Vous avez été victime ou vous souhaitez acquérir quelques réflexes en cas d’attaques ? Découvrez les 3 recommandations essentielles pour réagir face à une cyberattaque afin de préserver vos biens économiques, votre réputation et vos données personnelles sensibles.
I/ Réagir face à une intrusion : les actions techniques pour constituer des preuves
En cas d’atteinte portée à l’encontre d’un réseau privé ou système d’information, la première difficulté est de dater l’intrusion que l’on constate. L’historicité de l’attaque est primordiale pour déterminer : si elle est toujours en cours ; ou si elle a eu lieu il y a plusieurs jours.
Ces informations doivent être recueillies minutieusement, de même que les effets de l’attaque. Ensuite il convient rapidement de procéder aux constatations techniques de l’intrusion et aux recueils de preuves. Deux solutions s’ouvrent à la victime. Elles dépendent du niveau de gravité de l’attaque, de son ampleur, et de son antériorité.
La réaction à avoir dépend de la situation dans laquelle vous vous trouvez :
- Si le réseau privé qui est attaqué est le vôtre, vous pouvez faire intervenir directement les services de police judiciaire ou de gendarmerie qui effectueront les constatations judiciaires adéquates, avant que l’affaire ne soit instruite par un juge d’instruction dans le cadre d’une plainte pénale.
- Si le réseau privé ou système d’information est celui de votre entreprise, et que vous souhaitez une certaine confidentialité, il conviendra de s’adjoindre des services d’un expert judiciaire en informatique qui, sur la base d’une mission fixée sur une Ordonnance du Requête d’un Juge civil, saisira et analysera les logs de l’attaque. Ce mode d’action est privilégié dans le cadre d’action civile, commerciale ou prud’hommale car les éléments d’une enquête pénale sont couverts par le secret de l’instruction et ne sont pas immédiatement exploitables devant un juge civil. Au contraire, les conclusions d’un expert judiciaire sont immédiatement recevables devant toutes les juridictions.
Enfin il convient de prendre des mesures conservatoires de préservation de l’intégrité du système, de rétablissement et de continuation de l’activité suivant les plans préparés en amont à cet effet. En cas de corruption de fichiers contenant des données personnelles, il convient de notifier à la CNIL et aux personnes concernées, dans un délai de 72 heures, le fait que leurs données personnelles ont fait l’objet d’un piratage.
La collecte des preuves numériques est essentielle pour la tenue d’un procès et l’obtention d’une indemnisation.
II/ Réagir face à une intrusion : les actions judiciaires
A) L’action pénale
La responsabilité pénale : La Loi Godfrain du 8 janvier 1988 permet de sanctionner toutes les intrusions non autorisées dans un système informatique. Les sanctions prévues varient selon que l’intrusion a eu ou non une incidence sur le système en cause.
L’article L.323-1 du Code Pénal prévoit que « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 euros d’amende ». Ces systèmes comprennent, entre autres, les sites web.
Déposer plainte : La plainte doit être déposée auprès des services compétents, à savoir la police ou la gendarmerie ou auprès du Procureur de la République du TGI du ressort du domicile de la victime.
La plainte peut être déposée par toute personne, physique ou morale.
Attention, il faudra porter une attention particulière aux délais de prescription en matière d’infraction. En effet, ces derniers varient en fonction de la nature des infractions : contraventions, délits ou crimes.
B) L’action civile
La responsabilité civile contractuelle : Le droit commun de la responsabilité civile délictuelle est fondé sur la notion de la faute au sens de l’article 1241 du Code civil. Pour pouvoir être engagée, il faut la réunion de 3 éléments : une faute, un dommage et un lien de causalité entre les deux. La faute consiste ici en une intrusion dans un système informatique à l’insu de son utilisateur. Quant au dommage, il faut savoir s’il y a eu une perte et/ou une altération des informations contenues dans le site ou si le pirate a communiqué les données personnelles s’y trouvant à des tiers. Enfin, le lien de causalité entre la faute et le dommage doit être clairement établi.
Engager un procès pour être indemnisé : Après détermination de l’auteur de l’attaque, et des motifs de celui-ci, il est possible d’engager une action civile pour être indemnisé. L’action peut être une action en indemnisation civile, en concurrence déloyale pour parasitisme, ou détournement de données protégées par le secret des affaires. Les auteurs du piratage peuvent être des concurrents, des anciens salariés, ou actionnaires, ou des tiers qui cherchent à nuire.
III/ Les mesures préventives
Ces dernières sont essentielles afin de se prémunir contre les risques de cyberattaques mais elles représentent aussi un gage de qualité puisqu’elles démontrent une réelle volonté de protéger les données des utilisateurs.
Ainsi, ces mesures préventives vont se traduire par une politique de sécurité des systèmes d’information, une protection des actifs des entreprises, une bonne formation du personnel à ces nouveaux risques, une protection des données par un contrôle d’accès, le recours à la cryptologie, le contrôle régulier du niveau de sécurité du système d’information.
La mise en évidence des failles des systèmes est primordiale et l’information de la violation du système aux utilisateurs doit leur être impérativement notifiée.
Si vous suivez strictement ces 3 recommandations vous constaterez que la cyber-attaque ne sera plus une fatalité et que vous disposez de ressources de défense efficaces.
Si cet article vous a plu, je vous invite à télécharger la publication qui traite de la protection des données personnelles et à contacter le Cabinet Pantz pour prendre rendez-vous.