Publié le 20 avril 2020

cyber-attaque-ransomware-rançongiciel : faut-il payer ? faut-il négocier ? [podcast No Limit Secu 20 avril 2020]

Écrit par
Marc-Antoine LEDIEU - Avocat associé - Constellation

PODCAST NoLimitSecu cyber-attaque ransomware rançongiciel : faut-il payer ? faut-il négocier (???) bref : quoi faire ?

Non, la réponse à la question n’est simple ni techniquement, ni juridiquement !
Alors les invités et les contributeurs de NoLimitSecu (dont votre serviteur) vous proposent l’épisode #265 « ransomware et négociation ».
Voici le plan général de cette présentation, qui ne suit pas toujours le cheminement du podcast, mais dans laquelle vous devriez pouvoir trouver les informations, juridiques et/ou techniques, que vous intéressent.
Commençons par faire connaissance avec les invités et les contributeurs ?

PODCAST NoLimitSecu cyber-attaque-ransomware-rançongiciel : faut-il payer ? faut-il négocier (???) bref : quoi faire ?


 

cyber-attaque-ransomware-rançongiciel : les invités + les contributeurs du PODCAST NoLimitSecu dans le slider ci-dessous

ransomware-rançongiciel : cyber-attaque ? système d’information ?

Ici, ce sont quelques slides pour les juristes, les DAF, les DRH, bref… toutes celles et ceux qui ne sont pas « tech ».
Personne dans l’épisode n’explique ce que c’est qu’une « cyber attaque« , tellement cela semble évident aux pros de l’écosystème (genre tu sais pas ça ? mais tu sors d’où ?).
PODCAST NoLimitSecu ransomware-rançongiciel : cyber-attaque ? système d'information ?


Pour la définition de « système d’information », je vous confirme que, pour les RSSI et les juristes, la loi « NIS/SRSI » n°2018-133 du 26 février 2018 nous aide à nous mettre d’accord lors des négo de contrat.
Comme ça, les »juristes » pourront mettre leur museau dans la « tech » (c’est entre guillemets mais non, ça n’est pas sale !) et les « tech » pourront lire sans agacement des « clauses » qui ont un sens technique adapté.

 

ransomware-rançongiciel : cyber-attaque et système d’information dans le slider ci-dessous

cyber-attaque : ransomware ? rançongiciel ?

Résumé rapide :

  • ransomware = un logiciel qui chiffre les données d’un système d’information attaqué (Hervé utilise volontiers le terme « rançongiciel » en Molière dans le texte).
  • pour récupérer accès à son système d’information (son Mac…), faut payer. En Bitcoin, c’est ce que j’ai vu de plus répandu.
  • le premier principe est le suivant : « tu paies ? je te donne les clés de déchirement » (mais le malfaisant n’a pas de parole et parfois n’envoie rien en retour…).
  • le principe 2 : « tu pais pas ? ben c’est dommage pour ton système d’information que tu cas devoir reconstruire. Si tu en as les moyens et le temps…« .


C’est cher dans les deux cas, et sans garantie de résultat fiable et pérenne ni dans un cas, ni dans l’autre (non plus).
C’est le principe « de Charybde en Scylla » (que vous commenciez par l’autre ou l’autre des options proposées).
Ce principe est aussi baptisé loose/loose (par opposition au fameux win/win) ou 2#fail (pour les ferru(e)s de jargon technique).

 

cyber-attaque : ransomware et rançongiciel dans le slider ci-dessous

cyber-attaque-ransomware-rançongiciel : le droit pénal en France

Ici, c’est spécial « juristes sécurité SI » et RSSI chargé(e) de négociations contractuelles.
PODCAST NoLimitSecu cyber-attaque-ransomware-rançongiciel : le droit pénal en France


Ce sont les limites de ce qu’il ne faut pas faire (voir les articles 323-1 à 323-8 Code pénal).

 

cyber-attaque-ransomware-rançongiciel : le droit pénal en France dans le slider ci-dessous

 

cyber-attaque-ransomware-rançongiciel et données personnelles : les enjeux RGPD

Oui, si les données chiffrées sont aussi des données à caractère personnel (au sens du Règlement « RGPD » n°2016/679 du 27 avril 2016 déjà…), oui il faut déclarer cette « violation de données » à la CNIL.
Parfois il faut déclarer aussi aux personnes dont les données sont chiffrées. Mais c’est rare…
PODCAST NoLimitSecu cyber-attaque-ransomware : rançongiciel et RGPD


Dans l’épisode, le sujet est évacué en deux phrases, tellement c’est devenu évident pour celles et ceux qui gère la partie « tech ».
Moi, je vous propose de réviser ici le détail du RGPD.
Voici le lien vers le formulaire CNIL de déclaration (bon courage…).
PS : ami(e)s juristes qui insistez en négociations pour que le contrat oblige le prestataire à vous notifier les « tentatives d’intrusion« , arrêtez aussi de croire au Père Noël.

 

cyber-attaque-ransomware-rançongiciel et données personnelles : les enjeux RGPD dans le slider ci-dessous

cyber-attaque-ransomware-rançongiciel : payer la rançon, c’est légal ? les assurances ?

C’est pas le plus drôle mais – pour les juristes – ça compte : les aspects comptables / fiscaux / assurances.
Pour le remboursement par l’assurance « cyber » de la rançon payée, oubliez tout de suite et proposez autre chose en COMEX…


 

cyber-attaque-ransomware-rançongiciel : payer la rançon, c’est légal ? les assurances ? dans le slider ci-dessous

cyber-attaque-ransomware-rançongiciel : quelles réponses pratiques ? comment négocier ?

Evidemment, c’est pour cette partie que vous écoutez les podcasts No Limit Secu. Moi aussi.
Pour résumer l’avis des pro, « payer, ça marche pas toujours » et « négocier, ça marche parfois« .
Sympa, comme conclusion, non ?
Les slides qui suivent sont donc une synthèse, agrémentée des questions des contributeurs (dont certaines – sans doute trop touchy – ont été honteusement coupées au montage).
PODCAST NoLimitSecu cyber-attaque-ransomware-rançongiciel : quelle réponse pratique ?


 

cyber-attaque-ransomware-rançongiciel : les réponses pratiques et les conseils des négociateurs sont dans le slider ci-dessous

cyber-attaque-ransomware-rançongiciel : et après ?

Ici encore, laissons parler les les pro !


Je retiens une chose : back up réguliers O-BLI-GA-TOIRES. avec test de restauration réguliers bien sûr.

 

cyber-attaque-ransomware-rançongiciel : les conseils pour l’après sont résumés dans le slider ci-dessous

PODCAST NoLimitSecu cyber-attaque-ransomware : merci « La Nef des Fous » et merci aux éditions Delcourt / Soleil  !!!


Si vous avez aimé les BD servant d’illustration à cette présentation, les voici listées dans le slider ci-dessous.
(avec un spécial merci à Sébastien Le Foll qui vous permet de découvrir quelques cases du tome 10 de La Nef des Fous, dont la sortie en librairie était prévue 2 jours après le début du confinement…)

2 commentaires sur “cyber-attaque-ransomware-rançongiciel : faut-il payer ? faut-il négocier ? [podcast No Limit Secu 20 avril 2020]

Les commentaires sont désactivés.

Contactez-nous

Nous écrire un mail