Ransomware et responsabilité du prestataire IT pour défaut de conseil préalable sur la sauvegarde des données. Par Karim Amrar, Juriste.

Ransomware et responsabilité du prestataire IT pour défaut de conseil préalable sur la sauvegarde des données.

Par Karim Amrar, Juriste.

799 lectures 1re Parution: Modifié: 5  /5

Explorer : # cybersécurité # responsabilité du prestataire # obligation de conseil # sauvegarde des données

Ce que vous allez lire ici :

Un prestataire informatique a été condamné pour ne pas avoir informé son client des risques liés à l'absence de sauvegardes déconnectées après une cyberattaque. La cour a reconnu sa responsabilité en matière de conseil, en estimant qu'il devait anticiper les besoins en sécurisation des données.
Description rédigée par l'IA du Village

Souvent, les cyber-attaquants tentent de chiffrer, d’effacer ou de rendre impossible l’infrastructure de sauvegarde ciblée, dans le but de ralentir la reconstruction du système d’information impacté et donc d’augmenter leurs chances d’obtenir la rançon.

Une récente décision (CA Rennes, 3ᵉ ch. com., 19 nov 2024, RG n° 23/04627) souligne l’importance pour les prestataires de services informatiques de veiller à la sécurité des systèmes d’information de leurs clients "non-professionnels de l’informatique", et clarifie les obligations contractuelles en matière d’information et de conseil.

-

Pour les services informatiques liés à l’installation d’une nouvelle architecture IT (Technologie de l’Information) considérée comme un produit complexe, le prestataire doit, d’une part, s’assurer que ses prestations répondent aux besoins du client détaillés dans le cahier des charges élaboré par ce dernier, qu’il aura préalablement analysé. D’autre part, le prestataire doit également confronter les besoins exprimés de son client à "l’état de l’art" de la cybersécurité afin de sensibiliser, le cas échéant, aux enjeux liés à des « sauvegardes non connectées », au titre de son obligation conseil et de mise en garde !

L’augmentation de la complexité des projets informatiques et le déficit de pilotage juridique sont susceptibles de provoquer une forte insécurité sur le plan juridique, et un dérapage sur le plan financier.

L’objet du litige dans la présente affaire porte sur l’absence d’un système de sauvegarde déconnecté suite à l’installation d’une nouvelle architecture informatique.

Pour s’affranchir de toute responsabilité, la société « Mismo » (ci-après « le prestataire informatique ») fait valoir que la prestation informatique réalisée répond strictement à l’appel d’offre et au cahier des charges rédigé par la société « [L] Industrie » qui fabrique des portails (ci-après « le client »). Selon le prestataire informatique, la gestion des sauvegardes devait être assurée par le client, sous sa seule responsabilité. Le prestataire informatique ajoute que l’offre de prix ne visait donc pas l’installation de sauvegardes déconnectées et puisque le client avait précisément refusé de régulariser un contrat d’assistance portant sur la prestation de sauvegarde, il ne peut donc se plaindre d’avoir été victime de rançonneurs.

Dans son arrêt du 19 novembre 2024 [1], la Cour d’appel de Rennes souligne que même si « l’offre de prix ne vise pas l’installation de sauvegardes déconnectées » pour satisfaire le cahier des charges du client, le prestataire informatique avait la responsabilité d’informer le client et de l’avertir des risques liés à l’absence de mécanismes de sauvegarde des données en cas de cyberattaque, en tenant compte de la nature de la prestation fournie.

I - Rappel des faits.

En 2019, pour les besoins de son activité, le client a « établi un projet de remplacement des serveurs et de la baie San » pour un coût forfaitaire de 193.525,27 euros TTC.

La proposition commerciale le prestataire informatique du 26 juillet 2019 pour le renouvellement de l’infrastructure porte sur l’installation et la configuration des infrastructures, incluant la configuration des sauvegardes et leur validation ainsi que la rédaction d’un plan de sauvegarde.

Le 25 février 2020, le prestataire informatique a transmis un « projet de contrat d’assistance » au client, sans qu’il ait été ratifié ou exclu explicitement par les deux parties.

Durant la nuit du mercredi 17 juin 2020, le client est cependant victime d’une cyberattaque par rançongiciel causant le chiffrement complet de l’ensemble de son système d’information, dont les systèmes de sauvegarde.

Les conséquences pour le client de l’attaque par ransomware sont les suivantes :

  • Chiffrement de toutes les données administratives, industrielles et économiques ainsi que des données personnelles telles que le numéro de Sécurité sociale des salariés, les RIB des salariés, des clients et des fournisseurs, ainsi que les copies des pièces d’identité de quatre membres de la direction.
  • Arrêt intégral des activités du client durant une semaine, avant de reprendre progressivement par la suite.

