(à propos des délibérations CNIL 2018 « DailyMotion » et « Uber France ») L’année 2018 restera dans les annales du droit de la sécurité des systèmes d’information comme celle des deux premières condamnations publiques prononcées par la CNIL contre des entreprises victimes de cyber-attaque. C’est la raison de cette présentation en BD intitulée « Cyber attaque et sanctions CNIL ».
[mise à jour du 20/01/2021 : si vous souhaitez creuser l’aspect « cyber attaque et sanctions CNIL », il faut cliquer sur ce lien qui vous guidera vers quelques illustrations en format VIDEO+BD sur le sujet, à jour au mois de novembre 2020]
Ce n’est bien évidemment pas le fait d’avoir été victime d’une cyber-attaque qui est sanctionné par la CNIL, mais à chaque fois la négligence des victimes dans la sécurisation de leur système d’information.
En synthèse, le raisonnement de l’Autorité de contrôle française est le suivant : si le système d’information avait été correctement sécurisé par l’attaqué, il n’aurait pas permis à la cyber-attaque de prospérer : la fuite de « données à caractère personnel » aurait pu être techniquement évitée…
Pour une série de cyber-attaques toutes fraîches à la date ou nous écrivons ces quelques lignes (Altran le 24 janvier 2019 et Airbus le 31 janvier 2019), allez lire sur le site web de l’Usine Digitale « Airbus a été victime d’une intrusion informatique visant les données de ses collaborateurs ».
La délibération CNIL « DailyMotion » du 24 juillet 2018 comme la délibération CNIL « Uber France » du 19 décembre 2018 sont toutes deux fondées sur l’ancien droit, à savoir la loi «Informatique et Libertés» du 6 janvier 1978 dans sa version V2 du 4 aout 2004 rectifiée par l’Ordonnance n°2011-1012 du 24 aout 2011 (c’est simple, non ?).
Pas de doute sur ce point, les cyber-attaques contre DailyMotion (en France) et contre Uber (aux USA) sont antérieures au 25 mai 2018, date d’entrée en application du RGPD – Règlement UE n°2016/679 du 26 avril 2016.
Mais c’est précisément l’intérêt de ces deux décisions de sanction : être 100% transposable aux obligations du RGPD en vigueur depuis le 25 mai 2018 !!!
CYBER ATTAQUE et sanctions CNIL : cyber-attaque ?
Il faut faire un (tout petit) peu de technique pour savoir de quoi on parle. Si les notions de « faille zero day » et « d’exploit » ne vous sont pas familières, c’est ici l’occasion de vous documenter.
En synthèse, des hackers rentrent dans des systèmes d’information mal sécurisés (par exemple via une vulnérabilité « zero day ») pour y introduire leur logiciel « malveillant » (c’est cela, un « exploit », un « code d’exploitation ») afin de… tout casser (par exemple, chiffrer des data avec demande de rançon) ou tout copier (c’est cela, une « fuite de données ») !
CYBER ATTAQUE et sanctions CNIL : quelques cyber-attaques marquantes et quelques « malware »
Il semble que ce soit l’Estonie en 2007 qui, la première, ait fait les frais d’une cyber-attaque d’ampleur (en provenance de Russie selon la plupart des commentateurs…).
Ce fut la Géorgie l’année d’après, à l’occasion du conflit territorial avec (encore) la Russie.
Le virus « StuxNet » a marqué les esprits en 2010 car il semble avoir permis aux Etats-Unis (apparemment alliés à Israël pour l’occasion) de stopper le développement par l’Iran de son programme d’arme nucléaire.
Mais les cyber-attaques ne sont plus aujourd’hui l’apanage des Etats qui s’affrontent dans une cyber guerre secrète et (par définition) sans frontière : les entreprises sont des cibles de choix pour les « black hackers » (les malveillants, par opposition aux white hackers, ceux qui pénètrent les systèmes d’information dans un autre but…).
La propagation incroyablement rapide en 2017 des virus « WannaCry » et « NotPetya » qui ont infecté des multinationales et des administrations dans le monde entier en apparemment moins de 7 minutes en est une parfaite illustration.
