Ransomware : comment réagir ?

Bien réagir face à une attaque par rançongiciel (ransomware en anglais) n’est pas chose aisée. Il s’agit d’une crise grave, pouvant impacter la continuité de l’activité. Dans ce contexte, il n’y a pas de solution miracle, mais des décisions à prendre au cas par cas, au regard de la situation. Les explications de Me Jérémie Courtois, avocat directeur, cabinet Cornet Vincent Ségurel. 

Tout le monde en est conscient, la cybercriminalité est un secteur en pleine expansion, la menace croît et les attaques sont de plus en plus sophistiquées.

L’époque des emails d’hameçonnage immédiatement identifiés est révolue. Aujourd’hui, les messages servant de vecteur à l’infestation de programmes malveillants sont de mieux en mieux préparés et adaptés (sans fautes, avec les bonnes références de dossiers en cours, etc.). Et ce, notamment car ces attaques sont souvent construites en plusieurs temps : une première brèche permet la récupération de données, lesquelles sont ensuite utilisées pour structurer une attaque plus sérieuse.

Cette situation est régulièrement évoquée par les acteurs du secteur et notamment l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui vient de publier, le 10 juin dernier, son rapport d’activité 2020. Sans surprise, l’année écoulée a été marquée par les attaques par rançongiciels,  ces programmes malveillants qui rendent indisponibles des données ou du matériel (par chiffrement notamment) et réclament une rançon pour fournir la clé de déchiffrement.

Entreprise privée ou institution publique, tout le monde est désormais concerné

Au regard de l’enjeu, une anticipation est donc indispensable. La préparation doit évidemment être technique (mesures de cybersécurité, bonne gestion des sauvegardes, etc.) mais également organisationnelle (formation et sensibilisation des équipes) ainsi que structurelle (mise en place des processus de gestion de crise adaptés).

L’anticipation peut s’envisager également avec une assurance « cyber » proposant de garantir le remboursement de la rançon en cas d’attaque. Cependant, ces assurances sont très controversées et actuellement montrées du doigt. Tant sous le prisme de l’approche sociétale qu’au regard de la validité juridique (notamment licéité de l’objet), ces assurances sont accusées de favoriser la cybercriminalité en incitant les entreprises à payer les rançons. Elles ne doivent donc pas être envisagées sans étude préalable.

Le pilotage de la crise

Une attaque à l’aide d’un rançongiciel est indiscutablement fautive tant sur le plan civil que pénal. Peuvent notamment être caractérisés les délits d’atteinte aux systèmes de traitement automatisé de données (art. 323-1 et suivants du Code pénal), d’extorsion (art. 312-1), ou même de chantage (art. 312-10).

Evidemment, la réaction juridique ou judiciaire n’est pas vue comme une priorité surtout lorsque la continuité de l’activité est compromise. Cependant, en la matière, une réaction judiciaire bien conseillée peut avoir un impact direct sur la résolution de la crise. Notamment lorsqu’une plainte est préparée immédiatement et auprès des sections spécialisées en cybercriminalité. Ainsi, des enquêteurs N-TECH sont capables de réagir immédiatement et de mettre en œuvre les moyens techniques dont ils disposent, ce qui peut être un atout pour les démarches techniques en cours.

Faut-il notifier la brèche ?

Outre d’éventuels engagement contractuels spécifiques, l’obligation de notification résulte essentiellement de l’application du RGPD et s’applique donc en cas de violation de données à caractère personnel.

La caractérisation d’une violation (au sens du RGPD) ne soulève pas vraiment de débat en cas d’attaque par rançongiciel. Le sujet est donc de déterminer si cette violation concerne des données personnelles. Si tel est le cas, une notification auprès de la CNIL sera alors obligatoire. Une notification complémentaire, directement auprès des personnes concernées, peut être nécessaire si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Ces notifications doivent être réalisés en respectant des règles en termes de forme, de contenu mais aussi et surtout de délais (72h pour notifier à la CNIL).

La décision de notifier une cyberattaque peut être source d’hésitations pour une entreprise qui ne serait pas à jour de la réglementation applicable ou qui pourrait craindre une publicité négative. Faut-il notifier et prendre le risque d’attirer l’attention sur une non-conformité de l’entreprise ? Ou ne pas notifier et prendre un risque encore plus important si la brèche venait à être connue ? …

Face à une telle interrogation, il est généralement préférable de notifier la situation auprès de la CNIL, tout en gérant le sujet de la conformité en parallèle. Evidemment, il pour cela préférable d’être accompagné pour maitriser au mieux le risque.

Faut-il payer ou non ?

Le message largement véhiculé par les autorités est clair : il ne faut pas payer la rançon. Cela incite et entretien les attaques en les finançant. Si l’on comprend tous cet objectif d’intérêt général, le décideur est également confronté à ses intérêts propres. Et, face à un risque de nature à compromettre la continuité de l’exploitation ou la pérennité de l’activité, la question du paiement de la rançon se pose inévitablement.

Juridiquement, le fait pour une entreprise de payer la rançon ne sera pas constitutif d’un délit ou de complicité, celle-ci reste une victime. Mais, avant d’envisager le moindre paiement, certains sujets sont à bien avoir en tête.

Tout d’abord il n’y a aucune garantie. Si l’entreprise paye et ne reçoit pas la clé de déchiffrement ou que celle-ci n’est pas fonctionnelle, aucun recours n’est prévu.

De même, payer la rançon n’assure pas que les données chiffrées n’ont pas été détournées, copiées, transférées et ne seront pas réutilisées, vendues à des fins malveillantes. La violation demeure.

En outre, le paiement d’une rançon et l’obtention de la clé de déchiffrement n’assure pas l’éviction de tout programme malveillant du système. De ce fait, des opérations de nettoyage et la mise en place de mesures permettant d’augmenter le niveau de sécurité du système seront nécessaires dans tous les cas.

Enfin et surtout, il est possible que la clé de déchiffrement du rançongiciel utilisée soit connue ou déterminable par les autorités. Ce qui renforce la pertinence de signaler sans délai l’attaque auprès des services de police spécialisés et de mettre en œuvre les réactions précédemment évoquées.

Ainsi, si un paiement est envisagé, il convient de le faire en complément d’autres démarches incluant l’accompagnement des autorités. A ce titre, un exemple récent (Colonial Pipelines) nous montre qu’il est parfois possible de récupérer les fonds versés, au moins en partie.