S’il y a bien une menace informatique qui est connue du grand public, c’est le rançongiciel.
Récemment, c’est un autre aspect de ce type d’incident qui a été mis en évidence. GDPRHub rapporte en effet trois sanctions, deux prononcées par l’autorité de protection des données roumaine, l’autre par celle de Norvège, à l’encontre de sociétés et d’une municipalité victimes d’un rançongiciel. Evidemment, ce sont le principe d’intégrité et de confidentialité et l’obligation de sécurité qui motivent ces condamnations, dont l’une dépasse tout de même les 300 000,00 euros.
Comment se prémunir de ce risque? Trois actions évidentes sont à la disposition du responsable de traitement, comme du sous-traitant:
1) Sensibiliser : si la mesure est connue, elle revêt une importance particulière dans ce domaine, la fameuse « interface chaise clavier » étant souvent le vecteur de déclenchement ;
2) Réaliser – mais aussi, comme le rappelle la CNIL dans la version 2023 de son « Guide pratique RGPD – Sécurité des données personnelles« , isoler – les sauvegardes ;
3) Cartographier son SI, afin de savoir l’isoler rapidement.
Et en cas de réalisation du risque? Si les données sont chiffrées, il leur faut songer notamment à :
a) Activer le PCA / PRA;
b) Notifier l’incident à la CNIL : si l’atteinte à l’intégrité et à la confidentialité des données dépend du ransomware, l’atteinte à la disponibilité – elle – est presque automatique et devrait donc déclencher cette action. A tout le moins, une inscription au registre des violations semble inéluctable ;
c) Mettre en place des mesures de sécurité palliatives, et notamment une veille sur le darknet pour caractériser une éventuelle fuite de données ;
d) Constituer un dossier de preuves en vue d’un dépôt de plainte.
« Ce qu’il ne faut pas faire », pour reprendre l’expression de la CNIL, c’est de tout miser sur la fameuse assurance des cyber-rançons (nouvel article L12-10-1 du Code des Assurances). En effet, outre qu’elle ne pourrait garantir la rançon qu’en prouvant son assimilation, par le contrat, à une « perte » et qu’elle ne couvrira en aucun cas une éventuelle sanction de la Commission, l’atteinte à l’image ne paraît que difficilement réparable.
Et son indemnisation judiciaire suppose non seulement d’identifier le responsable, mais surtout de caractériser la dégradation concrète de la réputation ou de l’image auprès des clients (CA Versailles, 30 juin 2021, Enablon).