Qui sont ces « hackers » ? Des individus isolés, des groupes d’activistes (les Anonymous ou Wikileak par exemple), des mafias très structurées (incroyable, non ?) voire des Etats…
Pour en savoir plus sur ces tristes histoires (et en découvrir certainement beaucoup d’autres), consultez wikipedia à l’URL https://fr.wikipedia.org/wiki/Cyberattaque !
Manifestement, aujourd’hui, le problème des cyber-attaques n’est plus du tout théorique !
CYBER ATTAQUE et sanctions CNIL : les chiffres qui font peur !!!
Pas de bla bla, juste une slide de chiffres relatifs aux cyber-attaques, majeures ou non, recensées au Japon en 2016 d’après « cybermonde et nouvelles menaces » (que j’ai lu pour vous).
A titre d’information, le site web qui héberge mon (ancien) blog (www.ledieu-avocats.fr) a fait l’objet en 4 ans de « 68.358 attaques malveillantes » (je cite mon module admin) heureusement bloquées par WordPress, éditeur du logiciel.
Selon vous, « attaque malveillante » = « cyber attaque » ? Ça y ressemble beaucoup, non ? Les chiffres qui font peur à propos du Japon ne sont hélas probablement pas exagérés.
CYBER ATTAQUE et sanctions CNIL : typologie (rapide) des failles de sécurité
Les failles de sécurité ?
Ce sont les « trous dans la raquette » qui permettent aux malfaisants de rentrer de manière indue dans les systèmes d’information (les sites web, mais pas que).
En droit pénal en France, cette action constitue l’incrimination « d’accès frauduleux dans un système de traitement automatisé de données ». Soit le moyen de rentrer était inconnu, soit il n’existait aucun moyen technique de combler le trou identifié.
Dans ce dernier cas, le problème est du ressort de l’éditeur du logiciel concerné. Si ce moyen technique de rebouchage est connu, il devrait être proposé par l’éditeur dans le cadre de la maintenance corrective. D’ou l’intérêt de suivre les mises à jour des logiciels que vous utilisez.
Parfois, hélas, les failles de sécurité ne sont que les conséquences de mauvais paramétrages (pas de changement des paramétrages éditeur d’origine le plus souvent).
Parfois aussi, le logiciel a été mal testé (voir par exemple la délibération CNIL « Bouygues Telecom » du 26 décembre 2018 à propos d’une faille de sécurité sans cyber-attaque).
CYBER ATTAQUE et sanctions CNIL : fuite de données ?
C’est la conséquence la plus connue de l’utilisation, après une cyber attaque, des données personnelles contenues dans un système d’information : la copie illicite des données et leur diffusion/commercialisation, par exemple sur les Darknets.
C’est pratique, les Darknets, on peut payer en crypto-monnaie de manière très anonyme…
CYBER ATTAQUE et sanctions CNIL : … une atteinte à l’intégrité des données ?
C’est l’autre objectif potentiel d’une cyber-attaque : verrouiller (chiffrer) les données du système attaqué avec (promesse rarement tenue de) déverrouillage (déchiffrement) contre paiement d’une rançon.
C’est un chantage vieux comme le monde adapté aux techniques numériques du XXI° siècle. On parle alors de « ransomware » ou de « cryptolocker »…
Sans oublier les attaques de pure destruction des data contenues dans un serveur (pour nuire à un concurrent par exemple, ou pour tester les effets d’une future attaque de plus grande ampleur…).
CYBER ATTAQUE et sanctions CNIL : des législations qui se télescopent !!!
A partir de la définition de cyber-attaque proposée par wikipedia, nous avons identifié au moins cinq législations applicables à la matière !
Les notions de « système d’information » et « d’incident de sécurité » renvoient toutes deux à la Directive N.I.S de 2016 et à la loi française S.R.S.I. du 26 février 2018 et ne ferons l’objet que d’un rappel à la fin de la présentation en BD.
