France entière
07 49 31 11 21
contact@okaydoc.fr

La cybercriminalité, l’autre virus du XXIème siècle

La cybercriminalité, l’autre virus du XXIème siècle

La crise générée par l’épidémie de Covid-19 est inédite sur de nombreux points. Qu’il s’agisse des aspects sociétaux ou économiques, le mois de mars et d’avril 2020 ont été réellement marqué par la mise en place d’un nouveau fonctionnement planétaire, entre confinement, télétravail, désinfection et lutte contre un virus mondialement nuisible.

Le tableau clinique de la situation pourrait s’arrêter là mais ce serait sans compter sur un autre type de virus[1], tout aussi immatériel mais exclusivement informatique, qui porte les doux noms de malware, ransomware ou cheval de Troie, pour ne citer qu’eux.

Ce deuxième type de virus précède le Covid-19. Pourtant, force est constater que sa puissance s’est démultipliée depuis la crise sanitaire mondiale. Contrôlé par des criminels en col blanc, le virus informatique profite de l’omniprésence des outils numériques et du développement sans précédent du télétravail pour se répandre. Les symptômes caractéristiques de sa présence au sein d’un système d’information sont le chiffrement des données, la demande de rançon, l’exfiltration de données voire la vente de celles-ci sur des blackmarkets.

Si les politiques publiques usent de nombreux outils de communication pour faire connaître les mesures d’hygiène et de lutte contre le virus du Covid-19, elles sont moins prolixes s’agissant de la cybersécurité et encore moins lorsqu’il s’agit de la réglementation applicable à la cybersécurité.

Il conviendra, d’une part, d’inciter les dirigeants et organisations à prévoir et à utiliser les outils juridiques appropriés de lutte contre les menaces numériques et, d’autre part, de constater l’apport indispensable du juridique en cas de cyberattaque.

Le juridique comme l’une des forteresses de la cybersécurité

La prévention de la cybercriminalité peut se schématiser comme la mise en place de forteresses pour protéger un donjon constitué par les données du système d’information.

D’emblée, plus le nombre de forteresses est important et plus le risque de pénétration au cœur du donjon est faible. Néanmoins et puisqu’il s’agit de risques, le nombre de forteresses ne doit en aucun cas avoir pour conséquence un relâchement de la surveillance du système d’information sécurisé.

Classiquement, la première forteresse est technique. Il s’agit des pares-feux, anti-virus, anti-malwares, VPN… Ces outils techniques constituent le socle de l’infrastructure de cybersécurité.

Cette forteresse est souvent le premier et unique rempart aux attaques numériques. Or, il est nécessaire de déployer une seconde forteresse constituée d’outils juridiques. Concrètement, il s’agira notamment de mettre en place une charte informatique et une politique de sécurité du système d’information (PSSI). Ces documents contiennent les indications, obligations et interdictions s’agissant de l’utilisation des outils informatiques. Ainsi, la charte informatique va, par exemple, modérer l’utilisation des outils numériques des employés, interdire la connexion à des réseaux publics ou imposer l’utilisation d’un VPN en cas de déplacement professionnel. La PSSI devra régler, quant à elle, l’accès aux serveurs et la possibilité ou non d’installer des logiciels.

Ces documents peuvent avoir une valeur contraignante et être annexés au règlement intérieur de la structure.

En complément, une troisième forteresse doit être construite, constituée par la pédagogie préventive et la formation du personnel. Il s’agit d’une forteresse indispensable pour que l’ensemble du système de protection fonctionne. En effet, dans la grande majorité des cas, le succès d’une attaque numérique réside dans l’erreur humaine : telle personne a ouvert une pièce jointe reçue par mail, telle autre a transféré des documents via une clé usb infectée, telle autre s’est connectée sur un réseau non sécurisé.

La prévention peut trouver un angle juridique et devenir obligatoire pour l’ensemble des utilisateurs du système d’information. Ainsi, la charte information peut prévoir des sessions de formation obligatoire en matière de cybersécurité mais aussi en matière de protection des données personnelles ou de respect des règles de confidentialité. Ces sessions peuvent être réalisées à distance et faire l’objet d’une notation, sous la forme d’un MOOC par exemple.

