Par Julie Roussel, Avocat et Victoria Quirin, Juriste.
 
  • 872 lectures
  • Parution : 3 avril
  • 4.97  /5
 

Covid-19 : dommages collatéraux, propagation de la cybercriminalité.

En pleine pandémie de coronavirus, les cyberattaques ne cessent de se propager, elles aussi.

Les cybercriminels profitent de l’état de crise sanitaire pour s’en prendre aux particuliers, aux professionnels, voire aux institutions.

Le 22 mars dernier, l’Assistance Publique des Hôpitaux de Paris a été victime d’une cyberattaque par déni de service (DDoS – Destributed Denial of Service) dont l’objectif est de surcharger les serveurs sous de fausses requêtes pour les rendre inaccessibles.

Les professionnels et particuliers sont également victimes d’intrusions frauduleuses dans leurs systèmes informatiques. Pour mener leurs offensives, les malfaiteurs ont recours à des techniques de types ransomware ou rançongiciel, un logiciel malveillant envoyé sous forme de pièce jointe à un email, qui une fois ouverte, copie, chiffre ou détruit l’ensemble des données.

Parmi les cyberattaques les plus courantes contre les professionnels et particuliers, on retrouve aussi le phishing. Par cette technique, les malfaiteurs tentent de se faire passer pour une société, généralement en envoyant des emails reprenant le nom et le logo de l’entreprise. L’objectif est de récupérer des données personnelles comme des coordonnées bancaires ou d’obtenir des paiements bancaires.

Parmi les cyberattaques par phishing, on retrouve encore des techniques plus ciblées de spear-phising. Celles-ci consistent à envoyer des emails aux salariés de la société et laissant croire que le message provient d’un collègue, d’un supérieur, ou d’un fournisseur de la société. Elles visent alors à récupérer des informations confidentielles ou sensibles de l’entreprise, ou à obtenir des virements bancaires grâce à de faux ordres de virement prétendument émis par le trésorier, comptable ou président de l’entreprise.

Ces cyberattaques impliquent le recours à des usurpations d’identité, à des falsifications de documents officiels tels que des pièces d’identité, faux ordres de virements ou fausses factures, voire à des contrefaçons des éléments distinctifs de la société, tels que des marques, logo, site internet et noms de domaine.

Parmi ces dernières, les malfaiteurs se livrent souvent à du cybersquatting ou typosquatting. Le cybersquatting consiste à enregistrer des noms de domaine reprenant ou ressemblant à une marque ou un nom commercial. Le typosquatting quant à lui consiste à réserver des noms de domaine ressemblant à un marque avec d’éventuelles fautes de frappe ou d’orthographe pouvant être commises par les internautes.

Avec la pandémie de coronavirus, ces techniques de cyberattaques ont été amplement utilisées pour présenter des sites non officiels de téléchargement de fausses attestations ou encore envoyer des emails non officiels d’appels aux dons de professionnels ou d’institutions, conçus pour récupérer des données personnelles et notamment bancaires.

Face à ces cyberattaques, il existe plusieurs solutions pour prévenir et guérir les victimes.

Prévenir, d’abord, les cyberattaques, en mettant en place les mesures de sécurité techniques et organisationnelles nécessaires.

Avec les mesures de confinement liées au coronavirus, les entreprises françaises se sont tournées vers le télétravail pour permettre la poursuite de leur l’activité. Le recours au télétravail est un réel bouleversement dans l’organisation de certaines de ces entreprises et le défaut d’organisation ou le manque de vigilance en matière de cybersécurité les rend plus vulnérables.

Pour renforcer leur vigilance en matière de cybersécurité, le groupement d’intérêt public Action Contre la Cybermalveillance (ACYMA) a publié des recommandations.

