Comment répondre à une attaque par ransomware - étude de cas

Scénario fictif

TechCo, une entreprise technologique dont le siège est à Londres et qui possède des filiales en France, en Allemagne et en Pologne, a subi une attaque par ransomware. L'attaque par ransomware a crypté une grande partie des données détenues par TechCo (y compris des données personnelles). Le type et la quantité de données personnelles affectées sont inconnus à ce stade. On ne sait pas non plus si les sauvegardes de TechCo ont été touchées.

Les pirates ont contacté le PDG de TechCo, menaçant de diffuser des données personnelles sur le dark web si une rançon de l'équivalent en bitcoins de 500 000 dollars n'est pas versée dans les 72 heures, en échange de la restitution des données.

L'équipe informatique de TechCo a commencé à enquêter sur l'incident. Les enquêtes n'ont pas encore confirmé si les pirates ont, en fait, exfiltré des données (y compris des données personnelles) des systèmes de TechCo. 

Enquêtes factuelles et questions opérationnelles

TechCo doit examiner dès que possible s'il est nécessaire de faire appel à un cabinet d'experts en cybercriminalité pour l'aider dans son enquête. Les équipes informatiques internes peuvent ne pas disposer du temps et de l'expertise nécessaires et des questions peuvent se poser quant à leur indépendance. 

Si TechCo fait appel à un expert en cybercriminalité, elle doit se demander s'il est possible de le faire de manière à ce que tous les rapports produits soient soumis au "legal privilege" (dans la mesure où cela est possible dans les différentes juridictions). S'il n'est pas possible de produire un rapport sous le sceau du secret, TechCo (et ses avocats) doit alors exercer un contrôle minutieux sur la production du rapport afin de s'assurer qu'il n'augmente pas la responsabilité de TechCo pour l'incident. 

Data-driven business models The role of legal teams in delivering success Download the full report >

Questions juridiques et réglementaires

Article 33 du GDPR - notification à l'autorité de contrôle compétente 

En vertu de l'article 33 du Règlement général sur la protection des données (RGPD), un responsable du traitement doit notifier une violation de données à caractère personnel à l'autorité de protection des données compétente au plus tard 72 heures après en avoir pris connaissance, à moins que la violation ne soit pas susceptible d'entraîner un risque pour les droits et libertés des personnes concernées. Actuellement, il n'y a pas de divergence entre le RGPD britannique et le RGPD européen, mais la manière dont l'article 33 est interprété varie selon les juridictions.

En cas d'accès non autorisé et de cryptage de grands volumes de données personnelles (ainsi que d'exfiltration potentielle de ces données) par un pirate, il est probable que le seuil de l'article 33 pour la notification à une autorité de protection des données sera atteint. 

TechCo ne dispose pas d'un "établissement principal" évident dans l'UE. En tant que telle, elle ne peut pas profiter de manière fiable du système de "guichet unique" de l'UE, dans lequel une autorité compétente en matière de protection des données agit en tant qu'autorité de contrôle principale pour l'incident. Cela signifie que, si l'article 33 est déclenché, TechCo doit signaler l'incident à l'autorité de contrôle de chaque juridiction concernée. Et, bien sûr, le Royaume-Uni ne fait plus partie de l'UE, donc même s'il y avait un "établissement principal" dans l'UE, le Royaume-Uni devrait être traité séparément. D'un point de vue pratique, si plusieurs juridictions sont concernées et que la décision est prise de notifier dans une juridiction, il est judicieux de notifier l'autorité de surveillance compétente dans toutes les juridictions concernées. 