Le client s’appuie sur les diagnostics de l’incident et les prélèvements (journaux, configuration, fichiers, traces, ...) réalisés par ses équipes pour imputer les conséquences de la cyberattaque à d’importantes failles du matériel informatique délivré par le prestataire informatique qui aurait permis aux cyber-attaquants de s’introduire sans difficulté dans son système d’information, ces failles ayant été aggravées par une mauvaise configuration du contrôleur de domaine, installé par le prestataire informatique.

Plus précisément, le client identifie que :

  • la perte de l’ensemble de ses données n’a pu avoir lieu que parce qu’il n’existait aucun mécanisme de sauvegardes déconnectées, du réseau de production. Les deux mécanismes de sauvegarde présents étaient directement administrables depuis le réseau de l’entreprise, rendant la tâche aisée pour l’attaquant dès sa prise de contrôle de son système d’information ;
  • les stations de travail et les serveurs ne disposaient pas d’un système antivirus performant et centralisé sur une console d’administration afin de garantir une gestion sécuritaire optimale de son système d’information.


Le prestataire informatique estime quant à lui qu’il a parfaitement répondu aux demandes du client sur la base du cahier des charges établi par ce dernier.

Fort de ses contacts, le client assigne le prestataire informatique devant le Tribunal de commerce de Nantes du fait des failles du matériel informatique et des configurations imputables au prestataire informatique, aux fins de voir condamner ce dernier à lui régler la somme de 482.463,03 euros au titre de son préjudice en raison de ses manquements à son obligation d’information, de conseil et de délivrance.

Le client précise par ailleurs qu’il a dû supporter des charges considérables liées à l’intervention de plusieurs prestataires extérieurs et au travail réalisé par son personnel pour la récupération et la réorganisation des données nécessaires au fonctionnement de ses activités. 


II - La sauvegarde de données : une obligation d’information et de mise en garde à la charge du prestataire informatique.

Après que le Tribunal de commerce de Nantes déboute le client de ses demandes par jugement du 17 juillet 2023 pour ne pas avoir démontré suffisamment la faute du prestataire informatique, le client interjette appel de cette décision.

Devant les juges de la Cour d’appel de Rennes, le prestataire informatique tentera de dégager sa responsabilité en invoquant opportunément d’une part, le fait que le client disposait d’un service informatique compétent et, d’autre part, les prestations de sauvegarde litigieuses ne relevaient pas de ses engagements contractuels, en l’absence de signature du contrat d’assistance proposé.

Dans son arrêt du 19 novembre 2024, la Cour d’appel de Rennes retient que le prestataire informatique a manqué à ses obligations en matière d’information et de conseils pour le condamner à indemniser son client.

Pour ce faire, les juges de la Cour d’appel de Rennes vont souligner que même si le client dispose d’un service informatique de trois personnes, il n’en demeure pas moins qu’il « n’est pas un professionnel de l’informatique ». Par conséquent, il n’est pas doté de compétence particulière en cybersécurité. Les juges de la Cour d’appel de Rennes concluent que ces trois personnes « ne peuvent se voir attribuer les mêmes compétences expertales que celles qui sont revendiquées par la société Mismo qui s’affiche spécialiste en matière de cybersécurité ».

Les juges apprécient in concerto que les informaticiens du client pouvaient tout au plus assurer la gestion du parc informatique au quotidien, mais aucunement installer et/ou repenser une architecture informatique à l’abri de toute attaque puisque précisément, le client a fait appel aux services du prestataire informatique pour réaliser précisément ces prestations.

À cet égard, la cour ajoute que l’absence chez le client de maître d’œuvre pour piloter son projet est sans effet, puisque cette mission «  incombait à la société Mismo spécialisée en ingénierie informatique au regard du coût de son intervention  ».

Les juges de la Cour d’appel de Rennes vont ensuite identifier que le prestataire informatique s’est engagé selon ses conditions générales de vente souscrit à « mettre en œuvre les mesures de sécurité techniques et d’organisation de systèmes de services se conformant aux normes standards et aux usages internationaux applicables dans son secteur d’activités, notamment afin d’empêcher l’accès accidentel ou non autorisé aux infrastructures et données ».

C’est dire que pour les juges de la Cour d’appel de Rennes le fait de ne pas proposer des sauvegardes déconnectées, ou du moins mettre en garde le client sur le risque opérationnel de leurs absences, est contraire à ces « normes standards et aux usages internationaux », notamment aux exigences de la norme internationale ISO/IEC 27001 !

Par conséquent, les juges de la Cour d’appel de Rennes vont retenir que si le prestataire informatique « estimait que le document transmis n’était pas suffisamment précis sur la définition des attentes », alors le prestataire informatique « devait solliciter le client pour faire préciser sa commande ». Au besoin, le prestataire informatique devait « conseiller le client sur l’architecture nécessaire à la sécurisation de ses données et lui signaler que ses travaux ne comportaient pas l’installation de sauvegardes déconnectées ».

