COVID-19 : Pandémie et cybercriminalité, quand la crise s’ajoute à la crise

L’exemple inquiétant de l’attaque subie par l’AP-HP le dimanche 22 mars dernier en est un exemple parlant. L’institution a subi une « attaque par déni de service », ayant pour but de rendre les services visés indisponibles. En l’occurrence, cela s’est manifesté par des blocages au niveau de la messagerie et de l'accès externe à certaines des applications du système d’information. Heureusement sans gravité, cette attaque est loin d’être rassurante lorsque l’on sait dans quelle mesure des hôpitaux ont déjà pu connaître des attaques d’ampleur bien plus importantes, aux conséquences pratiques réelles. En novembre dernier, le CHU de Rouen avait notamment fait l’objet d’une attaque ayant paralysé les ordinateurs de l’hôpital et perturbé fortement tous les services, notamment de gestion des blocs, de la pharmacie ou en encore des admissions. Dans un contexte de crise sanitaire tel que nous le connaissons en ce moment, il est aisé d’imaginer les conséquences dramatiques que de tels évènements pourraient engendrer.

L’Agence du Numérique en Santé (ANS), dont la mission est notamment de réguler le fonctionnement de la « e-santé », alerte en ce moment sur la survenance de cyberattaques liées au virus. Ces attaques prendraient notamment la forme de messages d’informations sanitaires sur le COVID-19. Le très grand intérêt de chacun sur cette question et l’atmosphère anxiogène ambiant impliquent nécessairement une baisse de vigilance globale des internautes. Ces méthodes d’hameçonnage (phishing) fleurissent donc de manière plus efficace. La CNIL a notamment alerté sur les nombreux sites non officiels qui proposent des attestations de déplacement dérogatoires en ligne à seule fin de collecter en masses des données personnelles d’utilisateurs.

Pour les entreprises, le recours massif au travail à distance constitue un facteur de risque déterminant qui doit nécessairement être anticipé. Le risque d’attaques sur les systèmes d’information des entreprises mais également sur les réseaux, très fortement sollicités pour organiser le télétravail, est patent. Accès à des informations confidentielles, financières, arnaque au Président, blocage des systèmes, des chaînes de production, les conséquences potentielles opérationnelles sont nombreuses.

En outre, la sollicitation massive des réseaux générés par les mesures de confinement fragilise indéniablement leur sécurité et amplifie leur vulnérabilité aux cyberattaques.

Dans ce contexte, les autorités compétentes n’ont pas tardé à rappeler les recommandations pratiques permettant de limiter les risques cybersécuritaires.

L’Agence Nationale de la Sécurité des Systèmes de l’Information (ANSSI) a notamment rappelé l’importance de se prémunir des attaques cyber. Elle renvoie d’ailleurs à son guide de sécurité relatif au télétravail (« nomadisme numérique ») publié en 2018 et portant « sur la manière de sécuriser ces accès distants au système d’information (SI) de l’entité, afin de gérer les besoins de confidentialité et d’intégrité des données, ainsi que l’authentification des utilisateurs.»

La CNIL rappelle également les bonnes pratiques à adopter en matière de sécurité de l’information afin notamment de protéger le patrimoine informationnel et les données personnelles potentiellement visées. Sécurisation renforcée des mots de passe, chiffrement et/ou cryptographie des applications, sécurisation des sites internet, ces recommandations pratiques inchangées prennent une dimension d’autant plus importante.

Les conséquences juridiques de telles atteintes ne devront pas non plus être négligées par les entreprises et organismes concernés. Notamment les obligations de notification aux autorités, telle que la notification d’une violation de données personnelles auprès de la CNIL ou encore auprès de l’ANSSI lorsque les conditions légales et réglementaires applicables sont remplies. L’information et la communication auprès des personnes physiques impactées par l’attaque devra également être effectuée dans certains cas, entraînant des conséquences opérationnelles et les risques réputationnels nécessairement induits.

Les entreprises devront également documenter autant que possible ces incidents et notamment s’agissant des informations factuelles et des mesures organisationnelles mises en œuvre en réaction à ces attaques. Ces données apparaîtront également cruciales dans le cadre des actions judiciaires qui pourront être mises en œuvre suite à de tels incidents.

La poursuite des auteurs de cyberattaques est bien souvent négligée, notamment en raison des difficultés d’identification, constitutives de la cybercriminalité en tant que telle. Pourtant, l’enregistrement d’une plainte en réaction à ces atteintes apparaît comme pertinent, notamment pour encadrer au mieux la limitation de la responsabilité de l’entreprise face aux actions dont elle pourrait faire l’objet, mais également pour permettre les éventuelles justifications nécessaires auprès des organismes d’assurance.

Pour toute question, vous pouvez nous écrire à l’adresse dédiée : [email protected]