Impact de la directive et du règlement e-evidence sur les avocats

e-evidence sur les avocats

Virginie Bensoussan-Brulé et Cyrielle Girard-Berthet nous expliquent l’« Impact de la directive et du règlement e-evidence sur les avocats », un article paru dans le numéro 121 de juin 2020 de l’Observateur de Bruxelles (1), consacré au Droit pénal européen.

Le passage à l’ère du numérique a incontestablement entraîné une évolution de la criminalité et des moyens de lutte contre celle-ci.

Les délinquants ont rapidement perçu tout le potentiel des outils numériques. Les nouvelles technologies leur offrent de nouveaux moyens pour commettre des infractions et leur permettent de développer de nouvelles formes de fraudes, notamment informatiques.

Face à ce constat, les services d’enquête, les juridictions pénales, les législateurs français et européens ont dû rapidement mettre en place des contre-mesures efficaces et adaptées. Aujourd’hui près de 85 % des enquêtes pénales font intervenir des données numériques.

Impact de la règlementation e-evidence sur les avocats

Le Conseil européen a souligné la nécessité d’accélérer et de rendre plus efficaces les moyens permettant d’obtenir des preuves numériques (2) et préconise un meilleur accès aux preuves électroniques pour lutter contre la criminalité.

De leur côté, les Etats-Unis ont déjà adopté le « Cloud Act » (3) qui permet aux autorités américaines de requérir des fournisseurs de services ou des hébergeurs les données numériques qu’ils détiennent, même si celles-ci sont stockées à l’étranger, afin de les utiliser dans le cadre d’une procédure pénale.

La règlementation « e-evidence » va établir un cadre juridique stable et uniforme pour la gestion des preuves électroniques au niveau européen, permettant d’aboutir à une harmonisation globale des règles en la matière.

Le règlement e-evidence (4) s’appliquera directement dans tous les États membres, la directive e-evidence (5) nécessitera une transposition en droit interne afin d’harmoniser les règles relatives à la collecte des preuves électroniques en matière pénale dans les différents Etats membres.

Les avocats devront vérifier que les garanties légales dont bénéficient leurs clients ont bien été respectées au cours de la procédure. Mais avec la nouvelle réglementation e-evidence qui posera les bases d’une législation globale en matière de preuves numériques dans les procédures pénales, la procédure pour obtenir des preuves numériques sera considérablement simplifiée et raccourcie.

Virginie Bensoussan-Brulé
Avocat, Lexing Alain Bensoussan Avocats
Lexing Contentieux du numérique
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
Ecole Nationale de la Magistrature

(1) L’Observateur de Bruxelles, revue éditée par la Délégation des Barreaux de France, est une revue trimestrielle adressée aux avocats français ainsi qu’à un certain nombre d’institutions françaises et européennes.
(2) Conclusions sur l’amélioration de la justice pénale dans le cyberespace du 9-6-2016.
(3) « Vers l’adoption prochaine d’un Cloud act européen ? », par Éric Le Quellenec, site Alain-Bensoussan.com, 23-08-2018.
(4) Le projet de règlement e-evidence : Proposition de Règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, COM(2018) 225 final – 2018/0108(COD) du 17-4-2018.
(5) Le projet de directive e-evidence : Proposition de Directive du Parlement européen et du Conseil, établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale, COM/2018/226 final – 2018/0107 (COD) du 17-4-2018.




Vol des données de 9 millions de clients d’Easyjet

EasyjetDans un communiqué publié le 19 mai dernier, le conseil d’administration de  la compagnie aérienne Easyjet explique avoir été été la cible d’une attaque « hautement sophistiquée » impliquant environ 9 millions de clients (1).

L’enquête interne de la compagnie aérienne britannique a révélé que les adresses e-mails et les détails de voyage d’environ 9 millions de clients ont été consultés ainsi que les données de cartes bancaires de 2 208 clients. Easyjet affirme en revanche que les hackers n’ont pas pu avoir accès aux données des passeports.