Au regard de tout ce qui précède, la Cour d’appel de Rennes condamne le prestataire informatique à verser au client victime de la cyberattaque la somme de 50.000 euros (et non à la somme initialement demandée par le client de 482.463,03 euros) au titre de la perte de nombreuses données causée par le défaut d’information et de conseil du prestataire informatique sur les incidences d’une sauvegarde déconnectée, qui a fait perdre au client la chance d’éviter le sinistre.

Pour évaluer le préjudice, la cour d’appel a précisément pris en compte :

  • Les coûts externes de la remise en état : la cour reconnait que le remboursement des factures pour les frais des prestataires externes qui sont intervenus pour récupérer les données cryptées et permettre une reprise, est justifié.
  • l’impact sur l’image de la société : « Il est acquis que pendant la période de recollement de ses données qui a duré 3 mois, le client n’a pas été en mesure de répondre dans les délais à ses partenaires. Sa réputation a donc été ternie d’autant que certaines données comportaient des informations confidentielles les concernant ».
  • les frais de transport du dirigeant : « La gravité du sinistre justifiait un retour immédiat de la dirigeante de la société [L] Industrie en Bretagne pour qu’elle puisse prendre toute disposition utile pour limiter les incidences du fishing. Son éloignement dans une île de la Méditerranée ne permettait pas un retour rapide sans moyen aérien. Le coût exposé en lien avec le sinistre est justifié ».
  • En revanche les coûts internes ne sont pas retenus : « Les attestations des salariés concernés précisent que le temps de travail consacré à la récupération des données perdues a oscillé entre 70 et 80% de leur temps de travail. Il n’est pas établi que la société [L] Industrie ait versé des salaires au titre d’heures supplémentaires et/ou fait appel à des recrutements dans le cadre de cette surcharge de travail.Ce poste de préjudice de la société [L] Industrie n’est donc pas justifié. La demande est rejetée ».

Le prestataire informatique est donc reconnu fautif pour ne pas avoir proposé à son client une option payante supplémentaire, qui certes ne répondait à aucune demande du client dans l’élaboration du cahier des charges établi par ce dernier, mais qui est une nécessité à anticiper dans le processus de sauvegarde et de récupération des données du client en cas défaillance matérielle, un incident ou une activité malveillante. Ainsi, le Prestataire informatique devait conseiller le client sur l’architecture nécessaire à la sécurisation de ses données et lui signaler que ses travaux ne comportaient pas l’installation de sauvegardes déconnectées, due au titre de l’état de l’art, notamment pour répondre aux exigences de conservation des données issues de la norme ISO/IEC 27001 !


Il découle de cet arrêt remarqué qu’en matière de prestations informatiques comprenant l’installation d’une nouvelle architecture, considérées comme un produit complexe, le fournisseur a l’obligation de s’assurer que ses prestations répondent aux besoins de son client, qu’il aura analysés et confrontés aux meilleures pratiques de l’industrie.

Cette solution est à mettre en perspective avec une décision récente rendue par la Cour d’appel de Grenoble [2] qui avait retenu la faute du prestataire informatique qui n’a pas exécuté son obligation de réaliser une sauvegarde journalière, avec sa conservation pendant sept jours, conformément au devis signé, ce qui a entraîné l’impossibilité pour la société attaquée de pouvoir restaurer les données existantes la veille de l’intrusion. La Cour d’appel de Grenoble fait droit aux demandes de remboursement des frais externes de remise en l’état des données engagées par la société cyber-attaquée : « cette dernière a été contrainte de faire appel à des intérimaires, de sous-traiter diverses prestations techniques pour des chantiers, et qu’il résulte des pièces versées au débat, et notamment des factures fournies par la société Ferreira Bâtiment, que son préjudice au titre des prestations commandées à des tiers s’élève à la somme de 56.559,39 euros HT ». En revanche, les juges grenoblois considèrent que les preuves pour la perte d’une chance d’obtenir un marché et la preuve du coût réel du temps passé par le personnel interne pour la reconstitution des données ne sont pas rapportés par la société cyber-attaquée.

En conséquence, au-delà de l’installation de systèmes de sécurité informatique - tel qu’un pare-feu, des applications antivirus et des mécanismes de chiffrement des données conjugué à l’établissement d’une politique de protection des données claire, il est primordial pour une entreprise de réaliser des sauvegardes régulières de ses données et de son système pour pouvoir le réinstaller dans son état d’origine au besoin, de prévoir des audits périodiques des risques informatiques liés à son infrastructure de sécurité informatique, de définir un plan de reprise d’activité ("PRA") adapté à ses besoins et de prévoir la continuité ses activités en cas d’incident par le déploiement d’un plan de continuité d’activité ("PCA").