Aucune forteresse n’étant imprenable, il arrive parfois qu’une attaque numérique pénètre le système d’information visé. Dans ce cas et comme en matière de prévention, le juridique est une force complémentaire dans la résolution de la crise générée par l’attaque.

Le juridique en cas d’attaques, une force complémentaire

En cas de cyberattaque, le réflexe est souvent de faire appel à la technique pour tenter de résoudre les conséquences de l’attaque. Ce réflexe est une bonne chose puisqu’il est acquis que plus l’attaque est traitée rapidement et moins les conséquences sont importantes.

La résolution de la crise naissante doit néanmoins s’accompagner d’une prise en compte du juridique. En effet, à la complexité des attaques va se joindre la difficulté à établir les responsabilités. Naturellement, le juriste trouve sa place dans la résolution de la crise en se concentrant sur les responsabilités en cause mais aussi sur le lien entre la structure visée et les autorités. Ainsi, le juriste sera en charge de réaliser les notifications auprès des autorités compétentes le cas échéant (ANSSI et CNIL principalement) mais devra aussi statuer sur les clauses contractuelles applicables et sur les responsabilités en jeu.

Ce travail de fond permet un gain de temps important dans le cadre de la résolution de la crise. Sur de nombreux points, l’apport du juridique va permettre de rationaliser les décisions à prendre par les dirigeants et les techniciens spécialistes tout en évitant d’obscurcir le brouillard déjà épais devant la compréhension de la situation. La condition sine qua non de la réussite de la gestion de crise reste la présence d’un lien fort qui unit les équipes, chacun ne pouvant tirer la couverture à soi, faute de quoi, les décisions prises ne seraient pas les plus pertinentes.

Au sortir de la crise, le retour d’expérience permettra aux équipes de comprendre les points forts et les faiblesses qui ont conduit à l’attaque et à sa résolution. Là aussi, le juridique devra prendre en compte les retours d’expériences pour améliorer, préciser, modifier les documents juridiques afin de consolider la forteresse touchée par l’attaque.

L’épidémie de Covid-19 et les attaques informatiques semblent avoir de nombreux points en commun. Gageons que la prévention des risques et la bonne gestion de la crise fassent de ces deux virus des mauvais souvenirs du XXIème siècle.


[1] L’auteur a volontairement utilisé le nom de virus, bien qu’inexact pour les spécialistes de la cybersécurité.

A propos de l’auteur

Avocat et docteur en droit de l’Université de Rennes 1, Jean-Nicolas Robin est passionné par les nouvelles technologies et le numérique. Après avoir réalisé un mémoire sur le blanchiment à l’ère du numérique, il a écrit une thèse de doctorat portant sur « La matière pénale à l’épreuve du numérique ». Il a, par ailleurs, été assistant de justice au sein de Tribunal de grande instance de Vannes.
Jean-Nicolas intervient en droit économique groupant notamment le droit des contrats, la protection des données à caractère personnel, la cybersécurité et le droit du sport.
Il est chargé d’enseignements à l’Institut Catholique de Rennes et intervient pour différentes structures (écoles d’informatiques, management du sport, master II Droit du numérique).
Auditeur jeunes de l’Institut des Hautes Etudes en Défense Nationale, il est membre de la chaire de cybersécurité et de cyberdéfense Saint Cyr Sogeti Thales.

A propos de Okay Doc

Face à l’intensification de la concurrence internationale pour les meilleurs talents et à la difficulté pour les entreprises d’identifier les chercheurs, Okay Doc est devenu le premier cabinet de conseil et de recherche dédié à la transformation des organisations à partir de l’expertise des chercheurs sensibilisés aux problématiques des entreprises dans différents domaines : la e-santé, les sciences humaines et sociales, l’intelligence artificielle, la data science, les sciences du vivant et des matériaux. Notre expérience nous permet d’offrir un service clé en main : sourcer, sélectionner et coordonner les chercheurs dans différentes disciplines pour réaliser un état des lieux de vos problématiques et les résoudre en s’appuyant sur l’expérience et des méthodologies universitaires innovantes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.