Les mesures de protection adoptées par Easyjet

La compagnie a indiqué avoir immédiatement bloqué les accès non autorisés à sa base de données et alerté le National Cyber Security Centre (NCSC), organisation britannique sur la cybersécurité, ainsi que l’autorité de contrôle anglaise, l’Information Commissioner’s Office (ICO), a qui elle a notifié la violation de données en vertu de l’article 33 du RGPD.

Selon la compagnie, rien n’indique que des informations personnelles aient été utilisées à des fins malveillantes. Cependant, sur la recommandation de l’ICO, elle a décidé d’informer les clients dont les détails de voyage ont été consultés. L’information sur les mesures de protection à adopter permet de minimiser tout risque potentiel d’utilisation des données personnelles à des fins d’escroqueries en ligne.

Le vol de données personnelles dans les fichiers d’entreprises ou d’administrations ne cesse d’augmenter. Ces intrusions dans les systèmes de traitement automatisé de données ont pour but de réutiliser les données obtenues pour des opérations d’escroquerie à la vente à distance ou pour du phishing (hameçonnage) visant les clients identifiés.

Elles peuvent aussi être simplement revendues sur le dark web. Elles serviront à d’autres cyberdélinquants à des fins d’escroqueries financières plus classiques (crédit à la consommation par exemple). La Cnil diffuse régulièrement sur son site Internet des alertes sur ce type d’escroqueries.

Anne Renard
Lexing Conformité & Certification

Isabelle Pottier
Lexing Département Etudes et publications

(1) Easyjet PLC, « Notice of cyber security incident », Released 19 May 2020, RNS Number 3627N.




Cyberattaques : s’assurer est-elle la meilleure solution ?

Cyberattaques : s'assurer est-elle la meilleure solution ?Alain Bensoussan est interrogé par Challenges sur l’opportunité de s’assurer contre les cyberattaques.

« Cyberattaques : pourquoi s’assurer n’est pas la meilleure solution », c’est un titre assez provocateur qu’a choisi le site d’information Challenges.fr pour traiter des risques de cybercriminalité. Alain Bensoussan répond aux questions d’Astrid Landon sur la problématique assurantielle face au caractère exponentiel des cyberattaques.

Les questions que se posent les entreprises sont tout-à-fait légitimes. Va-t-on se diriger vers des assurances qui ne couvriraient que la moitié du risque ? Les risques devenant plus coûteux, cela entraînera-t-il une hausse des prix telle que les entreprises ne pourront plus s’assurer contre les cyberattaques ? L’assurance est-elle vraiment nécessaire lorsqu’une cyberprotection solide est installée en amont ? Plus simplement, la cyberassurance est-elle la meilleure solution à la cyberattaque ?

Les coûts assurantiels sont tels que bon nombre d’entreprises en arrivent à la conclusion que s’assurer n’est pas forcément la meilleure solution.

Sur ces questions, l’Europe accuse un sérieux retard par rapport aux Etats-Unis où la cyber-assurance a vu le jour dès 1998.

Un retard qu’il va bien falloir combler avec l’entrée en application le 25 mai 2018 du règlement européen sur la protection des données personnelles (RGPD). Cette réforme du cadre européen de la protection des données va obliger les professionnels à augmenter leur niveau de cybersécurité.

Alain Bensoussan rappelle qu’en France, la cyberdélinquance est de plus en plus présente.

Les technologies d’attaques sont disponibles en ligne ou sur le dark web. L’article 32 du RGPD oblige à mettre en place des systèmes de sécurité pour protéger les données personnelles. Quant à l’article 33, il contraint dorénavant à notifier à la Cnil les failles de sécurité , précise Alain Bensoussan.

