Comment Réagir En Cas de Cyberattaque ?

PME, ETI, multinationales, hôpitaux, collectivités publiques, aucune organisation, peu importe sa taille ou ses activités, n’échappe aux risques liés à la cybercriminalité. Sel

on le Baromètre du CESIN 2023, 45 % des entreprises interrogées ont subi une cyberattaque réussie en 2022. Si ce chiffre est globalement en baisse, les phishing, ransomwares et autres DoS restent une menace sérieuse pour les entreprises. Alors, comment réagir en cas de cyberattaque ? Réponse avec le cabinet d’avocats Touati La Motte Rouge.

Quelles sont les différentes formes de cyberattaques ?

Les cybercriminels ne manquent pas d’imagination, ni de compétences informatiques. Ils utilisent, en effet, des outils et des techniques de plus en plus sophistiqués pour lancer des attaques contre les systèmes informatiques des organisations.

Les malwares ou logiciels malveillants

Détruire, effacer, voler ou confisquer des données, voilà les objectifs des malwares ! Pour les entreprises, la menace est réelle puisque, rien qu’en 2022, 34 millions de logiciels malveillants ont été détectés.

Parmi eux, on retrouve notamment le fameux cheval de Troie et le non moins célèbre ransomware. Ce logiciel malveillant fait régulièrement parler de lui dans l’actualité. Il vise à prendre en otage des données ou un système d'information en échange d’une rançon. Axa, le Groupe M6 ou encore le CHU de Rouen ont ainsi fait les frais de ce cyber-racket.

D’autres logiciels malveillants peuvent servir aux projets des cybercriminels. C’est le cas notamment :

• Des spywares permettant de collecter des mots de passe et des numéros de carte bancaire ;
• Des rootkits offrant aux malfaiteurs un accès administrateur au système d’exploitation d’une entreprise ;
• Des vers qui possèdent la capacité de se répliquer pour se propager sur tous les appareils de l’organisation.

Les attaques sous forme d’ingénierie sociale

Cette fois, les pirates mettent en œuvre des techniques dont le but est d’inciter les victimes à adopter un comportement visant à ;

• Partager des informations sensibles ;
• Télécharger des logiciels dangereux ;
• Envoyer de l’argent aux cybercriminels.

Cette technique d’hameçonnage est particulièrement répandue. Elle passe principalement par l’envoi d’e-mails ou de SMS provenant à première vue d’une source légitime (l’administration fiscale, par exemple). La victime est alors encouragée à suivre un lien hypertexte qui mène vers un site Web frauduleux. Les pirates peuvent aussi lui demander d’ouvrir une pièce jointe contenant un logiciel malveillant.

Le harponnage est une autre forme d’hameçonnage. Elle cible cette fois une personne en particulier au sein de l’entreprise. Quant au whale phishing, il s’adresse directement aux dirigeants. La plupart du temps, la technique consiste à se faire passer pour un partenaire commercial afin de profiter d'un transfert d’argent ou de données. Ces dernières années, plusieurs patrons de PME ont été victimes de ces pratiques.

Les autres formes d'attaques informatiques

Il existe d’autres moyens pour mettre à mal les systèmes informatiques des entreprises. Les attaques par déni de service (DoS) et par déni de service distribué (DDoS) ou encore les compromissions de compte utilisateur sont des exemples parmi d’autres.

Citons également :

• Les attaques de l’homme du milieu : un pirate informatique intercepte secrètement les communications entre deux personnes ou entre un utilisateur et un serveur ;
• Les détournements de session : le criminel informatique échange son adresse IP avec celle de l’utilisateur afin de voler ou de détruire des données ;
• Les attaques de chaîne d’approvisionnement ;
• Les attaques de pages web ;
• Les usurpations de DNS.

Pourquoi doit-on réagir vite en cas de cyberattaque ?

La réglementation, et notamment le RGPD, la loi informatique et libertés imposent des délais de réaction très courts (le plus souvent 72h) que vous devez impérativement maîtriser et qui sont décrits ci-après.