Si vous êtes victime d’un ransomware, déconnectez immédiatement l’appareil d’Internet et/ou du réseau informatique et alertez votre prestataire informatique ainsi que les autorités [3]. Le site No More Ransom [4] peut vous proposer des méthodes de déchiffrement de vos données qui peuvent être efficaces dans certaines circonstances.

Ce qu’il faut retenir :

  • Selon les cas, il peut appartenir au prestataire informatique d’informer son client de la nécessité d’adapter, et le cas échéant de modifier son système de sauvegarde, de manière à ce que ses données puissent toujours être sauvegardées et, le cas échéant, restaurées en cas de sinistre affectant les serveurs ;
  • En tout état de cause, le prestataire informatique ne devrait pas s’arrêter aux postulats techniques présentés dans le cahier des charges, mais être proactif dans le conseil et la mise en garde sur l’ensemble des enjeux liés à la prestation, et plus particulièrement lorsqu’ils portent sur des points relevant de « l’état de l’art » ;
  • Les contrats IT conclus avec les prestataires doivent comporter des clauses et annexes négociés qui détaillent le déploiement des mesures de sécurité adéquates des prestations IT réalisées.

Karim Amrar
Consultant droit de la propriété intellectuelle & nouvelles technologies

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

6 votes

L'auteur déclare ne pas avoir utilisé l'IA générative pour la rédaction de cet article.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

[2CA Grenoble, ch. com., 15 févr. 2024, n° 22/00952.

"Ce que vous allez lire ici". La présentation de cet article et seulement celle-ci a été générée automatiquement par l'intelligence artificielle du Village de la Justice. Elle n'engage pas l'auteur et n'a vocation qu'à présenter les grandes lignes de l'article pour une meilleure appréhension de l'article par les lecteurs. Elle ne dispense pas d'une lecture complète.

A lire aussi :

Explorer : # cybersécurité # responsabilité du prestataire # obligation de conseil # sauvegarde des données

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Cybersécurité

Les apports de la loi SREN visant à réguler l’espace numérique. Par Debora Cohen, Avocat.

6 février 2025

Le dispositif contractuel à adopter pour l’entrée en application du Règlement DORA renforçant la résilience numérique du secteur financier. Par Karim Amrar, Juriste.

24 février 2025

Arnaques sentimentales : les méthodes, les moyens de détection et les contre-mesures. Par Sébastien Dupent, Professeur.

23 décembre 2024

Cyberattaques et données numériques de santé. Par Allem Boufallous, Juriste.

16 décembre 2024

La répression du cyberharcèlement. Par Debora Cohen, Avocat.

9 décembre 2024

Site pornographique accessible à des mineurs : qui est responsable ? Par Nathalie Ferrant, Avocat.

8 novembre 2024

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 340 membres, 27886 articles, 127 257 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• [Dossier] Le mécanisme de la concurrence saine au sein des équipes.

• Avocats, être visible sur le web : comment valoriser votre expertise ?




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Réseau de cabinets d’avocats indépendants

 

Facilite l'accès aux professions du Droit

 

Agir en faveur de l’accès au droit

 

 

Cabinet d'avocat

 

Réseau de professionnels du Droit

 

Collectif d'avocats et de médiateurs

 

Cabinet d'Avocats

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Association pour la prévention positive des cyberviolences

 

Bien plus que du droit.

Solutions

Previous Next

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

AI-powered Contract Management

 

1er service entièrement en ligne pour externaliser vos appels

 

Destruction et recyclage de documents confidentiels

 

Association de gestion et de comptabilité pour Avocats

 

Maintenance informatique spécialisée pour les professionnels du droit

 

Logiciels de conformité, risques et éthique

 

Créateur de confiance juridique

 

Solutions d'informations pour professionnels du droit.

 

Lettre recommandée électronique

 

Offres pour les métiers du droit

 

Editeur juridique

 

Aides et Conseils à l'installation des avocats.

 

Traducteurs assermentés

 

Logiciels pour professionnels du droit.

Formateurs

Previous Next

 

Cabinet juridique et organisme de formation

 

Se former aux métiers du Droit

 

Formations courtes ou longues à destination des professionnels du droit

 

La Compétence juridique se recrute !

 

Des formations spécialisées

 

Se former est une chance !

 

Formation, recherche et innovation

 

L’école des nouveaux juristes !

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Sélection Liberalis spécial Jour férié : Paris côté goût, sélection de restaurants.

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis du week-end : « Le Dernier Sacre » à la Galerie des Gobelins à Paris. 

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Podcast] Comment défendre la Justice ? Réponse avec l’ancien garde des Sceaux Didier Migaud.
- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.