S’ils ne suivent pas les nouvelles directives, les grands groupes pourront être condamnés à une amende représentant jusqu’à 4 % de leur chiffre d’affaires ou 20 millions d’euros.
(…)

Isabelle Pottier
Directrice Études et Publications

Interview de Alain Bensoussan par Astrid Landon, « Cyberattaques: pourquoi s’assurer n’est pas la meilleure solution », parue dans Challenges.fr le 23 juillet 2017.




La protection des marchés financiers des cyberattaques

La protection des marchés financiers des cyberattaquesL’électronisation des marchés financiers conduit à l’émergence de nouveaux risques, et favorise les cyberattaques.

La généralisation de l’utilisation d’algorithmes génère des risques importants avec des conséquences potentiellement négatives sur les marchés financiers.

Vulnérabilité des marchés financiers

Ces attaques peuvent aussi bien concerner les infrastructures de marché, (les plateformes de négociation, les chambres de compensation ou les dépositaires centraux) que les acteurs financiers (intermédiaires financiers, sociétés de gestion…).

Ces acteurs sont des victimes potentielles de ces nouvelles formes de vulnérabilités qui peuvent prendre la forme :

  • d’actes contrevenant aux lois nationales effectués dans le cyberespace ou au moyen d’un système informatique (cybercriminalité) ;
  • de piratages informatiques qui permettent d’accéder à des informations tenues secrètes, l’objectif étant d’en tirer un avantage personnel, économique ou patrimonial (le cyberespionnage) ;
  • de risques de guerre informatique exposant les entreprises qui sont sur le territoire d’Etat étranger dans laquelle un conflit classique dont au moins une des composantes s’appuie sur le champ informatique ou numérique.

Les exemples les plus spectaculaires de cyberattaques récentes montrent que le préjudice peut être très important tant en termes de pertes financières directes qu’indirectes.

Ainsi, l’attaque du groupe « Carbanak » en 2013 a, par exemple, généré une perte financière directe évaluée à 1 milliard de dollars pour les banques visées. Il s’agissait d’une fraude très sophistiquée qui permettait, en reliant à un distributeur automatique de billets un ordinateur sur lequel était installé un logiciel malveillant de type Carberp par l’entremise d’un VPN (réseau privé virtuel), d’obtenir de l’argent sans avoir besoin d’une carte bancaire.

Toutefois les montants les plus importants ont été dérobés en manipulant les balances des comptes bancaires qui étaient infectés. Les réseaux SWIFT de transfert d’argent ont été mis à contribution et les bases de données Oracle ont été manipulées pour transmettre des fonds entre différents comptes en utilisant le réseau bancaire interne des banques corrompues.

Cette fraude résultait d’une exploitation de failles de Microsoft Office 2003, 2007 et 2010 ainsi que de Microsoft Word. Les pirates envoyaient des messages infectés provenant supposément de collègues dans d’autres banques. Lorsque l’employé cliquait sur ce message, cela téléchargeait un code malicieux (Carbanak) qui permettait ensuite aux pirates de se promener sur le réseau bancaire jusqu’à trouver les employés en charge des systèmes de transfert de cash ou reliés à distance aux distributeurs d’argent.

L’exploitation de failles de sécurité, permettant le vol de données bancaires, peut, en sus des pertes financières, porter considérablement atteinte à l’image de la société victime du vol. Ainsi, la chaine de magasins Target aux Etats-Unis a subi un vol de données de plus de 110 millions de clients qui a sérieusement nuit à son image.

En plus des numéros de cartes et des codes PIN (« cryptés », selon la chaîne de magasins), des informations concernant environ 70 millions d’autres clients (nom, e-mail…) ont été dérobées. Le type de carte de paiement et de crédit le plus répandu aux Etats-Unis n’est pourvu que d’une simple bande magnétique, ce qui facilite les attaques par la technique du « skimming » (captation des données sur la piste). Les cartes à puces utilisées majoritairement en France – et en Europe –, stockent les informations de façon beaucoup plus sécurisée.