CYBER ATTAQUE et sanctions CNIL : atteinte à un « Système de Traitement Automatisé de Données »
C’est le droit commun de la répression des cyber-attaques depuis 1988 : les articles 323-1 à 323-3 Code pénal permettent théoriquement la répression des attaquants.
Le problème, c’est que les attaquants sont très difficiles à identifier (« une IP située sur le territoire américain » précise seulement la délibération « DailyMotion » du 24 juillet 2018).
Une seule décision récente de condamnation pour « maintien frauduleux dans un système automatisé de traitement de données » : l’affaire « Bluetouff » (TGI Créteil du 23 avril 2013et Cour d’appel de Paris du 5 février 2014).
Comme la répression de l’attaquant n’est manifestement pas suffisamment dissuasive, Bruxelles, avec le RGPD, a changé de politique.
La « répression » porte maintenant sur le défaut de sécurisation de l’attaqué.
Et les autorités de contrôle de s’en prendre donc à l’attaqué négligent !
Cet attaqué ayant aujourd’hui l’obligation légale de notifier à son autorité de controle toute « violation de données », cet attaqué est assez facile, lui, à identifier.
Avec un peu de chance, en plus, l’attaqué est solvable…
CYBER ATTAQUE et sanctions CNIL : une « violation » de données personnelles
Pour appliquer la législation RGPD à une cyber attaque, il faut que l’attaque porte sur des « données à caractère personnel ».
Vous trouverez dans la présentation en BD un rappel de la notion selon la définition posée par le RGPD.
Le risque à identifier par un responsable de traitement est celui d’une éventuelle « violation de données« .
Et cette notion est définie de manière particulièrement large par le RGPD :
« l’accès illicite » à des données personnelles ? c’est par exemple la conséquence d’une cyber attaque, comme la « divulgation non autorisée » de ces données (en rendant publiques des informations confidentielles comme le fait par exemple wikileaks).
Pour les ransomware comme celui connu sous le nom de « cryptolocker », c’est le constat du chiffrement des données personnelles qui peut permettre l’application du RGPD. Il y a alors atteinte à la disponibilité et surtout « altération » des données qui seraient chiffrées contre le gré de l’opérateur du système d’information attaqué (le responsable du traitement ou le sous-traitant, selon le cas). [Je sais, vous avez déjà vu cette slide].
CYBER ATTAQUE et sanctions CNIL : l’obligation de sécurisation des systèmes d’information
Pour éviter autant que possible toute violation des données personnelles qu’il collecte et qu’il traite, le « responsable du traitement » (comme d’ailleurs le sous-traitant, l’article 32 RGPD le précise expressément) doit sécuriser son système d’information.
Dans quelle mesure ?
C’est là tout le problème !
Car si la CNIL rappelle que l’obligation de sécurisation est bien une « obligation de moyens » (délibération CNIL du 7 aout 2014 « société X »), le RGPD ne donne qu’une liste de critères permettant de « garantir un niveau de sécurité » des données personnelles en adéquation avec le risque de « violation de données » :
CYBER ATTAQUE et sanctions CNIL : une appréciation de la « sécurité » par les risques ?
Pour comprendre cette notion d’approche « par les risques » en matière de sécurité, il faut se référer à la Directive NIS de 2016 et la loi française de transposition « SRSI » de 2018 qui explicitent clairement ce que doivent faire les « Fournisseurs de Service Numérique« , astreints à cette obligation.
Une « gestion de la sécurité selon une approche fondée sur le risque » ? Cela veut dire que les modalités pratiques de mise en oeuvre de cette obligation de sécurité sont au choix et à l’appréciation de l’opérateur.
C’est le Règlement d’exécution (de la Commission de Bruxelles) du 30 janvier 2018 qui le précise pour les Fournisseurs de Service Numérique :
CYBER-ATTAQUE et sanctions CNIL : ATTENTION
Si la loi « Informatique et Libertés » s’accommodait d’un obligation de moyens « classique » (et objectivement ingérable par la CNIL pour mener des poursuites judiciaires), le RGPD-GDPR impose sans doute possible une obligation de moyens renforcée.