1. Royaume-Uni

L'autorité britannique chargée de la protection des données, l'Information Commissioner's Office (ICO), a publié sur son site Web diverses orientations sur la manière dont elle attend des responsables du traitement des données qu'ils évaluent si une violation est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées, y compris, plus récemment, de nouvelles orientations concernant les attaques par rançon.  Si TechCo détermine que l'article 33 a été déclenché, elle doit effectuer une notification initiale dans le délai de 72 heures (l'ICO n'a pas, à ce jour, infligé d'amende aux responsables du traitement des données qui effectuent cette notification avec quelques minutes ou quelques heures de retard). Cette notification pourrait ensuite être suivie d'une mise à jour au fur et à mesure de l'évolution de la situation. Bien que l'ICO dispose d'un formulaire spécifique sur son site web pour signaler les violations de données, l'utilisation de ce formulaire n'est pas obligatoire (les violations peuvent être notifiées par courrier électronique).

2. France 

Si les données personnelles de la filiale française sont affectées par l'incident, TechCo devra faire une notification initiale de l'incident à l'autorité française de protection des données (la CNIL), directement sur le site web de la CNIL en utilisant le formulaire standard en ligne. Lorsque TechCo aura recueilli des informations plus complètes sur l'incident, elle pourra mettre à jour sa déclaration initiale par une déclaration complémentaire et définitive. La CNIL est généralement soucieuse de revendiquer sa compétence sur certains incidents. Ainsi, en cas de doute, il serait judicieux pour TechCo de notifier la CNIL, même si des investigations ultérieures révèlent que la filiale française n'a pas été affectée. 

3. Allemagne

TechCo ayant un établissement en Allemagne, l'autorité de contrôle de l'Etat dans lequel il est situé serait l'autorité compétente en matière de protection des données, à condition que l'établissement ait été affecté par l'incident. L'Allemagne compte 16 autorités de contrôle indépendantes pour chaque État (Bundesland) et une autorité de contrôle fédérale. Certaines autorités de contrôle ont tendance à être plus strictes que d'autres en ce qui concerne les rapports d'incident. De nombreuses autorités de contrôle ont publié des notes d'orientation sur leur approche des incidents de données et sur le moment où elles s'attendent à être notifiées. 

4. Pologne 

L'autorité polonaise de protection des données, l'Urząd Ochrony Danych Osobowych (UODO), attendrait de TechCo qu'elle lui notifie cet incident, si les données relatives à la filiale polonaise sont affectées. La notification peut être soumise soit en remplissant un formulaire électronique dédié disponible sur leur site web, soit en envoyant le formulaire rempli à la boîte de messages électroniques ePUAP (qui est un système spécifique pour communiquer avec les organismes gouvernementaux) ou par courrier traditionnel à leur adresse.

Article 34 du GDPR - données personnelles - notification aux personnes concernées

En vertu de l'article 34 du GDPR, les personnes concernées doivent être notifiées "sans retard excessif" lorsqu'une "violation de données à caractère personnel est susceptible d'entraîner un risque élevé" pour leurs droits et libertés. Il existe certains cas où la communication aux personnes concernées n'est pas requise : (1) lorsque le responsable du traitement a préalablement pris des mesures pour protéger ses données en cas de violation, rendant ainsi les données exfiltrées inutiles (comme le cryptage) ; (2) le responsable du traitement a pris des mesures depuis la violation pour combattre la probabilité d'un risque élevé pour les droits et libertés des personnes concernées ; et (3) cela impliquerait un effort disproportionné, et une communication publique ou similaire serait tout aussi efficace.

1. Royaume-Uni

Dans les faits de ce scénario, nous ne savons pas quel volume ou quels types de données personnelles ont été affectés, comment ils ont été affectés, et pour quelles personnes concernées. TechCo aura besoin d'informations supplémentaires afin d'évaluer si l'article 34 a été déclenché, et devra réfléchir aux enquêtes proportionnées qu'elle doit mener. Une fois qu'elle disposera de plus d'informations, TechCo devra évaluer à la fois la gravité de l'impact potentiel ou réel sur les individus suite à une violation et la probabilité que cela se produise. Pour ce faire, elle devra se référer aux conseils de l'ICO sur les violations de données personnelles et envisager de préparer une évaluation des risques. 