Les impacts Informatique et libertés

Afin de prévenir la survenance de toute faille de sécurité, la loi Informatiques et libertés contraint le responsable du traitement à mettre en œuvre des mesures de sécurité.

L’article 34 de la loi (1) définit la notion de faille de sécurité ou de violation de données à caractère personnel comme :

« Toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel ».

Entrent dans le champ d’application de la notion de faille de sécurité :

  • les failles accidentelles qui proviennent d’une faute, d’une erreur ou d’une négligence ;
  • les failles résultant de défaut des progiciels inconnus du responsable de traitement ou de son sous-traitant ;
  • les failles ouvertes au moyen de procédés illicites.

Pour prévenir ce genre d’attaques, il est nécessaire que les acteurs des marchés financiers mettent en œuvre, dès à présent, de façon active, des règles garantissant l’approche privacy by design ainsi que l’approche security by design prônées par le règlement européen sur la protection des données personnelles du 27 avril 2016 (2).

Directive Network Security and Information

L’obligation de sécurité pour les acteurs des marchés financiers est renforcée par la nouvelle directive européenne Network Security and Information (3). Cette dernière définit les mesures que devront adopter les opérateurs de services essentiels sur les pratiques de gestion des risques et de notification des incidents de sécurité afin de promouvoir une culture de gestion des risques et de faire en sorte que les incidents les plus graves soient signalés.

Notion d’opérateur de services essentiels

L’annexe C de la directive considère que les infrastructures de marchés financiers constituent des opérateurs de services essentiels.

Les Etats membres devront pour le 9 novembre 2018 au plus tard, identifier les opérateurs de services essentiels, pour chaque secteur et sous-secteur. Il appartiendra à chaque Etat membre d’appliquer les critères d’identification détaillés à l’article 5 de la directive :

« a) une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques;

b) la fourniture de ce service est tributaire des réseaux et des systèmes d’information; et

c) un incident aurait un effet disruptif important sur la fourniture dudit service ».

Les marchés financiers sont tenus de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités.

De surcroit, ils devront, lors de la survenance d’un incident qui a un impact significatif sur la continuité de leurs services, notifier cet incident. Cette notification n’accroît pas la responsabilité de la partie qui en est à l’origine.

Cette mesure pourra être difficile à contrôler tant elle relève de l’appréciation des entreprises. Cependant, les Etats devront mettre en œuvre les moyens nécessaires pour vérifier que les opérateurs de services essentiels mettent en œuvre ces contrôles.

Enfin, les opérateurs de services essentiels, dont les marchés financiers, devront prendre les mesures appropriées en vue de prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d’information utilisés pour la fourniture de ces services essentiels ou d’en limiter l’impact, en vue d’assurer la continuité de ces services.

Frédéric Forster
Charlotte Le Fiblec
Lexing Droit Télécoms

(1) loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés modifiée.
(2) Règlement européen 2016-679 du 27-4-2016 relatif à la protection des données personnelles.
(3) Directive (UE) 2016/1148 du 6-7-2016.




Amende record pour une fuite de données massive au Royaume-Uni

Amende record pour une fuite de données massive au Royaume-Uni

Suite à une cyberattaque provoquant une importante fuite de données, le groupe Talk Talk a écopé d’une amende record.

L’ICO (Information Commissioner’s Office), l’organe de protection des données personnelles britannique, reproche au groupe Talk Talk d’avoir ignoré un risque sérieux, connu et techniquement évitable de cyberattaque, causant le piratage de 156 959 comptes dont 15 656 numéros de comptes bancaires.

Une base de données vulnérable

Lors de l’acquisition des activités britanniques de la société Tiscali, le groupe Talk Talk a également fait l’acquisition de pages internet vulnérables donnant accès à une base de données plus que fournie en données personnelles puisqu’elle contenait les noms, adresses, dates de naissance, numéros de téléphone, adresses méls et informations bancaires et financières de nombreux clients.