Car c’est bien au responsable de traitement (ou au sous-traitant) de devoir démontrer, de manière documentée, qu’il a mis en œuvre les « mesures techniques » et organisationnelles appropriées en vue de « garantir » la sécurité de son traitement de données.
La réalité des « mesures techniques » nécessaires apparait au fil de la publication des délibérations de la CNIL, d’où l’importance des deux délibérations commentées ci-dessous.
CYBER-ATTAQUE et bsanctions CNIL : Uber France
Dans l’affaire Uber France du 19 décembre 2018, la CNIL a eu la main assez lourde en affirmant que « la mise en place d’un système de filtrage des adresses IP, quand bien même cela nécessitait un long développement, constituait un effort nécessaire qui aurait dû être planifié dès le début de l’utilisation des services ».
Ce sont donc aujourd’hui les autorités de contrôles qui fixent la mesure de l’état de l’art pour ce qui est de l’appréciation de la négligence de l’attaqué, et donc du niveau de sécurité des traitements de données !!!
CYBER ATTAQUE et sanctions CNIL : l’obligation de notification des violations
Cette obligation de notification des violations de données avait pour la première fois été mise en oeuvre en 2014 (voir la délibération CNIL du 7 aout 2014 « société X »).
Depuis, les quelques contrôles de la CNIL avaient été opérés suite à information de la CNIL par un tiers (un site web bien informé, comme ZDNET.com dans l’affaire DailyMotion).
A retenir ?
Dans le doute, il vaut mieux notifier une cyber-attaque à la CNIL, dans la mesure où la CNIL elle-même a qualifié cette obligation de notification « d’obligation de résultat » (voir encore la délibération CNIL du 7 aout 2014 « société X »).
Evidemment (et heureusement !), seules les tentatives de violation de données (i) réussies et (ii) découvertes sont à notifier, pas les tentatives bloquées.
La notification doit bien évidemment être opérée à compter de sa découverte par l’opérateur du système d’information.
Il est intéressant de constater en 2018 que, bien que cela soit clair dans le RGPD, les « responsables de traitement » insistent contractuellement de manière presque systématique pour interdire à leurs sous-traitants de notifier directement la CNIL (lorsque la violation intervient dans le système d’information du sous-traitant, bien sûr).
CYBER ATTAQUE et sanctions CNIL : les délibérations de 2018
La théorie, c’est important, la pratique, c’est encore mieux.
Nous disposons aujourd’hui de deux cas pratiques, grâce à DailyMotion (délibération CNIL n°SAN-2018-008 du 24 juillet 2018) et Uber France (délibération CNIL n°SAN-2018-011 du 19 décembre 2018).
Les faits des deux affaires sont très similaires.
A chaque fois, des développeurs laissent dans le code source du site web en développement des « credentials » (login + password) d’accès en clair !!!
Une fois que le site web est « mis en production », c’est-à-dire accessible en ligne par des internautes, ces mêmes développeurs oublient de retirer les « credentials » de la version test du logiciel (« la clé d’accès en clair » dans l’affaire Uber France). C’est ballot, comme oubli, non ? C’est clairement – pour la CNIL – de la négligence.
Là dessus, dans les deux cas, des hackers (« des délinquants informatiques chevronnés » précise la délibération «DailyMotion»), trouvent une faille de sécurité (des « credentials » non supprimés pour rentrer dans le back office du logiciel dans la délibération « Uber France »).
CYBER-ATTAQUE et sanctions CNIL : malware et Vulnérabilités cumulés ?
La délibération « DailyMotion » explique que ces hackers ont alors développé un « code d’exploitation » de la faille (un logiciel spécifique) suffisamment intelligent pour exporter les données sans que DailyMotion, malgré ses logiciels d’analyse de traffic, ne s’en aperçoive !
La délibération « Uber France » est beaucoup discrète sur le modus operandi des « deux individus extérieurs à la société » (sans doute pour éviter de donner trop de mauvaises idées aux malveillants).
