Cybercriminalité : « Les attaques avec l’intelligence artificielle sont redoutables »

Après la cyberattaque contre Almerys et Viamedis, 33 millions de Français ont vu leurs données personnelles volées. Un phénomène contre les services publics qui ne cesse d’augmenter ces dernières années. Entre 2020 et 2021, les administrations publiques en France ont connu une hausse des intrusions informatiques à hauteur de 37 % selon les données de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Des attaques qui touchent à plus de 80 % les collectivités locales et les hôpitaux. Avocates spécialisées dans la cybersécurité au sein du cabinet Advant Altana, Valérie Lafarge-Sarkozy et Laetitia Daage ont participé notamment à la rédaction du rapport du Club des juristes : « Le cyber-risque et l’assurance du cyber-risque » et à un autre rapport intitulé : « Le droit pénal à l’épreuve des cyberattaques ». Pour Actu-Juridique, elles reviennent et analysent l’ampleur de plus en plus importante que prennent les cyberattaques contre les administrations publiques. Rencontre.
Actu-Juridique : Les acteurs du service public ont connu une hausse de 37 % des cyberattaques entre 2020 et 2021. Quel est votre regard concernant ce phénomène ?
Valérie Lafarge-Sarkozy : Il est probable que certains des acteurs du service public soient encore insuffisamment protégés. Par conséquent, les cybercriminels peuvent avoir plus de facilité pour rentrer dans leurs systèmes d’information, étant précisé que la cybersécurité représente un investissement important. J’ai aussi le sentiment que certains agents publics sont insuffisamment formés.
Laetitia Daage : Cependant, nous retrouvons les mêmes écueils et les mêmes problématiques dans les entreprises ou les grands groupes qui sont victimes de cyberattaques. Il y a des problèmes d’organisation et de procédures qui ne sont pas mises en œuvre ou encore des assurances qui ne sont pas contractualisées. Mais les attaques sur des ministères, des collectivités ou des hôpitaux sont plus retentissantes car les données concernent tout le monde. Nous le voyons notamment dans les établissements de santé. Les différents membres du personnel n’ont pas nécessairement les outils et conservent souvent des réflexes qui entraînent une vulnérabilité dans l’espace cyber. Par exemple, dans le monde hospitalier, il arrive encore qu’on laisse la session de l’ordinateur ouverte pour pouvoir travailler dans l’urgence. Et en même temps, il y a de plus en plus d’outils numériques à l’hôpital. Il y a donc encore vraiment un contraste important entre la cybersécurité, la sensibilité des données et les moyens à disposition du personnel hospitalier.
Valérie Lafarge-Sarkozy : Ce manque doit être comblé comme les entreprises françaises ont pu le faire ces dernières années en investissant dans des systèmes de cybersécurité ou dans la formation des collaborateurs. Les réflexes commencent à s’inscrire dans le quotidien des dirigeants et des salariés des TPE, PME et le sont majoritairement dans les grands groupes. Par exemple, les clés USB sont de moins en moins utilisées, les connexions sur les réseaux publics sont exclues, les ordinateurs sont éteints en quittant le bureau, des simulations d’attaques ont lieu régulièrement, etc. Ce sont des gestes qui deviennent de plus en plus des automatismes dans le quotidien des entreprises.
AJ : Quels sont les enjeux liés aux cyberattaques sur les administrations publiques ?
Laetitia Daage : C’est clairement un enjeu de souveraineté. Surtout compte tenu du fait que les systèmes d’information de l’administration sont de plus en plus interconnectés, ce qui rend la protection encore plus capitale. Quand un cybercriminel réussit à pénétrer le système d’une collectivité locale, par exemple, il peut parfois par ce biais accéder ensuite à d’autres systèmes. L’enjeu de souveraineté et de protection des données des Françaises et des Français est prédominant. Dans certaines attaques récentes sur des universités en lien avec l’intelligence artificielle, les cyberattaquants ont ciblé des outils LLM de reconnaissance et de création de texte utilisés par des chercheurs qui travaillent sur des sujets de géopolitique. Ce type d’informations et ces réflexions peuvent également être sensibles.
Valérie Lafarge-Sarkozy : L’État français est très mobilisé et possède une réelle vision sur le risque cyber. Le président de la République a fait de ce sujet une priorité. Il y a notamment eu la création du campus cyber à La Défense. Nous sommes un pays européen leader dans ce domaine. Les acteurs publics sont donc très concernés par la cybersécurité. La formation doit être renforcée dans l’ensemble des administrations partout sur le territoire français. Un facteur d’autant plus essentiel que les cybercriminels évoluent de plus en plus rapidement et sont de plus en plus dangereux. Les attaques avec l’intelligence artificielle sont redoutables. Par exemple, vous pensez parler à votre banquier en visioconférence, mais ce n’est pas votre banquier !