Parmi les recommandations techniques figurent l’adoption de solutions antivirales professionnelles permettant de se protéger contre les messages d’hameçonnage (phishing), la limitation des connexions des salariés à l’infrastructure de l’entreprise par l’emploi de VPN, la journalisation des accès et activités des équipements d’infrastructure tels que serveurs, pare-feu, proxy, le renforcement des sauvegardes de données, etc.

A côté de ces mesures techniques, les mesures organisationnelles apparaissent aussi primordiales.

A ce titre, les employeurs sont appelés à offrir à leurs collaborateurs des consignes claires sur l’usage des équipements de télétravail mis à leur disposition et à les sensibiliser aux risques de cyberattaques.

Ces consignes doivent être données et implémentées au travers de politiques de sécurité.

Ces politiques de sécurité permettent d’établir un cadre de règles relatives à l’accès et l’utilisation des équipements d’infrastructure, de décrire les risques associés à l’intégrité et la confidentialité des données et de les anticiper et les contrôler en prévoyant les procédures à suivre en cas de survenance de ces risques et cyberattaques.

Il s’agit d’un outil indispensable de gestion des cyberattaques, de supervision des employeurs et de responsabilisation de leurs collaborateurs.

L’ACYMA préconise d’ailleurs aux employeurs de se préparer à affronter une cyberattaque en évaluant les sources d’attaques possibles et en déterminant la conduite à tenir pour y réagir, notamment sur le plan juridique.

Guérir, ensuite, contre les cyberattaques, en prenant toutes les mesures juridiques utiles.

En cas de cyberattaque, différentes mesures juridiques utiles peuvent être prises.

Un signalement peut être effectué sur le portail en ligne Pharos du Ministère de l’Intérieur, pour les infractions commises sur Internet et, en particulier, sur les cyberattaques tels que l’hameçonnage (phishing), les usurpations d’identité et les escroqueries en ligne.

Ce signalement sera traité par des officiers de police ou de gendarmerie affectés à la plateforme puis transmis aux services compétents de la police nationale, la gendarmerie nationale, les douanes, ou la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DCCRF) en France et à l’étranger (Interpol). Une enquête sera ouverte sous l’autorité du Procureur de la République si les faits correspondent à une infraction.

Une plainte peut également être déposée auprès du commissariat de police ou directement auprès du Procureur de la République, comme pour toutes infractions.

Cette plainte pourra donner lieu à une enquête préliminaire des officiers de police judiciaire, sous l’autorité du Procureur de la République, voire à une instruction devant le juge d’instruction, et les auteurs des infractions pourront être attraits devant les tribunaux, le cas échéant.

Une plainte peut également être déposée auprès de la CNIL, si la fraude implique une violation de données personnelles.

Avec l’entrée en vigueur du Règlement européen sur la protection des données et la réforme de la Loi Informatique et Libertés, celle-ci a vu ses pouvoir de contrôle et de sanction renforcés. Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise. Ces sanctions peuvent également être rendues publiques.

Enfin, des procédures extra-judiciaires devant des instances administratives peuvent s’avérer très efficaces, rapides et économiques, si la fraude implique une technique de cybersquatting ou typosquatting.

Il s’agit des procédures dites « UDRP » engagées devant l’ICANN pour les noms de domaine en .com, .net, .org, etc., ou des procédures dites « Syreli / Parl Expert » menées par l’AFNIC pour les noms de domaine en .fr. Ces procédures se déroulent sur une plateforme en ligne et sont soldées dans un temps très limité. Elles permettent d’obtenir la suppression ou le transfert d’un nom de domaine et donc de faire cesser la fraude réalisée à partir de celui-ci.

Dans la plupart des cas, il est recommandé de cumuler ces mesures juridiques et de se faire assister pour les mener à bien. La qualification juridique des faits et des infractions et la démonstration du préjudice subi par la victime sont primordiales pour que les autorités compétentes s’en saisissent et prononcent des sanctions à l’encontre des malfaiteurs.

Julie Roussel, Avocat et Victoria Quirin, Juriste
R&R Avocats

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs