En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site eCommerce pour la vente de prêt-à-porter
    < 1 000 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de produits artisanaux
    A déterminer €
    > En savoir plus
  • Création d'un site eCommerce pour la vente de textile et broderie
    < 1 500 €
    > En savoir plus
Global K_Data scientist_leaderboard

WannaCrypt, les impacts juridiques de la cyberattaque

Primobox_Demat RH_pave 2

Ransomware WannaCry : Garance Mathias, Avocat à la Cour, livre ici les premières interrogations sur le plan juridique.

 

Quels sont les faits ?

L’Autorité Nationale de Santé (National Health Service) britannique a confirmé vendredi 12 mai que seize de ses hôpitaux avaient été affectés par le ransomware WannaCrypt. L’opérateur de télécommunication Telefónica, le ministère de l’Intérieur russe ou encore FedEx ont également annoncé avoir été victimes de cette cyberattaque. Les entités publiques comme les entités privées ont donc été prises pour cibles.

Pour résumer, ce logiciel chiffre les données présentes sur l’ordinateur infecté, a priori du fait d’une absence de mise à jour de Windows. Si l’entreprise ou l’administration souhaite à nouveau accéder à son contenu, il lui est demandé de payer une « rançon » d’un montant peu élevé, en Bitcoin.

D’après le directeur juridique de la société Microsoft, la faille de Windows que les hackers – le groupe des Shadow Brokers – ont exploitée aurait été conservée secrète par la NSA (National Security Agency) jusqu’à ce qu’elle lui soit volée. Ce vol avait été révélé en début d’année 2017 et la société Microsoft avait publié une mise à jour le 14 mars 2017 afin de corriger cette vulnérabilité.

Le 13 mai 2017, Europol (European Cybercrime Centre ou EC3) a annoncé travailler étroitement avec les gouvernements et les industriels des pays affectés par cette cyberattaque. Cette collaboration vise tant à limiter les effets de l’attaque qu’à soutenir les investigations. A noter que l’Union européenne n’est pas la seule à s’être saisie des enjeux relatifs à la cybercriminalité. En effet, le Conseil de l’Europe a été l’initiateur de la Convention sur la cybercriminalité (dite aussi de Budapest), premier traité international sur les infractions pénales commises via l’Internet et d’autres réseaux informatiques. L’occasion nous sera ainsi donnée d’analyser la manière dont les Etats appliquent cette Convention.

Quelles sont les premières interrogations sur le plan juridique ?

En tant qu’avocats, les premières questions qui nous viennent à l’esprit sont les suivantes:

  • Quelles étaient les mesures mises en œuvre avant la cyberattaque par l’entité visée ?
  • A-t-elle fait l’impasse sur des mesures de sécurité raisonnables, conformes à l’état de l’art en la matière ?
  • Quelles sont les mesures mises en œuvre pendant et après la cyberattaque ?
  • A-t-elle accepté de payer la « rançon » ?
  • Quel sont les préjudices subis par l’entité ?
  • Quelles sont les données compromises par cette cyberattaque ?
  • Des données à caractère personnel ont-elles été divulguées ?
  • L’intégrité des données à caractère personnel a-t-elle été compromise ?
  • Si elles exercent leurs droit d’accès, les personnes dont les données ont été collectées auront-elles effectivement accès à toutes les données ?

Indépendamment du fait que la vulnérabilité exploitée par les hackers provienne de la NSA ou non, toute entité ayant été affectée devra s’interroger sur sa responsabilité en termes de conformité à la législation applicable en la matière.

Quelle responsabilité pour les entités affectées par la cyberattaque ?

Il n’est pas exclu que certaines entreprises doivent faire face à des actions de groupe ou class actions, à l’instar de Target, qui avait fait l’objet d’une attaque en décembre 2013. Pour rappel, plus de quarante millions de cartes de paiement avait été compromises. De même, il est probable que certaines entreprises fassent l’objet d’un contrôle par les autorités compétentes en la matière. Nous pensons notamment aux entreprises qui traitent un volume conséquent de données à caractère personnel et/ou des données sensibles, à l’instar des banques et des hôpitaux. A l’avenir, seront également concernés les opérateurs fournissant des services essentiels (finance, transports, santé, etc.) et certaines plateformes numériques, dont les activités sont encadrées par la Directive NIS.

Outre les conséquences sur les systèmes d’information et les données en tant que tels, cette cyberattaque a d’autres répercussions. A titre d’illustration, certaines entreprises ont dû arrêter leurs chaînes de production. Ainsi, il convient de prendre en compte les retards de livraison éventuels des produits et une éventuelle responsabilité de l’entreprise eu égard au droit de la consommation ou aux stipulations du contrat par lesquelles elles sont liées. Par ailleurs, les hôpitaux britanniques impactés ont déclaré avoir dû reporter des interventions chirurgicales importantes et avoir perdu des données médicales, nécessaires pour traiter certains patients.

Il sera également intéressant de voir si les entités impactées avaient contracté des assurances spécifiques relatives au cyber risque. Par ailleurs, des assurances ont probablement été souscrites pour ce qui concerne les interruptions de service. Toutefois, pour espérer en bénéficier, encore faudra-t-il certainement démontrer avoir respecté l’état de l’art en matière de sécurité des systèmes d’information.

En dernier lieu, à la lumière de cette cyberattaque, il nous paraît pertinent de rappeler l’importance des sensibilisations à dispenser auprès des collaborateurs de toute entité.

WannaCrypt, les impacts juridiques de la cyberattaque
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 24 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Données personnelles : la Cnil, aujourd'hui moins clémente, sanctionne pécuniairement Hertz France

    C’est la première fois qu’une sanction pécuniaire est prononcée par la CNIL pour une violation…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Dématérialisation des documents RH, une aubaine pour les salariés ou pour les employeurs ?

    Depuis le 1er janvier 2017 et l’entrée en vigueur de la loi Travail, les employeurs…

    > En savoir plus...
Etudes/Enquêtes
  • Pays connectés : la France en 15e position dans le monde, c'est mieux qu'en 2016

    La France au 15e rang mondial des pays connectés aux technologies de l'information et de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Lean_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Préparation au règlement général sur la protection des données (RGPD)

    > Voir le livre
  • Adopter un Plan de Continuité d’Activité (PCA)

    > Voir le livre
GlobalK_Lean_skycraper