Village de la Justice www.village-justice.com

L’attaque cybercriminelle contre les hôpitaux. Par Jocelyn Ziegler, Avocat.
Parution : vendredi 30 septembre 2022
Adresse de l'article original :
https://www.village-justice.com/articles/attaque-cybercriminelle-contre-les-hopitaux,43799.html
Reproduction interdite sans autorisation de l'auteur.

« Le cyber territoire devient un espace de guerre au même titre que la terre, la mer et l’air. L’informatique devient une arme... ».

Nous continuons notre trilogie sur le vol de données par un article détaillé sur le hacking dans les hôpitaux. Le numérique s’est hissé progressivement dans notre monde contemporain. Le stockage des données dans des logiciels algorithmiques, le développement d’internet, et de la téléphonie mobile (y compris professionnelle), ont contribué collectivement dans une configuration d’un monde rapide et accessible.

La révolution technologique, une nouvelle menace ?

En effet, elle constitue pour autant un danger imminent menaçant individus et entreprises.

Désastreusement, les arnaques financières ont gagné le territoire numérique (a priori sans frontières), mettant en difficultés les entreprises ciblées. S’alimentant des données personnelles stockées sur les systèmes informatiques des entreprises, les hackers usent de leurs positions de force pour demander en contrepartie de ce vol de données, des rançons.

Se cachant derrière leurs écrans, en France ou à l’autre bout du monde, cette opération est dite invisible. C’est en effet un des risques opérationnels les plus importants en entreprises.

En ce sens, le Forum économique mondial a déjà classé l’incident de vol des données de grande ampleur parmi les risques mondiaux les plus susceptibles de se produire. La France figure comme le deuxième pays à y être touché mondialement (après les États-Unis).

Le « ransomhack » dans les milieux hospitaliers.

Récemment, le centre hospitalier Sud Francilien de Corbeil Essonnes a fait l’objet d’une telle attaque. Des données personnelles ont été piratées et les hackers demandaient 10 millions d’euros en contrepartie. Le problème étant que ces données à caractère personnel ne sont pas la propriété de l’entreprise mais d’individus protégés par l’article 9 du Code civil, « chacun a droit au respect de sa vie privée ».

Ces personnes sont aussi protégées par le RGPD (Règlement général sur la protection des données) et la CNIL (Commission nationale de l’informatique et de libertés).

Cette nouvelle menace s’appelle désormais le « ransomhack », une nouvelle forme de cybercriminalité. Les auteurs considèrent que ce vol de données a commencé depuis le RGPD. Les hackers ont trouvé une lacune juridique et en profitent car le droit protège les clients et incrimine l’entreprise. Sa réputation en jeu, l’entreprise accepte souvent de payer les arnaqueurs.

Le vol de données d’un point de vue juridique.

En matière pénale, on peut qualifier cet acte de cybercriminalité.

1. En ce sens, l’article 323-3 punit de 5 ans d’emprisonnement et de 150 000 euros d’amende, « le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ».

2. Cette peine est portée à 7 ans d’emprisonnement et à 300 000 euros d’amende lorsque le système attaqué est mis en œuvre par l’État. Rappelons que l’hôpital, mentionné ci-dessus, est un hôpital public. Ainsi et de ce seul fait, la peine de l’hacker est alourdie. En addition, la CNIL classe le traitement des données de santé comme des données sensibles car portent atteinte aux droits de personnes vulnérables.

3. De même, l’article 226-18 du Code pénal punit « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Revenant aux faits, cette pratique consiste à demander de l’argent en contrepartie des données piratées. Cette menace peut être qualifiée juridiquement comme du chantage.

4. L’article 312-10 du Code Pénal le définit comme étant le fait d’obtenir, en menaçant de révéler ou d’imputer des faits de nature à porter atteinte à l’honneur ou à la considération, soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque.

5. Le chantage est puni de 5 ans d’emprisonnement et de 75 000 euros d’amende.

Concernant le cas de l’entreprise : comment elle peut se défendre contre une telle attaque ?

La cybercriminalité est une opération invisible et les mesures répressives du droit pénal ne semblent pas suffisantes pour dissuader le voleur, car encore faut-il le repérer. Mais en réalité, cette attaque à caractère global occupe de plus en plus l’État qui met tout en œuvre pour aider les entreprises à y faire face.

Pour se défendre :

- L’entreprise peut prouver que la violation ne lui est nullement imputable et bénéficier ainsi d’une exonération de sa responsabilité.
- L’entreprise peut prouver qu’elle n’a pas manqué à ses devoirs, car c’est pris en compte dans le calcul de l’amende.
- Si l’entreprise a inséré une clause de plafonnement de sa responsabilité, elle pourra l’invoquer.

Plusieurs organes aident l’entreprise en faisant des enquêtes.

- L’institut de recherches criminelles de la gendarmerie nationale (IRCGN) avec l’aide du Service technique de recherches judiciaires et de documentation (STRJD). Ce dernier est la référence nationale en termes d’enquêtes en technologie numérique.
- La Brigade d’enquête sur les fraudes aux technologies de l’information (BEFTI).
- L’office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (l’OCLCTIC)

Comment éviter la cybercriminalité en tant qu’entreprise ?

- Anonymisation de données personnelles : en rendant anonymes les données personnelles, il ne peut y avoir un risque d’atteinte à la vie privée de la personne concernée. L’efficacité de cette méthode dépend de 3 critères : individualisation, corrélation et interférence.
- La Pseudonymisation, est une mesure recommandée par l’article 32 du RGPD. Elle consiste à emprunter un nom, un numéro aléatoire etc. en remplacement de l’identité de la personne concernée. Mais cette méthode est réversible.
- La CNIL et l’ANSSII publient aussi des guides en accompagnement des entreprises pour renforcer la sécurité de leurs systèmes.
- La cyber assurance est aussi indispensable. En effet, un arrêt récent a condamné une assurance américaine à indemniser son client, victime de ransomhack à hauteur de 1.4 Milliard de dollars.

Jocelyn Ziegler Avocat Associé https://www.ziegler-associes.com/