Le groupe Talk Talk a été victime d’une série de cyberattaques commises entre le 15 et le 21 octobre 2015, utilisant manifestement des failles de sécurité de son système d’informations qui se sont traduites par la fuite de ses données, découverte à cause du ralentissement de son système informatique.

Une cyberattaque connue et techniquement évitable

La cyberattaque a été réalisée à l’aide d’une « injection SQL » qui consiste à modifier une requête SQL (Structured Query Langue ou en français langage de requête structurée) afin de se connecter à n’importe quel compte d’une base de données sans pour autant connaître le mot de passe et, par ce biais, d’en exfiltrer les données.

Or, comme le précise l’ICO, non seulement ce type de cyberattaque est très répandu mais, également, il existe des protections efficaces et connues permettant d’éviter ou de réduire le risque de contamination.

Dès lors, ayant échoué à « prendre des mesures techniques et organisationnelles appropriées » pour assurer une protection effective contre les traitements non autorisés ou illicites de données personnelles, le groupe Talk Talk a violé le 7e principe de protection des données personnelles prévu dans le Data Protection Act de 1998 et, par conséquent, a été condamné à régler une amende record de 400 000 euros.

Les raisons d’une amende élevée

L’importance de cette sanction s’explique notamment par le caractère sérieux de l’attaque, notamment du fait de l’ampleur de l’extraction de la base de données, de la nature des données, et de ses potentielles conséquences pour les clients.

De plus, cette décision est un avertissement vis-à-vis des entreprises qui ne prennent pas suffisamment au sérieux les risques de cyberattaques pouvant mener à la fuite de données personnelles de clients alors que, non seulement le risque est réel mais également, il existe des techniques efficaces pour y remédier ou prévenir ce risque.

Des risques réels pour les entreprises effectuant des traitements de données en France

En France, l’article 34 de la loi Informatique et Libertés impose que les entreprises prennent toutes précautions utiles visant à préserver la sécurité des données personnelles sous peine d’être pénalement sanctionnées.

En outre, dans le cas d’une violation de la sécurité de données faisant l’objet d’un traitement, les fournisseurs de services de communications électroniques ont, en vertu de l’article 34 bis de la loi Informatique et Libertés, l’obligation de prévenir sans délai la Cnil ainsi que les clients, en cas de risque d’atteinte à la vie privée.

Le principe de protection des données par défaut (« security by default ») instauré par le règlement (UE) 2016/679 sur la protection des données personnelles, vient renforcer cette obligation de veiller à la sécurité et à la confidentialité des données personnelles, tout en étendant cette obligation à tous les acteurs économiques, quel que soit leur secteur d’activité. Il implique, en conséquence, que les responsables de traitement mettent en place, dès la conception et l’élaboration du produit ou du service, des mesures techniques et organisationnelles appropriées relatives à la protection des données personnelles.

Alain Bensoussan Avocats
Lexing Droit Télécoms




Cybersécurité : accord sur la proposition de directive SRI

Cybersécurité : accord sur la proposition de directive SRILe projet de directive SRI (1) définit des « opérateurs de services essentiels » devant renforcer leur cybersécurité.

Devant l’augmentation des incidents de cybersécurité, qu’ils soient causés par des « erreurs humaines, des catastrophes naturelles, des défaillances techniques ou des actes de malveillance » et les enjeux économiques et stratégiques de tels incidents, le Parlement européen, le Conseil et la Commission ont trouvé un accord sur la directive « sécurité des réseaux et de l’information » (SRI), premier acte législatif de niveau européen en matière de cybersécurité.