Ces délais ont leur raison d’être. Les attaques de vos systèmes informatiques peuvent avoir des conséquences dramatiques pour votre entreprise si vous ne réagissez pas vite. En voici quelques-unes :

• Une perte d’exploitation majeure suite à la paralysie de votre système d’exploitation et à l’impossibilité de faire fonctionner votre entreprise correctement ;
• Le vol et la perte de données personnelles appartenant à vos clients, vos fournisseurs, vos salariés, etc. ;
• Une perte financière importante suite à des transactions frauduleuses ou au paiement de la rançon réclamée par les cybercriminels ;
• Le vol de vos secrets industriels et scientifiques à la suite notamment d’un cyber-espionnage ;
• Un préjudice commercial du fait, par exemple, de l’indisponibilité de votre site web pendant plusieurs heures ;
• Une atteinte à votre image et à votre réputation : la perte de confiance de vos clients peut entraîner une perte de chiffre d’affaires ;
• Une désorganisation de votre production et de vos livraisons ;
• Une sanction de la part d’une autorité, et notamment de la CNIL.

Comment se protéger face au risque de cyberattaques ?

En matière de cybercriminalité, le risque zéro n’existe pas. Toutefois, certaines mesures techniques permettent de limiter le nombre d’attaques et de se défendre efficacement en cas de tentative. Voici quelques-uns des conseils de l’Agence Nationale des Systèmes de Sécurité de l’Information (ANSSI) :

• Sauvegardez vos données de façon régulière, sur des serveurs sécurisés ;
• Maintenez à jour votre système d’exploitation et vos logiciels ;
• Installez un logiciel antivirus et mettez-le à jour dès que nécessaire ;
• Cloisonnez votre système d’information ;
• Limitez les droits des utilisateurs et les autorisations des différentes applications utilisées au sein de votre entreprise ;
• Définissez des procédures et des bonnes pratiques, notamment en matière de mot de passe complexe ou de vérification d’identité ;
• Maîtrisez les accès à votre réseau (Internet et Intranet) ;
• Définissez un plan de réponse aux cyberattaques afin de réagir vite et efficacement ;
• Élaborez votre stratégie de communication en cas d’attaque.
  

En parallèle, il est indispensable de sensibiliser les différents acteurs de votre entreprise. Objectif : leur apprendre à détecter les risques et à circonscrire les conséquences d’une éventuelle attaque. Par exemple, vos employés ne doivent jamais communiquer d’informations sensibles par messagerie ou par téléphone. De la même manière, ils ne doivent jamais cliquer sur un lien présent dans un email sans être certains de l’origine de celui-ci.

Enfin, vous pouvez souscrire à une assurance dédiée aux attaques informatiques afin d'être indemnisé des dommages éventuels.

Attention : depuis le 24 avril 2023, pour recevoir une indemnisation, vous devez déposer plainte dans un délai de 72 heures à compter de la découverte des pertes et dommages occasionnés par la cyberattaque. Il est donc très important de réagir rapidement.

Cette condition concerne uniquement les attaques informatiques survenues dans le cadre de votre activité professionnelle. Elle s’applique aux personnes physiques (travailleurs indépendants, entrepreneurs individuels, etc.) et aux personnes morales (entreprises, associations, administrations publiques).

Que faire en cas de cyberattaque ?

Les victimes de cyberattaques doivent adopter les bons réflexes et piloter la gestion de la crise de façon optimale afin de réduire ses conséquences.

L’ANSSI conseille, par ailleurs, aux entreprises de trouver une assistance technique adéquate et de ne surtout pas payer de rançon.

Enfin, il est indispensable de porter plainte.

Comme indiqué ci-dessus, déposer plainte rapidement permet de sauvegarder vos droits notamment pour que votre assurance prenne en charge le risque, ce qui est également valable en cas de fraude bancaire.