AJ : Comment travaillez-vous sur des affaires de cyberattaques concernant le secteur public ?
Laetitia Daage : Nous travaillons avec des opérateurs téléphoniques et des hébergeurs qui travaillent avec des acteurs ou des administrations publiques. Nous intervenons généralement en second rang concernant les cyberattaques impactant le secteur public.
Valérie Lafarge-Sarkozy : Nous n’avons encore jamais été saisis pour des attaques concernant des hôpitaux ou des collectivités territoriales.
AJ : Pourquoi est-il important de déposer plainte rapidement suite à une cyberattaque ?
Laetitia Daage : Il y a un réel intérêt sociétal à ce que les entreprises victimes déposent plainte. En effet, cela fournit de nouvelles données aux services d’enquêtes spécialisés et les aide ainsi à identifier les cybercriminels et à démanteler des réseaux. À chaque fois qu’un réseau est démantelé, nous vérifions si cela concerne un de nos dossiers. C’est de plus en plus récurrent. Malgré leur expertise et leur spécialisation, les enquêteurs ont toujours besoin de nouvelles informations pour avancer.
Valérie Lafarge-Sarkozy : Dans le cadre de la cyberattaque dont ont été victimes Almerys et Viademis en mars 2024, les conséquences sont différentes selon les victimes : d’un côté il y a un préjudice direct qui est le vol des données des usagers d’Almerys et de Viademis, de l’autre un préjudice indirect pour les 33 millions d’usagers dont les données personnelles vont potentiellement être utilisées dans le cadre d’escroqueries ou revendues sur le dark web pour nourrir d’autres cyberattaques type phishing.
AJ : Un autre aspect important de la prévention face aux cyberattaques, c’est l’assurance…
Valérie Lafarge-Sarkozy : Effectivement, le fait de s’assurer permet de mettre en place des règles de protection. L’assureur vérifiant généralement les dispositifs de cybersécurité mis en place. Il va prendre en compte les recommandations données aux salariés et l’organisation de votre système d’information. Par conséquent, l’assurance est une première bonne protection. Aujourd’hui, la majorité des entreprises françaises ne sont toujours pas assurées, même si cet indicateur progresse. Les entreprises qui n’ont pas cette couverture ne pourront pas être indemnisées par leur assureur du préjudice subit à la suite d’une attaque.
Laetitia Daage : Sur l’indemnisation, il y a eu tout un débat au Parlement lors des discussions sur la loi de programmation et d’orientation du ministère de l’Intérieur (LOPMI) en 2022. Cela concernait l’insertion d’un nouvel article dans le Code des assurances visant à valider l’indemnisation des rançons par les cyber asssurances. À l’issue du débat parlementaire, la rédaction de cet article a été modifiée en ces termes : « le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du Code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime ». L’assiette de dommages couverts par les cyber assurances est donc plus large puisqu’elle vise désormais « les pertes et dommages causés par une atteinte » aux STAD mais elle inclut toujours les rançons. Dans tous les cas, nous conseillons systématiquement à nos clients de ne jamais payer une rançon !
Valérie Lafarge-Sarkozy : Effectivement, il faut éviter de suivre les consignes des cybercriminels lors d’une attaque par ransomware. En effet, les données volées ne sont pas toujours récupérées après le paiement de la rançon et lorsqu’elles le sont, elles peuvent être inexploitables. Le premier réflexe de l’entreprise assurée doit être celui de déposer plainte dans les 72 heures, notamment pour pouvoir être indemnisé par son assurance.
AJ : Vous l’avez dit, les données de 33 millions de Françaises et de Français ont été volées lors de l’attaque contre Almerys et Viademis. L’ampleur de cette cyberattaque est-elle inédite ?
Valérie Lafarge-Sarkozy : Aux États-Unis, il y a déjà eu des attaques massives. En France, je pense que c’est inédit.
Laetitia Daage : Dans ce cas, nous avons atteint un record. D’ailleurs, le ministère de l’Intérieur, compte tenu de l’ampleur de cette cyberattaque, a mis en place un site internet afin de permettre aux victimes de déposer plainte, sans avoir à se rendre dans un commissariat ou une gendarmerie. Il leur suffit d’utiliser le formulaire de lettre-plainte en ligne, créé à cet effet, et accessible sur le portail sécurisé de l’État, Demarches-simplifiees.fr, à l’adresse suivante : https://www.demarches-simplifiees.fr/commencer/lettre-plainte-suite-a-la-fuite-de-donnees-viamedi-almerys.