La nouvelle directive SRI vise à « assurer un niveau commun élevé de sécurité des réseaux et de l’information (SRI) dans l’Union ». Afin d’atteindre cet objectif :

  • « elle fixe des obligations à tous les États membres en ce qui concerne la prévention et la gestion de risques et incidents touchant les réseaux et systèmes informatiques ainsi que les interventions en cas d’événement de ce type » ;
  • « elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l’Union et, le cas échéant, un traitement et une intervention coordonnés et efficaces en cas de risques et d’incidents touchant les réseaux et systèmes informatiques » ;
  • « elle établit des exigences en matière de sécurité pour les acteurs du marché et les administrations publiques ».

Chaque Etat membre devra adopter une stratégie nationale en matière de SRI qui permettra de parvenir à un niveau élevé de SRI et à le maintenir.

La directive SRI impose ainsi aux administrations publiques et aux « acteurs du marché » des mesures de prévention des risques en termes de cybersécurité et des mesures de notification à l’autorité compétente (en France, l’Agence nationale de la sécurité des systèmes d’information (2) qui est depuis 2009, l’autorité nationale en matière de sécurité et de défense des systèmes d’information) des incidents « qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent ».

Les « acteurs du marché », qu’il appartiendra à chaque Etat membre de lister, sont définis par la directive SRI. Il s’agit notamment :

  • pour les acteurs d’internet : des plateformes de commerce électronique, des passerelles de paiement par internet, des réseaux sociaux, des moteurs de recherche, des fournisseurs de cloud. Les fournisseurs d’accès à internet, les fournisseurs de messagerie électronique et les prestataires de stockage en sont expressément exclus, car ils sont concernés par d’autres dispositions spécifiques ;
  • pour les autres acteurs « opérateurs fournissant des services essentiels », il s’agit principalement des acteurs de l’énergie, des transports notamment aériens), des services bancaires, des infrastructures de marchés financiers et des entreprises du secteur de la santé.

L’autorité compétente pourra procéder à des audits de sécurité.

Enfin, une coopération renforcée entre Etats membres est mise en place pour signaler les incidents, sous l’égide de l’Agence européenne chargée de la sécurité des réseaux et de l’information (3).

Tous ces acteurs seront soumis aux nouvelles obligations de sécurité telles qu’elles découleront de la transposition de cette directive en droit interne qui doit encore être approuvée formellement par le Parlement et le Conseil.

Après la publication au Journal officiel de la directive SRI, les Etats membres disposeront d’un délai de 21 mois pour transposer la directive dans leur droit national et d’un délai de 6 mois complémentaire pour identifier les « opérateurs de services indispensables ».

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Contentieux numérique

(1) PDE 2013/0027 (COD) 29-4-2016.
(2) ANSSI.
(3) AESRI (ENISA, en anglais).




Cyberpiratage : les obligations juridiques de l’entreprise

Cyberpiratage : les obligations juridiques de l’entrepriseCyberpiratage et obligations de l’entreprise piratée, thème présenté par Alain Bensoussan sur MyD-Business TV.

La guerre, au sens militaire du terme, atteint maintenant les grands médias. En prenant le contrôle d’une télévision et en communiquant à travers elle, nous avons la démonstration que la guerre en matière de cyberdéfense est nécessaire.

Toutefois, l’entreprise ne peut s’en sortir seule. Si demain cette cyberattaque est suivie par un détournement de fichier, par exemple les comptes clients, l’entreprise visée passerai de victime à accusée.

En effet, selon les lois « Informatique, fichiers et libertés » de par le monde, l’entreprise est considérée comme responsable de la sécurité de ses systèmes d’information et de ses fichiers : elle doit « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». L’entreprise doit tout mettre en oeuvre pour éviter la fraude informatique et le détournement de données à caractère personnel. Si le cyberpiratage a pu avoir lieu à cause d’une faille de sécurité, celle-ci doit être notifiée, pour l’heure, à l’autorité de régulation s’il s’agit d’un opérateur mais bientôt quelque soit l’entreprise en cause, et prévenir les personnes concernées surtout si la divulgation de mots de passe est en jeu.

