Cyberattaques et protection des données personnelles au temps du Covid-19

Le Covid-19 perturbe profondément l’économie et l’organisation du travail. En effet, l’appel à la généralisation du télétravail a obligé les entreprises à mettre en place des mesures en urgence. Cependant, la mise en place de ces mesures a créé une augmentation massive des cyberattaques et un risque pour les données personnelles. Alors, comment assurer la continuité des activités tout en protégeant les données personnelles et la sécurité des systèmes informatiques ?

Le Covid-19 a profondément perturbé les entreprises, leur économie et l’organisation de leur activité. L’appel au confinement et la généralisation du télétravail ont obligé les entreprises à mettre en place des mesures d’aménagement d’urgence. Alors que l’organisation du travail à distance demande habituellement des mois d’anticipation, il a fallu s’organiser en 48 heures. Un véritable tour de force qui a donc mobilisé tous les employés mais plus encore ceux des services techniques, des ressources humaines et des pôles juridiques.

Au-delà de l’ensemble des problèmes structurels lié à cette organisation, comment assurer la continuité de l’activité, en permettant notamment le travail à distance et/ou l’accès à de nombreux documents sensibles en ligne ou via un réseau de télécommunication, tout en protégeant les données personnelles et la sécurité des systèmes informatiques, cruellement exposés aux cyberattaques ?

Un risque accru de cyberattaques en temps de crise

Une cyberattaque est une atteinte malveillante pouvant viser différents systèmes et dispositifs informatiques comme des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à internet, des équipements périphériques tels que les imprimantes, des équipements de communication tels que les téléphones mobiles, les smartphones ou les tablettes mais également les webcams et tous les nouveaux assistants de vie numérique. Les cyberattaques se divisent en quatre catégories : la cybercriminalité, l’atteinte à l’image, l’espionnage et le sabotage. Les victimes peuvent être des particuliers, des institutions publiques ou encore des entreprises.

Les cyberattaques représentent des risques considérables tant d’un point de vue économique qu’en terme d’image. Plusieurs entreprises françaises en ont déjà fait les frais et notamment le groupe Lise Charmel qui a récemment subi un rançongiciel (ransomware) entraînant une perte de plusieurs millions d’euros. Le groupe M6 a également été victime du même type d’attaques en octobre dernier. L’Anssi (l’Agence nationale de cyber-sécurité) s’est intéressée à cette attaque, comme elle avait pu le faire lors de la première attaque du type en 2015 contre TV5 Monde.

La situation de crise liée au Covid-19 donne plus de possibilités aux cybercriminels. Cependant, des stratégies de protection existent mais celles-ci doivent être adaptées, rapides et réfléchies.

Un contexte propice aux cyberattaques

Édouard Jeanson, responsable sécurité chez Capgemini France, a souligné très récemment la multiplication et l’augmentation notable des cyberattaques depuis le début de la crise du Covid-19 et a notamment annoncé : « En attaquant les infrastructures vitales, en attaquant les entreprises, en attaquant notre système d’information, le but des pirates est de créer une sur-crise à la crise déjà existante ». La société de sécurité Proofpoint a également expliqué très récemment que le volume cumulé d’emails piégés liés au Covid-19  est le plus gros que leur équipe ait vu depuis des années, voire même jamais vu. La cyber-malveillance a explosé en France depuis le 17 mars 2020 au niveau national d’après le directeur général de la plate-forme gouvernementale Cyber-malveillance, Jérôme Nottin.

Les particuliers ont par exemple vu apparaître des ventes d’attestations de sortie, pourtant accessibles gratuitement sur le site du gouvernement.

Les cybercriminels ne se sont pas arrêtés aux particuliers et s’en sont pris également à l’Assistance publique des hôpitaux de Paris (AP-HP)  le 22 mars dernier par déni de service (type DDos). L’objectif était de bombarder les serveurs informatiques par de fausses requêtes afin de les rendre inaccessibles.

Sur le plan international, les systèmes informatiques des hôpitaux espagnols et l’Organisation mondiale de la santé (OMS) ont également été des cibles de cyberattaques. En effet, les hackers sont internationaux et attaquent le monde entier. Ils profitent d’un web mondialisé pour être sans frontière. Le principal groupe de hackers, APT 41, déjà connu pour des attaques antérieures, est basé en Chine. D’autres sont également actifs depuis la Russie ou l’Iran. Ils agissent, sans surprise, pour leur propre intérêt, avec pour objectif de faire tomber notre système. Mais plus étonnant, ils agissent également pour leur propre État. Le rapport rédigé par Thales met en exergue que le premier groupe de cybercriminels épaulé par un État à se servir d’un piège « coronavirus » a été le groupe Hades (lié à l’APT28, présumé russe, responsable du piratage du parti démocrate américain en 2016). La société de cyber-sécurité QiAnXin a ainsi découvert que le groupe Hades avait caché un cheval de Troie courant février dans des emails semblant provenir du Centre de santé publique du ministère de la Santé ukrainien. En parallèle, le groupe de cybercriminels a mis en place une campagne de désinformation, toujours selon le rapport de Thales, destiné aux citoyens ukrainiens afin de faire régner la panique dans le pays et le déstabiliser. L’objectif était alors politique.

Le rapport rédigé par Thales attire également notre attention sur les fausses applications de suivi du virus sous Android. 50 % des noms de domaines créés depuis décembre 2019 et liés au thème du Covid-19 pourraient rerouter vers des sites internet contenant des logiciels malveillants.

Le risque de cyberattaques et/ou de fuites des données sont également accrus par la mise en place massive du télétravail. Cela est dû à l’utilisation plus importante d’appareils personnels, une plus grande circulation des données, des systèmes informatiques sensibles beaucoup plus accessibles depuis l’extérieur de l’entreprise ou encore des procédures de sécurité plus difficiles à mettre en œuvre hors de l’entreprise. La délocalisation du travail offre des points d’entrée aux cybercriminels. Cela présente un risque tant pour l’employé à titre individuel que pour l’entreprise toute entière. Les États, une fois de plus, profitent des perturbations causées par la mise en place massive en urgence du télétravail grâce à des groupes d’espionnage.

Enfin, les risques d’attaques contre les agences gouvernementales sont augmentés puisque celles-ci concentrent leurs efforts sur la réponse au Covid-19 plutôt que sur leur cyber-mission habituelle. Elles constituent à ce titre une proie privilégiée.

Les stratégies de protection envisageables contre les cyberattaques

Heureusement, des stratégies de protection sont envisageables. Il faut pour les concevoir et les mettre en œuvre, faire travailler de concert les équipes juridiques (cabinet d’avocats/direction juridique) et les équipes techniques.

Parmi les mesures possibles, les équipes peuvent (a) déterminer si l’entreprise est exposée à un risque juridique et d’attaques et quel serait le niveau de risque, (b) analyser les droits et obligations prévus par les principaux contrats avec les fournisseurs à la lumière des risques actuels et de la nouvelle organisation de travail, (c) limiter l’accès des fournisseurs aux systèmes informatiques de l’entreprise afin de limiter les accès extérieurs, (d) mettre en place des pratiques de sécurité pour le travail à distance et s’assurer de  leur bonne mise en œuvre, (e) appliquer les correctifs de sécurité rapidement, notamment sur les équipements et logiciels exposés sur internet (solution VPN, messagerie protégée, etc.), (f) effectuer des sauvegardes hors ligne pour les systèmes à risque, (g) utiliser une solution d’accès de type VPN (Virtual Private Network, réseau privé virtuel) propre à l’entreprise, idéalement IPsec ou TLS à défaut, pour ne pas exposer les applications directement sur internet, (h) installer l’authentification à double facteur pour lutter contre les risques d’usurpation d’identité (VPN et applications accessibles) et/ou (i) consulter régulièrement les journaux d’accès aux solutions exposées sur internet pour détecter des comportements suspects.

Face à l’urgence, il est nécessaire d’établir un ordre de priorité de sécurisation. Cette étape délicate peut sembler chronophage mais reste capitale pour préserver le cœur de l’entreprise en cas de cyberattaque. L’approche proposée par les équipes juridiques et techniques doit être pragmatique, flexible tout en restant conforme aux obligations contractuelles telles que la performance des fonctions du service client.

Afin d’aider face à aux cyberattaques liées au Covid-19, un groupe de 360 experts de plus de 40 pays s’est constitué sous le nom de CTI Covid-19.  Protéger les ressources médicales est leur priorité.

Enfin, l’Agence de l’Union européenne pour la cyber-sécurité (ENISA) et la CNIL ont également publié des conseils pratiques pour télétravailler en sécurité.

La protection des données personnelles en temps de crise sanitaire

L’équilibre déjà fragile entre protection des données et sécurité a été remis en question avec le Covid-19.

Une donnée personnelle est une information qui permet d’identifier ou de rendre identifiable une personne physique. Les données personnelles, parce qu’elles font partie de la vie privée, nécessitent une protection. Leur traitement est encadré en France notamment par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 et par le Règlement européen n° 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit RGPD). En outre, certaines données sont considérées comme particulièrement sensibles, telles que les données de santé. Celles-ci bénéficient d’une protection plus importante.

Or, face à l’urgence sanitaire, les institutions ont dû s’adapter et ont apporté leurs recommandations en ce qui concerne le traitement des données personnelles.

La difficile balance entre droit à la vie privée et sécurité

La crise du Covid-19 pose de nombreuses problématiques quant à la protection et le traitement des données personnelles et spécifiquement des données de santé. Le premier risque serait la perte de données personnelles du fait d’une cyberattaque. Le second risque serait un traitement élargi des données de santé justifié par la crise sanitaire.

La situation de crise vient questionner notre équilibre entre droit à la vie privée et sécurité. Faut-il accepter un traitement en masse des données personnelles de santé pour des raisons de santé et sécurité publique ? Cette difficile balance ne peut être ignorée. Comment concilier protection de la vie privée et sécurité ?

La question a déjà été tranchée à plusieurs reprises depuis le début de la crise. Ainsi, la CNIL a donné ses propres recommandations aux employeurs et leur a rappelé leur obligation de respecter le RGPD. Pourtant d’autres questions restent encore en suspens à l’heure actuelle en France, et non des moindres, celle de la géolocalisation des malades. Si la question n’est pas totalement tranchée à notre niveau national, le premier ministre français, Édouard Philippe, s’est cependant prononcé sur un possible traçage « volontaire » en France grâce aux téléphones portables malgré l’interdiction légale. SFR, de son côté a lancé son offre Geostatistics. L’outil créé en 2016 est présenté comme « l’analyse des traces provenant du parc client mobile de SFR ». Cela représente des données « massives, mesurées et anonymisées en temps réel, 24h/24 [afin] de modéliser statistiquement et de façon très fiable les flux de personnes sur l’ensemble du territoire ». Ces données sont utilisées par des travaux de recherche de l’Assistance publique des Hôpitaux de Paris (AP-HP) et l’Institut national de recherche en sciences et technologies du numérique (INRIA). L’objectif est de mesurer et de représenter les déplacements entre l’Ile-de-France et les autres régions françaises sur le mois de mars afin d’affiner les prévisions d’afflux de patients dans les hôpitaux d’Ile-de-France, a annoncé SFR le 3 avril dernier. Orange, grâce à un outil similaire « Flux Vision » a communiqué ses données auprès de l’Inserm.

Par ailleurs, l’usage massif d’applications de téléconférence a posé la question de leur traitement des données. Le 27 mars dernier, il a été constaté que l’application Zoom iOS, favorite depuis le début du confinement grâce au nombre de participants illimité, partageait certaines des informations avec le réseau social Facebook. L’application Zoom a très rapidement publié une mise à jour afin d’éviter tout transfert de données vers Facebook. Il faut ainsi rester prudent avec l’utilisation de ces applications. Houseparty, par exemple, récupère les contacts des répertoires téléphoniques, photos et lieux de résidence et même le contenu des conversations. Il est indiqué sur son site que le responsable de traitement Life On Air « est libre » d’utiliser le « contenu » de toutes les communications transmises par l’utilisateur.

Enfin, certains pays de l’Union européenne comme l’Allemagne ont pris les devants en testant la géolocalisation, prenant exemple sur Israël et la Chine bien que plusieurs agences de l’Union européenne aient déclaré que la pandémie actuelle ne justifiait pas le non-respect des principes fondamentaux de la protection des données, y compris la nécessité de maintenir (et de documenter) des mesures de sécurité adéquates pour les données personnelles.

Des règles de protection des données personnelles toujours d’actualité mais adaptées pour les employeurs

Les règles de protection des données personnelles et particulièrement des données de santé restent toujours applicables et doivent être respectées.

Une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique. Celle-ci est protégée par l’article 9 du Règlement général de protection des données. Le principe est celui de l’interdiction du traitement des données de santé. Reste à noter que des exceptions y sont énoncées. La collecte des données de santé est ainsi rendue possible, par exemple, pour des motifs d’intérêt public dans le domaine de la santé publique. L’employeur n’est pas en droit de posséder des informations médicales sur ses employés hors accident du travail ou maladie professionnelle. La collecte de données de santé par un employeur sera considérée comme une atteinte au respect à la vie privée du salarié. Le 6 mars 2020, afin de compléter cette règle face à la situation exceptionnelle engendrée par le Covid-19, la CNIL a adressé ses recommandations. L’employeur peut ainsi interroger l’employé sur son état de santé ou sa destination de vacances. Cependant, les demandes de l’employeur ne doivent jamais excéder la recherche d’une exposition éventuelle au virus. La collecte systématique et généralisée, par enquêtes et demandes individuelles, des informations ne peut en aucun cas être autorisée. Elle doit être individuelle. Impossible donc pour l’employeur de prendre la température de chaque employé chaque matin ou de faire remplir des questionnaires tous les jours par tous les salariés.

Pour autant, l’employeur peut tout à fait inviter ses employés à l’informer ou informer les autorités sanitaires en cas d’une éventuelle exposition au virus ou l’apparition de symptômes. Ainsi, en cas de signalement, un employeur peut noter certaines informations et les notifier aux autorités sanitaires comme la date et l’identité de la personne suspectée d’avoir été exposée et/ou les mesures organisationnelles prises (confinement, télétravail, etc.).

Enfin, rappelons les sanctions. Si l’employeur met ou conserve en mémoire informatisée, sans le consentement exprès de l’employé, des données à caractère personnel relatives à la santé, celui-ci risque 5 ans d’emprisonnement et 300 000 € d’amende.  Il a, de plus, obligation de notifier toute violation des données personnelles à la CNIL et à la personne concernée. En l’absence de notification, celui-ci risque 5 ans d’emprisonnement et 300 000 € d’amende.