11 mars 2021

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#330 cyber attaque en 2021 [historique technique et juridique]

Le phénomène des cyber attaques en 2021 ? Comme le sujet des cyber attaques est (tous les jours un peu plus) d’actualité, je vous propose une approche avec un peu de mise en perspective historique, technique juridique (et business !) pour comprendre « pourquoi » et « comment« .

Une synthèse, parce qu’il va m’être difficile en 1h30 de faire le tour (complet) du problème actuel posé par l’explosion du nombre et de la technicité des cyber attaques.

Merci aux organisateurs du Club Innovation du 11 mars 2021 et aux experts-comptables qui sont venus m’écouter expliquer tant de problèmes et annoncer tant de mauvaises nouvelles… 

[mise à jour du 8 avril 2021 : la vidéo de la partie historique des cyber attaques a été intégrée dans ce post de blog]

cyber attaque en 2021 [historique et technique] : comprendre POURQUOI le problème

C’est ici que nous aborderons le « mythe » de la sécurité des logiciels et des systèmes d’information : c’est numérique, donc c’est sécurisé.

Hélas, ce n’est juste pas vrai.

cyber attaque : un peu d'historique (depuis le test "Aurora" en 2007 jusqu'à la cyber attaque sur les serveurs Exchange en mars 2021)

Petite revue historique des cyber attaques marquantes depuis le test Aurora en 2007 (avec une mention spéciale et un immense MERCI @goupil et @NoLimitSecu). 

Cette chronologie (sommaire) fait un focus sur les attaques des systèmes d’information industriels.

Vous y trouverez les attaques marquantes sur les systèmes qui ne font rêver personne, mais qui sont essentiels à l’activité de nos sociétés occidentales et de notre économie « globalisée ».

Si vous souhaitez creuser les aspects technique des attaques cyber sur les systèmes d’information industriels, c’est indéniablement le podcast NolimitSecu qu’il faut écouter.

l'histoire des cyber attaque en vidéo+BD ? C'est ici !

cyber attaque en 2021 : une législation nationale principalement militaire... et le RGPD !

Le problème des cyber attaques touche en 2021 l’ensemble des acteurs économiques.

Pourtant, la législation « contraignante » en France est essentiellement d‘origine militaire.

Sauf…. l’obligation de sécurité du RGPD (nous y reviendrons un peu plus tard) qui concerne TOUS les professionnels qui ont des fichiers clients / prospects / salariés.

Reste à intégrer la notion de « sécurité » informatique, qui nous vient d’un texte de Bruxelles (donc commun aux 27 pays membres de l’UE).

Malheureusement, cette législation a du mal à prendre (24 pays en retard de modification de leur législation sur 27 – le chiffre parle de lui-même).

cyber attaque en 2021 : le mode opératoire et le (gros) problème de l'attribution

Oublions le bla bla scientifico-technique et volontairement anxiogène que nous sert régulièrement la presse.

Voyons plutôt comment ça marche : les « malveillants » utilisent une vulnérabilité pour introduire un « malware« . Exploitez le tout et vous obtenez une cyber attaque.

Le fond du problème actuel est (une fois encore) technique : il est quasiment impossible de déterminer « qui » attaque et « depuis où ».

C’est le problème de l’attribution, qui se pose à l’identique pour les affaires d’espionnage étatique (ou industriel) ou pour les « ransomware » qui visent les entreprises !

Si vous souhaitez creuse une affaire récente de cyber attaque à des fins (probables) d’espionnage, allez vous documenter sur la récente affaire « SolarWinds »

cyber attaque en 2021 : pour faire quoi ? + focus sur les données personnelles

Il n’y a pas « une » typologie de cyber attaque, il y a pour chacune un « Effet Final Recherché » (ou « EFR » en jargon cyber).

Il est possible de classer les malware par EFR pour comprendre ce que nous, entreprise ou Nation, sommes susceptibles d’affronter.

Reprenons juste la définition de ce qu’est une « violation de données » au sens du RGPD :

« une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Accéder de manière frauduleuse dans un système d’information qui stocke / traite des données personnelles, c’est – légalement – une « violation de données ».

Un cryptolocker / ransomware / rançongiciel ? C’est une « violation de données ».

Des données personnelles « exfiltrées » de votre système d’information ? C’est (encore) une « violation de données ».

Et si ça arrive, il faut notifier « l’accident » à l’autorité de contrôle (la CNIL pour la France). 

Et ne pas le faire ? Le risque de « sanction administrative » monte jusqu’à 2 % du chiffre d’affaire de l’entreprise (ça commence à faire cher pour un « oubli »…).

Et – faute de temps – nous passerons sous silence le risque de sanction pénale… pour évoquer plutôt les aspects « business » de l’impact des cyber attaques.

le risque business de l'équation gagnante : malware + vulnérabilité = risque de cyber attaque

Vous l’aurez bien compris, il s’agit pour les professionnels de sécuriser leur système d’information.

Mais « qui » doit faire « quoi »

Regardons les aspects juridico-business du problème entre client et éditeur/prestataire.

La notion de « bug » logiciel ne pose plus de difficulté à personne (cela relève indéniablement de la responsabilité de l’éditeur / prestataire de service en mode SaaS).

Mais… les malware ? Faute de définition légale, les professionnels négocient des définitions dans les contrats, entrainés en cela par l’industrie de la banque et de la finance, tout particulièrement exposée.

Et les « vulnérabilité » ? qu’est-ce-que c’est c’est ? 

Pareil, aucune définition légale, donc des discussions contractuelles pour se mettre d’accord…

Malware et vulnérabilités ont un point commun : certain(e)s sont identifié(e)s / répertorié(e)s, d’autres non.

Alors, qui, du client ou du prestataire, doit faire de la veille et de la détection ?

La question revient au final à se demander « qui » supporte le risque des conséquences d’une cyber attaque.

La responsabilité pour négligence : jurisprudence vulnérabilité et cyber attaque

Le professionnel qui ne fait pas de veille, pas de détection et qui n’a pas mis en place les mesures de sécurité « appropriées » dans son système d’information est « négligent« . 

Et quelques jurisprudences récentes en France nous montre ce qu’il en coûte (pécuniairement) d’être un professionnel négligent.

Profitons de l’occasion pour voir ce qui s’écrit dans les contrats BtoB ?

et pour les illustrations en BD, on dit merci qui ? MERCI aux éditions Delcourt / Soleil !!!

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​