Dans ce cas, le risque juridique à ne pas le faire est une condamnation civile mais aussi peut-être une condamnation pénale.

Cyberpiratage : les obligations juridiques de l’entreprise (MyD-Business TV d’Accenture)




Cyberattaques : l’assurance Cyber Risques

Cyberattaques : l’assurance Cyber RisquesFace aux cyberattaques de plus en plus nombreuses et massives, la sécurité des réseaux et de l’information est devenue l’une des préoccupations majeures des entreprises en France et dans tous les pays du monde.

Les enjeux sont importants : piratage des systèmes de traitement automatisé de données (STAD), usurpation d’identité, perte d’informations confidentielles et stratégiques, pertes de marchés, vol de données personnelles, e-réputation etc. et lourds de conséquences sur le plan financier.

En 2014, selon une étude menée par le groupe PwC, le nombre de cyber-attaques recensées a augmenté de « 48 % dans le monde pour atteindre un nombre total de 42,8 millions, soit l’équivalent de 117 339 attaques par jour. Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an ».

Paradoxalement, malgré l’augmentation des cyberattaques et du coût annuel moyen attribué aux incidents de cybersécurité, qui a atteint 2,7 millions de dollars en 2014, les budgets de cybersécurité sont en baisse avec un budget moyen de 4,1 millions de dollars, soit 4% de moins par rapport à 2013.

Les acteurs du secteur des assurances le constatent : les assurances de dommage spécialisées dans la couverture de risques informatiques, bien que très variées et très attractives, ne rencontrent encore que peu de succès et leur souscription reste marginale en partie du fait d’une prise de conscience encore insuffisante des risques, et des difficultés pour les entreprises de définir leur besoin face aux risques cyber.

A ce jour, les assureurs proposent majoritairement des polices « tous risques informatiques » énumérant les risques garantis ou prévoyant une formule « tous risques sauf » couvrant tous les événements non expressément exclus. Adaptées aux évolutions des risques informatiques, ces assurances garantissent aujourd’hui les atteintes aux informations en proposant la couverture de l’information elle-même et celle des pertes résultant de la cyberattaque.

A titre d’exemple, le Syntec informatique (chambre syndicale des sociétés d’études et de conseils) propose une assurance « tous risques sauf » qui assure « les biens informatiques, électroniques, électriques » et « les frais de reconstitution des informations » sauf « les pertes pécuniaires résultant : de disparition inexpliquée de données, de toute utilisation de logiciels acquis illégalement, sauf si son utilisation l’est à l’insu de l’assuré (…) ».

Outre les assurances « tout risque sauf », les assureurs offrent également de nombreuses possibilités d’extensions de garantie spécifiques aux risques cyber. Il en est ainsi, lorsque le contrat d’assurance ne garantit pas les cybers risques et en contrepartie du versement d’une prime complémentaire, des dommages concernant les frais de reconstitution des informations dans l’état antérieur au sinistre, les frais supplémentaires d’exploitation et les pertes d’exploitation.

Face à l’augmentation des cyberattaques qui touchent toutes les entreprises, de toute taille et de tout secteur, il est plus que vivement recommandé de se prémunir contre le risque cyber, aussi bien en se dotant d’outils informatiques performants qu’en adaptant sa police d’assurance pour couvrir ces nouveaux risques informatiques.

Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique




Cyberattaque : les parades légales des entreprises

Cyberattaque : les parades légales des entreprisesCyberattaque – Didier Gazagne expose, pour IT-expert magazine, le cadre juridique applicable au cyberespace en montrant la portée, mais aussi les limites et les incohérences du droit du cyberespace. Il précise les postures, ainsi que les tactiques et stratégies de cybersécurité et cyberdéfense pouvant être mises en œuvre par l’entreprise face à une cyberattaque.