Une fois ce formulaire rempli, les victimes peuvent l’envoyer soit par mail, soit par courrier à l’adresse indiquée. Cette plateforme est incitative et très simple car il n’y a pas besoin de se déplacer et que la plainte se fait de manière électronique. Ces plaintes s’ajouteront à celles déjà déposées par les mutuelles et les prestataires concernés. Une enquête a été ouverte par la section J3 (cyber) du parquet de Paris.
AJ : Quel est l’intérêt pour les 33 millions de personnes de déposer plainte par rapport à cette cyberattaque ?
Valérie Lafarge-Sarkozy : Ces 33 millions de personnes ont été victimes du vol de leurs données personnelles. Théoriquement, si les cybercriminels responsables de cette cyberattaque sont retrouvés et présentés devant un juge, les 33 millions de Français pourraient se constituer partie civile.
Laetitia Daage : Les données personnelles qui ont été volées peuvent être utilisées de différentes manières par les cyberattaquants. D’abord, elles peuvent être vendues facilement sur le darkweb afin de permettre à d’autres hackers de reconstituer des profils en couplant ces données avec d’autres données (adresses mails, mots de passe ou numéros de téléphone), appartenant aux mêmes personnes qui auraient été volées dans le cadre d’autres attaques informatiques. Lorsqu’ils couplent l’ensemble de ces informations, les cyberattaquants peuvent accéder à d’autres systèmes d’information et parfois à certains espaces clients d’achat en ligne dont chacun dispose sur différents sites. Dans certains dossiers, nous avons constaté que ces informations couplées pouvaient par exemple permettre d’accéder aux espaces clients de sites de banques et de réaliser des virements directement depuis les comptes bancaires des victimes. Il y a donc un véritable marché des données volées.
Enfin, ces informations personnelles peuvent aussi être utilisées dans le cadre de futures cyberattaques type phishing afin de mettre en confiance les victimes et les rassurer sur l’identité de leur interlocuteur. En effet, si on exhibe à une victime un nom et une fonction, associés à une véritable date de naissance et un numéro de sécurité sociale authentique, celle-ci sera en confiance et sera plus encline à cliquer sur le lien envoyé ou à effectuer le virement ou l’action demandée.
AJ : Théoriquement, comment pourrait se dérouler la procédure judiciaire avec 33 millions de personnes qui peuvent se porter partie civile ?
Laetitia Daage : Au niveau pénal, le parquet de Paris s’est saisi de l’affaire et a ouvert une enquête préliminaire. C’est la section J3 du parquet, spécialisée en matière de cybercriminalité, qui est en charge de l’enquête avec la BL2C, service spécialisé. Les mutuelles et les prestataires concernés ont également déposé plainte. Le formulaire de plainte en ligne a été mis en place par le ministère de l’Intérieur pour les 33 millions d’usagers victimes du vol de leurs données.
En parallèle, la Commission nationale de l’informatique et des libertés (CNIL) effectue sa propre enquête afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD. Enfin, concernant l’éventuel futur procès qui se tiendrait si les cybercriminels étaient retrouvés et arrêtés, les actions de groupe en France n’étant pas ouvertes ni en droit pénal ni pour ce type de faits, en cas de millions de victimes qui se constitueraient parties civiles, je suppose qu’il y aurait plusieurs avocats qui pourraient représenter chacun un certain nombre de victimes et porteraient leur demande d’indemnisation. Un préjudice moral pourrait en théorie être reconnu par le juge pénal ainsi qu’un préjudice matériel si certaines personnes ont, à la suite du vol de leurs données, été victimes d’escroquerie.
AJ : Quel bilan faites-vous concernant les outils et les procédures à disposition depuis l’adoption de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur, dite loi LOPMI ?
Valérie Lafarge-Sarkozy : Aujourd’hui, nous avons de nombreux outils à disposition. Nous avons constaté dans notre rapport : « Le droit pénal à l’épreuve des cyberattaques » que nous avons un arsenal législatif assez conséquent. Une victime de cyberattaque a la possibilité de déposer plainte et l’infraction est caractérisable assez facilement. Il y a des équipes spécialisées au sein du parquet et chez les juges d’instruction.
Laetitia Daage : De plus, le parquet de Paris et les enquêteurs sont très accessibles et réactifs. Nous avons d’excellentes relations avec le parquet, les services d’enquêtes, l’ANSSI et la CNIL qui sont disponibles pour les entreprises victimes de cyberattaques. L’ANSSI est aussi disposée à proposer des prestataires certifiés aux entreprises pour remédier à une cyberattaque ou pour la prévenir. La CNIL est aussi à l’écoute. Tous les acteurs cyber sont pour la plupart localisés au sein du Campus Cyber. Enfin, la coopération internationale et européenne fonctionne très bien. Elle est très importante dans le partage des données qui permet de démanteler des réseaux de cybercriminels.
Référence : AJU013t4
