprise à de lourdes amendes et sanctions, il est préférable de suivre les directives prévues par la loi.