CYBER ATTAQUE et sanctions CNIL : les raisons de la sanction et le « tarif »…
Malgré son statut de victime d’une cyber-attaque « en plusieurs étapes, menée par des déliquants informatiques chevronnés, au terme d’une démarche coordonnée sur plusieurs mois« , DailyMotion écope d’une amende administrative de 50.000 €uros (quand même !).
Ce qui a sauvé DailyMotion d’une sanction plus lourde ? Une partie des donnés exfiltrées étaient chiffrées (donc inutilisables par l’attaquant).
Dans la délibération « Uber France », les « credentials » des développeurs ayant quitté la société n’avaient pas été supprimés et restaient utilisables pour accéder aux soutes du logiciel et notamment à la base de données des clients et chauffeurs de Uber.
CYBER-ATTAQUEet sanctions CNIL : les « reco » de la CNIL
Que recommande « a minima » la CNIL pour éviter le problème à l’avenir ? Le « filtrage des adresses IP » des accès à distance au logiciel.
Apparemment, Uber avait pris soin de « cacher l’affaire » pendant près d’un an, et avait même payé une rançon selon la presse… Une sanction de 400.000 €uros lui est infligée par la CNIL.
Uber, pour les mêmes faits, a également été sanctionnée aux Pays-Bas et au Royaume-Uni (je cite la page web du site de la CNIL datée du 20 décembre 2018) : « Le 6 novembre 2018, l’autorité néerlandaise de protection des données a prononcé une amende de 600 000 €uros à l’encontre d’UBER pour manquement à l’obligation de notification de la violation de données. Le 26 novembre dernier, l’autorité britannique a prononcé une sanction de 385 000 Livres pour manquement à l’obligation de sécuriser les données« .
Pour DailyMotion comme pour Uber France, une partie de la sanction décidée par la CNIL a consisté à autoriser la publication de la décision avec le nom des attaqués.
C’est cela, la politique du « name and shame » en espérant que la mauvaise publicité attachée au nom de l’attaqué condamné serve d’exemple à ne pas suivre pour les autres. En droit, on appelle cela le principe d’exemplarité de la peine. C’est en application de ce principe que les condamnés à mort étaient exécuté en public…
Il est fréquent que la CNIL ne rende pas publiques ses décisions de sanction. Nous n’en sommes alors informés que lorsque le condamné fait appel devant le Conseil d’Etat (c’est le cas pour l’arrêt « éditions Croque Futur » du 6 juin 2018 commenté sur ce blog).
CYBER ATTAQUE et sanctions CNIL : l’obligation de remédier à l’attaque
La CNIL n’en parle pas dans ses délibérations si ce n’est pour écrire que les attaqués ont fait en sorte de faire cesser rapidement l’attaque une fois détectée.
Il n’en demeure pas moins que le RGPD-GDPR impose à l’attaqué de devoir remédier aux violations (article 32 RGPD), c’est à dire de faire cesser les intrusions identifiées.
Cette obligation de remédier peut passer par la prise de décisions radicales, comme par exemple la mise hors ligne du site web attaqué.
Apparemment, le détail de ces mesures techniques de remédiation est réservé à la CNIL lorsqu’elle intervient suite à une notification de violation (on se demande bien pourquoi…).
CYBER ATTAQUE et sanctions CNIL : l’obligation de documenter l’attaque et les mesures de remédiation
Comme les violations de données doivent être notifiées, il faut que l’attaqué puisse le faire avec tous les détails nécessaires. Cette obligation s’appelle « obligation de documenter » (article 33.5 RGPD).
En cliquant sur le lien qui suit, vous pourrez accéder au formulaire en ligne de notification à la CNIL.
Vous le verrez, la notification d’une cyber attaque demande la capacité de répondre à un certain nombre de considérations assez techniques…
CYBER ATTAQUE et sanctions CNIL : les sanctions RGPD potentielles ?
Sur l’incrimination du défaut de sécurité, c’est « application du niveau 1 » de l’amende administrative prévue dans le RGPD (article 83.4) : soit 10 millions d’€uros, soit pour les entreprises un maximum de 2% du chiffre d’affaires.
Ce niveau de sanction vaut pour un défaut de sécurisation comme pour un défaut de notification à la CNIL d’une violation de données.