Si aucun pays n’est aujourd’hui à l’abri du phénomène, il en est de même de l’entreprise qui, quel que soit son domaine d’activité, est une cible très convoitée dans le cyberespace. Face à la facilité de déclenchement et de réalisation d’une cyberattaque, l’entreprise qui n’est pas une victime consentante, choisit souvent de se taire pour préserver son image et sa réputation.

Selon le Forum Economique Mondial, la cybercriminalité pourrait engendrer une perte pour l’économie mondiale de 2 200 milliards d’euros d’ici 2020 (soit l’équivalent du PIB de la France en 2012). Trouver l’origine d’une attaque, utilisant des milliers ou des millions de machines réparties dans des dizaines de pays dans le monde, conduit souvent l’entité qui a été attaquée à renoncer à engager une action en justice. Pourtant, dans le même temps, en l’absence d’action en justice de l’entreprise, c’est la confiance des utilisateurs d’Internet qui est fortement atteinte et fragilisée surtout dans l’hypothèse d’une augmentation et d’une aggravation des cyberattaques.

Pour l’ANSSI, la majeure partie des attaques informatiques sur lesquelles elle est intervenue auraient pu être évitées si des règles d’hygiène en matière informatique avaient été appliquées par les entreprises. Il est donc en premier lieu de la responsabilité des équipes dirigeantes dans l’entreprise d’être sensibilisées aux risques que représentent les cybermenaces et aux conséquences extrêmement lourdes que pourraient avoir l’absence d’adoption d’une politique de sécurité pertinente et adaptée au système d’information de l’entreprise.

Le plus grand défi pour l’entreprise reste encore l’insuffisance de sensibilisation de l’ensemble des personnels face à l’ingéniosité des cyber-délinquants et au caractère protéiforme d’une cyberattaque. Notre principale recommandation à l’attention des DSI et des RSSI est de s’assurer qu’ils disposent bien d’une politique de sécurité connue de tous et dont l’application doit être régulièrement contrôlée et auditée.

Il est également recommandé aux DSI et aux RSSI de s’assurer qu’ils ont bien mis en œuvre les « 40 règles d’hygiène informatique » disponible sur le site de l’ANSSI. Il y est  également mis à la disposition des DSI et RSSI un ensemble d’autres guides et recommandations qui sont très accessibles y compris aux TPE permettant de sécuriser les postes de travail et les serveurs, mais également la messagerie ou encore les liaisons sans fil dans l’entreprise.

Didier Gazagne, IT-expert magazine, «L’entreprise victime d’une cyberattaque : quelles réponses juridiques ?» 12 juin 2014




Sécurité des SI Cyber-attaque de sites gouvernementaux US

 

Le jour de la fête nationale américaine, le 4 juillet dernier, un botnet est parvenu à encombrer la bande passante (ex : attaque DdoS) et à neutraliser certains sites gouvernemantaux américains pendant plus de trois jours. Un botnet est un réseau (« net ») de robot (« bot »). Il s’agit d’un ensemble d’ordinateurs sur lesquels ont été installés des « logiciels virus ». Une fois ces logiciels installés, l’ordinateur a pu être placé en mode « zombie » et rejoindre un ensemble d’ordinateurs également infectés par ces logiciels, au moyen de techniques virales de propagation. Le 4 juillet dernier un botnet de plus 50 000 ordinateurs zombies a pu affecter le fonctionnement de sites internet de plusieurs grandes administrations. Ont ainsi notamment été touché le site du ministère du commerce (FTC), le site du département des transports (DOT), le site des départements américains de la sécurité intérieur, de la défense, des sites bancaires en Corée, le site du New York Stock Exchange, le Nasdaq et le Washington Post. Ces attaques semblent menacer la cybersécurité des réseaux américains, en rendant indisponibles certains sites pendant plus de trois jours.

Online attack hits US government Web sites, Computerworld, July 7, 2009

(Mise en ligne Juillet 2009)

Autres brèves

 

(Mise en ligne Janvier 2006)