Alors que la France portait au pouvoir son nouveau Président, le monde vient de connaître en ce mois de mai 2017 une cyberattaque majeure dans son étendue et son ampleur. 150 pays touchés, 200 000 ordinateurs infectés par un logiciel de rançon dénommé « WannaCry » exploitant une faille de sécurité dans les systèmes Windows.
Les victimes se retrouvent dans tous les secteurs : Hôpitaux britanniques, universités grecques, distributeurs de billets et organismes gouvernementaux en Chine, banques russes, télécoms espagnols, industries japonaises… mais également Renault en France qui a dû fermer ses chaines de production temporairement dans plusieurs usines.
Comment cela fonctionne-t-il ?
Avec une vitesse de propagation inédite, WannaCry a combiné les fonctions de ransomware et de ver informatique lui permettant de se propager dans tous les ordinateurs d’un réseau interne. WannaCry verrouille les fichiers des utilisateurs pour les forcer à payer 300 dollars (275 euros) en bitcoins. Cette faille était pourtant identifiée par Windows qui avait proposé un patch depuis mars. Plus d’un million d’ordinateurs n’ayant pas installé ce patch seraient encore vulnérables.
Quels responsables ?
Pour l’heure, Windows dénonce la NSA qui aurait identifié en premier cette faille avant de se faire dérober le rapport concernant celle-ci. Impossible à ce jour d’identifier le ou les auteurs de l’attaque qui recherchent sans doute plus un cyberchaos mondial que des fonds (seulement 160 transactions effectuées soit environ 40 000 euros d’encaissé pour les auteurs).
Quels enseignements en tirer ?
Avec la forte médiatisation de cette attaque d’ampleur et le fort risque de renouvellement de celle-ci, nombre de messages de sensibilisation apparaissent : mettez à jour vos logiciels, ne téléchargez pas des pièces jointes attachées à des courriels d’origine inconnue ou douteuses, ne cliquez pas sur des liens intégrés à ce type de courriels etc.
Bien que ces mesures de bon usage soient tout à fait essentielles au niveau de chaque utilisateur, cette cyberattaque implique une série de mesures au niveau mondial (Cf. par exemple la demande de Microsoft visant à l’organisation d’une convention de Genève Numérique) comme au niveau de l’entreprise et des administrations.
Les entreprises comme le secteur public à l’épreuve de la « DataCompliance »
Si le Règlement Général Européen pour la Protection des Données (RGPD ou GDPR) est aujourd’hui au centre de nombre d’interventions, de réflexions et de travaux compte tenu notamment du risque juridique que fait peser cette nouvelle réglementation – des sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires annuel mondial ont été prévues pour les mauvais élèves -, force est aujourd’hui de constater que les acteurs tant publics que privés demeurent en recherche de solutions globales et opérationnelles leur permettant d’assurer la gouvernance de leurs données.
La sécurité des systèmes d’information, qui implique tant des mesures techniques que juridiques est au cœur de cette problématique. La loi informatique et libertés du 6 janvier 1978 modifiée en son article 34 comme le RGPD au niveau européen prévoient en effet sur ce point une obligation générale de sécurité et de confidentialité pesant tant sur les responsables de traitements que sur leurs sous-traitants.
Cloisonnement du Responsable de la Sécurité des Systèmes d’information (RSSI), manque d’autorité et de marge de manœuvre du Correspondant Informatique et Libertés (CIL), court-circuitage de la Direction juridique lors des lancements de nouveaux projets, manque d’information et de connaissance sur les enjeux de la Data Gouvernance, absence de visibilité sur les traitements mis en œuvre, absence de contrôle… autant d’hypothèses récurrentes qui exposent rapidement les entreprises comme les établissements publics ou autres collectivités territoriales aux cyber menaces.
La « DataCompliance » devient ici un enjeu majeur et suppose, pour respecter la réglementation et prévenir des risques, de procéder aux principales opérations suivantes :
- Cartographier les traitements
- Désigner un CIL/DPO (Délégué à la protection des données)[1]
- Formaliser / consolider le « référentiel sécurité »[2] intégrant notamment Charte « Utilisateurs des SI », Charte Administrateurs, Politique d’habilitation, Politique de gestion des incidents, Plan d’assurance sécurité[3] ou encore politique de conservation et d’archivage des données
- Lancer des études d’impact[4] sur les traitements à risques incluant des tests d’intrusion
- Engager des sessions de formation et/ou de sensibilisation aux enjeux juridiques de la réglementation « informatique et libertés »
Le Cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement ses clients du secteur public comme du secteur privé dans la mise en conformité de leurs traitements en vue de la sécurisation de ceux-ci.
Le cabinet HAAS propose à ce titre l’externalisation de la fonction CIL/DPO, la réalisation d’études d’impact (PIA), la formalisation de référentiels sécurité ou encore la dispense de formations relatives à la prévention des risques liés aux cyber menaces dans le cadre d’une offre globale de DataCompliance.
Pour en savoir plus sur ces prestations : Cliquez ICI
[1] CF. https://www.haas-avocats.com/data/pourquoi-designer-dpo/
[2] CF. https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/
[3] CF. https://www.haas-avocats.com/data/pourquoi-rediger-plan-dassurance-securite/
[4] CF. https://www.haas-avocats.com/data/raisons-mener-une-etude-dimpact/