C’est sur le niveau de sanction pécuniaire que les prochaines délibérations de la CNIL seront lues avec attention car, pour les faits constatés jusqu’au 25 mai 2018 (hypothèse des cyber attaques dont DailyMotion et Uber ont été victimes), la peine maximum encourue en France était de 150.000 €uros puis de 3.000.000 d’€uros (depuis la réforme de la loi « Informatique et Libertés » par la loi n°2016-1321 du 7 octobre 2016 pour une République numérique).
Dans la loi CNIL d’origine, la sanction potentielle pour défaut de sécurisation par « imprudence » ou « négligence » était de « 20.000 Francs » (article 43 alinéa 2), soit environ 3.000 €uros d’aujourd’hui…
CYBER ATTAQUE et sanctions CNIL : les sanctions pénales « spécial France »
Que serait la France de la Révolution de 1789 sans sa palanquée de sanctions pénales spécifiques, je vous le demande ???
Allez donc lire les articles 226-16 à 226-24 du Code pénal regroupés dans une section intitulée (avec poésie) « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques« .
Sachant que les « amendes administratives » que la CNIL peut prononcer sur le fondement du RGPD ne sont pas des sanctions pénales, en principe, les amendes CNIL pourraient se cumuler avec d’éventuelles condamnations pénales…
Ça sent un peu la double peine, mais bon…
Les procéduriers les plus avertis ne manqueront pas de trouver là un argument intéressant à faire valoir devant les tribunaux correctionnels.
CYBER ATTAQUE et sanctions CNIL : un conseil pratique ?
Il faut bien tirer les conséquences de ces deux condamnations et proposer une porte de sortie aux entreprises (comme aux personnes publiques, d’ailleurs !).
La mère de toutes les mesures de sécurité ? Une politique d’authentification solide des accès aux systèmes d’information. Je vous ai même fait un schéma pour ça !
La quasi-totalité des sanctions CNIL depuis 2017 portent sur des constats de lacune plus ou moins totale des politiques d’authentification des salariés ou des users des entreprises.
CYBER ATTAQUE et sanctions CNIL : la pratique contractuelle ?
Je ne peux décemment pas vous livrer le contenu complet de ma clause en la matière. Juste un extrait… Ça se signe assez bien (après quelques questions et tentatives de ramollissement quand même…) dans les contrats dans lesquels un sous-traitant gère les données personnelles de ses clients donneurs d’ordre (les contrats SaaS par exemple).
Pourquoi le terme « personnelles » est remplacé par « numériques » ? Il faudra aller lire la présentation en BD pour le savoir…
BONUS (pour les acharnés) : rappel sur les « incidents de sécurité »
Si une cyber attaque ne vise ni n’atteint des données personnelles, reste à envisager l’application de la la Directive « N.I.S. » n°2016-1148 du 6 juillet 2016 transposée en France par la loi n°2018-133 du 26 février 2018 en cas de constat « d‘incident de sécurité ».
Si votre entreprise compte plus de 50 salariés ou réalise plus de 10 millions d’euros de chiffres d’affaires, vérifiez que vous ne tombez pas dans la catégorie des Fournisseurs de Service Numérique.
Pour celles et ceux qui s’intéressent aux Opérateurs de Service Essentiels ou aux Fournisseurs de Service Numérique, je vous invite à cliquer sur les liens http proposés qui vous renverront sur mes présentations (en BD) dédiées à ces notions spécifiques.
CYBER ATTAQUE et sanctions CNIL : en conclusion ?
Si, comme nous l’écrivons en tête de ce post, les cyber attaques ne sont plus l’apanage des structures étatiques, la Ministre des Armées, Mme Florence Parly, a annoncé que la France dotait ses armées d’une capacité (nouvelle) cyber offensive !
Le court mais très clair article des Echos du 18 janvier 2019 résume bien ce changement majeur de la doctrine militaire française qui ne se cantonne donc plus à partir de 2019 à la cyber-défense « passive » des ses Opérateurs d’Importance Vitale.