Le dépôt de plainte vous permettra d’obtenir l’ouverture d’une enquête et de demander des dommages et intérêts pour les préjudices subis. Les cyberattaques peuvent en effet être sanctionnées dans le cadre de différentes infractions pénales :

• Le phishing, par exemple, est condamné par l’article 434-23 du Code pénal. Cette pratique est punie de 5 ans d’emprisonnement et de 75 000 € d’amende.
• L’usurpation d’identité est une infraction passible d’une peine d’un an d’emprisonnement et de 15 000 € d’amende, en vertu de l’article 226-4-1.
• L’escroquerie (article 313-1) est un délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 € d’amende.
• L’accès frauduleux à un système de traitement automatisé de données est prévu à l’article 323-1. Les auteurs peuvent être condamnés à deux ans d’emprisonnement et de 60 000 € d’amende. La peine est plus lourde en cas de suppression ou de modification de données ou d’altération du fonctionnement du système (trois ans d’emprisonnement et 100 000 euros d’amende).
• L’atteinte à un système de traitement automatisé des données est sanctionnée par l’article 323-3 du Code pénal de 2 ans d’emprisonnement et de 30 000 € d’amende.
• D’autres attaques informatiques tombent également sous le coup de l’article 226-18 du Code pénal. Celui-ci condamne la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite, à un an d’emprisonnement et de 300 000 € d’amende.

Les cyberattaques peuvent également tomber dans le cadre de certaines infractions prévues par le Code monétaire et financier et le Code de la propriété intellectuelle.

Dans le cadre de votre plainte, vous devez rassembler l’ensemble des preuves et des éléments prouvant l’infraction et permettant l'identification des auteurs.

En parallèle, vous pouvez signaler l’attaque de votre système informatique sur la plateforme Pharos (Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements).

Dans tous les cas, il est vivement conseillé de solliciter l'expertise d'un avocat spécialisé en cybercriminalité. Il vous épaulera non seulement tout au long de la procédure judiciaire, mais également dans la gestion de votre communication de crise. Son rôle essentiel est de vous guider dans vos décisions stratégiques visant à atténuer les retombées d'une cyberattaque et à rassurer vos clients.

Et en cas de violation de données personnelles ?

Si vous êtes une entreprise, si la cyberattaques atteint des données personnelles (par exemple données clients, prospects, salariés, patients … ), le RGPD vous impose de réagir vite et de manière appropriée pour mettre à fin à la violation des données et minimiser ses impacts.

Une violation de données est définie comme : « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Ainsi, la réglementation prévoit différentes mesures à prendre en fonction du risque pour les personnes concernées par la violation de données.

Dans tous les cas, vous devez documenter la violation de données et indiquer les mesures que vous avez prises pour limiter son impact.

S’il existe un risque pour les personnes (exemple : accès aux noms et adresses postales) vous devez informer la CNIL par le biais d’une notification dans un délai de 72h.

S’il existe un risque dit « élevé » pour les personnes, en plus de notifier la CNIL, vous devez faire une information aux personnes concernées dans les meilleurs délais. Cela peut se faire par mail ou tout moyen approprié. Bien entendu cette communication doit être parfaitement maîtrisée pour ne pas entacher la réputation de l’entreprise.

Le risque s’apprécie en fonction de la nature et la sensibilité des données (exemple : données de santé ou d’opinion religieuse) mais également du volume et des conséquences que la violation pourrait avoir pour les personnes concernées.

En cas de violation de données, il est fortement recommandé de faire appel à un avocat expert en RGPD et habitué à réagir en cas de cyberattaque. Un cabinet d’avocats maîtrisant ces procédures vous aidera à apprécier la nature du risque et pourra vous accompagner dans les mesures à prendre pour notifier la CNIL dans les 72h et vous conseiller sur votre obligation d’informer les personnes concernées.

Vous êtes victime d’une cyberattaque ? Prenez contact dès maintenant avec le cabinet d’avocats Touati La Motte Rouge.