20 avril 2020

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#290 cyber-attaque et ransomware (rançongiciel): faut-il payer ?

#290 cyber-attaque et ransomware (rançongiciel): faut-il payer ?

cyber-attaque et ransomware : faut-il payer ? faut-il négocier ??? Bref : quoi faire ?

Non, la réponse à la question n’est simple ni techniquement, ni juridiquement ! Alors les contributeurs et les invités de NoLimitSecu (dont votre serviteur) vous proposent l’épisode #265 « cyber-attaque et ransomware ».

Ransomware ? On dit « rançongiciel » en français (ça sonne tellement bien…). Les ransomware les plus répandus aujourd’hui sont des cryptolockers… Nous reviendrons…

Voici le plan général de cette présentation, qui ne suit pas toujours le cheminement du podcast, mais dans laquelle vous devriez pouvoir trouver les informations, juridiques et/ou techniques, que vous intéressent.

Commençons par faire connaissance avec les invités et les contributeurs ?

cyber-attaque ? système d'information ?

Ici, ce sont quelques slides pour les juristes, les DAF, les DRH, bref… toutes celles et ceux qui ne sont pas « tech ».

Personne dans l’épisode n’explique ce que c’est qu’une « cyber attaque« , tellement cela semble évident aux pros de l’écosystème (genre tu sais pas ça ? mais tu sors d’où ?).

[mise à jour du 22 janvier 2021 : si vous souhaitez creuser les notions de malware et de vulnérabilité sous un aspect technique et juridique, avec quelques explications en VIDEO+BD, cliquez sur ce lien).

Pour la définition de « système d’information », je vous confirme que, pour les RSSI et les juristes, la loi « NIS/SRSI » n°2018-133 du 26 février 2018 nous aide à nous mettre d’accord lors des négo de contrat.
Comme ça, les »juristes » pourront mettre leur museau dans la « tech » (c’est entre guillemets mais non, ça n’est pas sale !) et les « tech » pourront lire sans agacement des « clauses » qui ont un sens technique adapté.

ransomware / rançongiciel / cyber-attaque et système d'information ? dans le slider ci-dessous !

cyber-attaque : ransomware ? rançongiciel ? cryptolocker ?

Résumé rapide :

  • ransomware = un logiciel qui chiffre les données d’un système d’information attaqué (Hervé utilise volontiers le terme « rançongiciel » en Molière dans le texte).
  • pour récupérer accès à son système d’information (son Mac…), faut payer. En Bitcoin, c’est ce que j’ai vu de plus répandu.
  • le premier principe est le suivant : « tu paies ? je te donne les clés de déchirement » (mais le malfaisant n’a pas de parole et parfois n’envoie rien en retour…).
  • le principe 2 : « tu pais pas ? ben c’est dommage pour ton système d’information que tu cas devoir reconstruire. Si tu en as les moyens et le temps…« .

C’est cher dans les deux cas, et sans garantie de résultat fiable et pérenne ni dans un cas, ni dans l’autre (non plus).
C’est le principe « de Charybde en Scylla » (que vous commenciez par l’autre ou l’autre des options proposées).
Ce principe est aussi baptisé loose/loose (par opposition au fameux win/win) ou 2#fail (pour les ferru(e)s de jargon technique).

cyber-attaque et ransomware / rançongiciel : le droit pénal en France

Ici, c’est spécial « juristes sécurité SI » et RSSI chargé(e) de négociations contractuelles.

Ce sont les limites de ce qu’il ne faut pas faire (voir les articles 323-1 à 323-8 Code pénal).

Moi, je m’en sers pas mal dans mes contrats BtoB… surtout en insistant sur la notion de « frauduleux »…

cyber-attaque et ransomware : le droit pénal en France résumé dans le slider ci-dessous

cyber-attaque et ransomware: données personnelles et RGPD ?

Oui, si les données chiffrées sont aussi des données à caractère personnel (au sens du Règlement « RGPD » n°2016/679 du 27 avril 2016 déjà…), oui il faut déclarer cette « violation de données » à la CNIL.

Parfois il faut déclarer aussi aux personnes dont les données sont chiffrées. Mais c’est rare…

Dans l’épisode de NoLimitSecu, le sujet est évacué en deux phrases, tellement c’est devenu évident pour celles et ceux qui gère la partie « tech ».

Moi, je vous propose de réviser ici le détail du RGPD.

Voici le lien vers le formulaire CNIL de déclaration (bon courage…).

PS : ami(e)s juristes qui insistez en négociations pour que le contrat oblige le prestataire à vous notifier les « tentatives d’intrusion« , arrêtez aussi de croire au Père Noël. Même la CNIL et le EDPB reconnaissent que seules les attaques « avérées » obligent à notification.

 

cyber-attaque et ransomware-rançongiciel : payer la rançon, c'est légal ? Qu'en pensent les assurances ?

C’est pas le plus drôle mais – pour les juristes – ça compte : les aspects comptables / fiscaux / assurances.
Pour le remboursement par l’assurance « cyber » de la rançon payée, oubliez tout de suite et proposez autre chose en COMEX…

cyber-attaque-ransomware-rançongiciel : quelles réponses pratiques ? comment négocier ?

Evidemment, c’est pour cette partie que vous écoutez les podcasts No Limit Secu. Moi aussi.
Pour résumer l’avis des pro, « payer, ça marche pas toujours » et « négocier, ça marche parfois« .
Sympa, comme conclusion, non ?
Les slides qui suivent sont donc une synthèse, agrémentée des questions des contributeurs (dont certaines – sans doute trop touchy – ont été honteusement coupées au montage).

cyber-attaque et ransomware : et après ? on fait quoi ?

Ici encore, laissons parler les les pro ! 

Je retiens une chose : back up réguliers O-BLI-GA-TOIRES. avec test de restauration réguliers bien sûr.

PODCAST NoLimitSecu cyber-attaque et ransomware : merci "La Nef des Fous" et merci aux éditions Delcourt / Soleil  !!!

Si vous avez aimé les BD servant d’illustration à cette présentation, les voici listées dans le slider ci-dessous.
(avec un spécial merci à Sébastien Le Foll qui vous permet de découvrir quelques cases du tome 10 de La Nef des Fous, dont la sortie en librairie était prévue 2 jours après le début du confinement…)

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