Début février, les centres hospitaliers de Dax, dans les Landes, et de Villefranche- sur-Saône, dans le Rhône, ont été victime de cyberattaques. Face à l’augmentation des menaces, le gouvernement a rapidement débloqué des fonds pour accélérer la stratégie nationale en matière de cybersécurité. Explications avec Me Sylvain Champloix, avocat au Barreau de Dijon.
Jeudi 18 février, Emmanuel Macron a annoncé, lors d’une visioconférence depuis l’Élysée avec les centres hospitaliers de Dax, dans les Landes, et de Villefranche-sur-Saône, dans le Rhône, vouloir accélérer la stratégie nationale en matière de cybersécurité. Cette prise de parole fait en effet suite aux récentes attaques qu’ont subit ces deux établissements. « Les cyber-attaquants, de manière très claire, ciblent le maillon le plus vulnérable et s’appuient sur les négligences », a-t-il expliqué. Face à l’augmentation des menaces, le Président de la République a évoqué une enveloppe d’un milliard d’euros pour « apporter un soutien à la recherche et au développement de nouvelles technologies, souveraines, et créer, ce faisant, un écosystème beaucoup plus soudé, plus performant, qui sera réuni dans le campus cyber […] qui ouvrira ses portes à l’automne ». « Des mesures salutaires », selon Me Sylvain Champloix, avocat au Barreau de Dijon qui a fait du droit des technologies de l’information et de la communication et du droit des données personnelles sa spécialité, qui évoque « une politique forte ». « Il faudra voir à l’usage. Il y a a aussi une volonté de placer la France dans le jeu de la concurrence en matière de cybersécurité au niveau international. C’est certainement davantage un enjeu de politique internationale, mais ç’en est pas moins important que cela entraînera une prise de conscience accrue de l’ensemble des acteurs de l’économie française et des différents opérateurs », estime-t-il. Enfin, lors de sa prise de parole, le Président de la République a aussi évoqué une enveloppe de 500 millions d’euros consacrés au soutien à la recherche et au développement de nouvelles technologies souveraines.
DE L’IMPORTANCE DE LA SÉCURITÉ INFORMATIQUE
« Quand il y a des pertes de données, c’est une catastrophe en matière d’investissement et de continuité d’activité. Le risque à quelque niveau que ce soit est absolument crucial. Il ne faut pas oublier de budgétiser et d’intégrer cette notion de sécurité informatique. Surtout que maintenant, on a quand même des possibilités de l’externaliser à moindre coût avec des sociétés locales et des gens qui sont sensibilisés à cela », rappelle Me Sylvain Champloix. Pour ce dernier, « les instruments juridiques de lutte contre la cyber-criminalité sont multiples et s’attachent tant à la prévention sur le plan technique qu’à la recherche des causes et aux sanctions a posteriori des incidents de sécurité ». Une première phase de prévention est primordiale et peut faire l’objet d’un audit, en cas d’incertitudes. « Lorsque nous sommes sollicités par une structure publique, parapublique ou privée, pour faire un audit informatique et libertés, on parle bien de la sécurité de l’ensemble des données informatiques et par déduction de toute la structure informatique de l’organisme en question. » Les informaticiens, directeurs ou responsables de systèmes d’information, devraient systématiquement adopter des mesures de protection du réseau ou des parties des réseaux concernés en fonction de la nature des données. « En fonction du degré de sensibilité des données, il faut adopter des mesures plus ou moins drastiques en matière de sécurité informatique. » Cette exigence se trouve d’ailleurs consacrée par le principe du “privacy by design” (ou protection des données personnelles dès la conception des traitements – art. 25 du règlement européen “RGPD” du 27 avril 2016), lequel implique la mise en œuvre de procédures internes formalisées préventives, ainsi que par l’adoption de référentiels techniques tels que le Règlement général de sécurité qui s’adresse aux autorités administratives. A posteriori, lorsqu’il y a une violation de données à caractère personnel, l’organisme doit en informer les personnes impactées, dans certains cas la Commission nationale de l’informatique et des libertés – Cnil (art. 33 du RGPD) et, lorsqu’il s’agit d’opérateurs d’intérêt vital ou de services essentiels, l’Agence nationale de sécurité des système d’information – Anssi (art. L. 1332-6-2 du code de la défense, loi du 18 décembre 2013 et directive européenne Sécurité des réseaux informatiques du 6 juillet 2016 transposée en droit français par la loi du 26 février 2018). Depuis 2017, cette dernière aurait d’ailleurs procédé à quelque 200 recrutements, d’après le chef de l’État.
ENTREPRISES ET CYBERATTAQUES
Dans le cadre de son exercice, Me Sylvain Champloix a pu observer deux cas de figure. Un employeur juge avoir été victime d’une destruction de données par la faute d’un salarié ou ex-salarié : « Les faits sont- ils réels ? l’intrusion ou la perte de données est-elle directement imputable à ce salarié ou cet ex-salarié ? Une enquête pénale le déterminera. Ensuite, la personne avait-elle le droit de faire ce qu’elle a fait ? Avait-elle le droit d’accéder à telle partition du serveur qui correspondrait à des données étrangères à son service ? ». En revanche, lorsqu’il s’agit d’un tiers, une enquête pénale cherchera à identifier la personne et par quel moyen elle a accédé à ces données. « S’il s’avère qu’il existe une faille informatique et que le tiers n’ait pas besoin de craquer le système informatique pour accéder aux données de l’entreprise, la jurisprudence n’est pas forcément favorable à ce genre de tiers, notamment du fait de la prise en compte des éléments moraux, intentionnels et matériels ».
« Le directeur général de l’Anssi rappelait que [les hôpitaux représentent] 11 % des cas que nous avons eu à traiter. Mais les administrations, les médias, les petites et moyennes entreprises, des grands groupes y compris d’ailleurs dans le numérique, ont été touchés, et même dans le domaine de la sécurité informatique, ont eu à subir durant les derniers mois des attaques cyber », observe Emmanuel Macron. « Finalement, on ne sait jamais vraiment d’où viennent les attaques. Mais actuellement et depuis peu, on voit bien qu’il y a des sources de piratage situées en Russie ou encore en Corée du Nord… Ce sont généralement des questions de politiques internationales. Certainement un premier stade visant à tester la résistance de certaines structures informatiques dans certains pays », explique Me Sylvain Champloix, avant d’ajouter : « L’application la plus classique du piratage était de porter atteinte à un secret industriel ou commercial, ou encore de pirater des comptes bancaires. Mais maintenant, de plus en plus de collectivités territoriales et d’établissements hospitaliers sont visés. S’il n’y a plus d’intérêt commercial ou financier à le faire, ça peut aussi avoir une visée de déstabilisation d’un État ou de certaines régions ».
Plus d’informations sur : cybermalveillance.gouv.fr