2. France 

La CNIL adopte une approche conservatrice et tend à avoir une interprétation large des situations qui sont considérées comme "à haut risque". Une évaluation du risque/de la situation à haut risque devra être faite au cas par cas par TechCo, en tenant compte des facteurs pertinents (voir le site web de la CNIL pour des conseils).  Dans de nombreux cas, suivant l'approche de la CNIL, il sera nécessaire de notifier les personnes concernées. Les responsables du traitement devront soigneusement peser le pour (conformité d'un point de vue réglementaire) et le contre (mauvaise publicité potentielle) de la notification en cas de doute sur l'atteinte ou non du seuil de " risque élevé ". 

3. Allemagne

L'évaluation de l'opportunité de notifier les personnes concernées dépend dans une certaine mesure de l'autorité de contrôle qui sera compétente pour l'établissement de TechCo en Allemagne. De nombreuses autorités de contrôle en Allemagne ont publié des notes d'orientation avec des exemples pratiques lorsqu'elles voient habituellement un risque probable. 

4. Pologne

Lors de l'évaluation de l'opportunité de notifier les personnes concernées, nous recommandons de procéder à une évaluation des risques. Étant donné que l'UODO suit généralement une approche formalisée fondée sur le risque, la documentation de l'analyse d'impact serait un élément important de toute discussion avec l'UODO.

C. Paiement de rançons

Le paiement d'une rançon soulève des considérations juridiques, pratiques et éthiques. Il s'agit notamment de savoir si le paiement d'une rançon sera efficace (par exemple, aboutira-t-il à la fourniture d'outils de décryptage et l'attaquant respectera-t-il les assurances ?), si le paiement d'une rançon risque d'attirer d'autres attaques, si la responsabilité pénale est engagée et si le paiement a un impact négatif sur la réputation de l'entreprise.  

Royaume-Uni

En droit anglais, le paiement d'une rançon n'est pas en soi illégal. Toutefois, le paiement d'une rançon peut être illégal et constituer une infraction pénale s'il enfreint la législation sur le blanchiment d'argent, les lois antiterroristes ou les sanctions. Si TechCo souhaite envisager de payer la rançon, elle devra faire preuve de "diligence raisonnable" concernant le bénéficiaire avant tout paiement.

L'ICO a récemment publié de nouvelles orientations sur le paiement des rançons et sur l'impact que cela a sur les obligations réglementaires d'un contrôleur de données.  La position de l'ICO est que le paiement d'une rançon n'affecte pas la position selon laquelle les données personnelles ont été compromises.

Les entreprises de certains secteurs réglementés peuvent être soumises à des obligations et des restrictions supplémentaires. 

France 

La CNIL et l'ANSSI (agence nationale pour la sécurité des systèmes informatiques) mettent en garde contre le paiement d'une rançon.  La CNIL ne permet pas aux responsables de traitement de considérer que le risque pour les personnes concernées est moindre du fait du paiement d'une rançon (aucun poids n'est accordé à la promesse du cybercriminel de restituer les données). De plus, les assureurs français sont généralement très réticents à couvrir le paiement d'une rançon.

Allemagne

Il n'est pas certain que le paiement d'une rançon constitue une infraction pénale en droit allemand. Le paiement pourrait potentiellement enfreindre la réglementation relative à la lutte contre le blanchiment d'argent. Les services répressifs allemands ainsi que l'Agence fédérale allemande pour la sécurité de l'information (BSI) recommandent aux entreprises de ne pas payer en cas d'attaque par ransomware. Toutefois, les services répressifs allemands se concentrent généralement sur les auteurs de l'attaque et le risque pratique de poursuites est plutôt faible si une entreprise paie effectivement une rançon. 

Pologne

Il n'existe pas de réglementation juridique directe en Pologne régissant le paiement de rançons. Toutefois, l'évaluation éthique et juridique du paiement de la rançon peut être envisagée du point de vue du concept d'état de nécessité, dans lequel il est nécessaire d'éliminer un danger menaçant directement le bien-être personnel d'une personne, qui est reconnu par le droit polonais.

Si la rançon devait être payée par la branche polonaise de TechCo, il serait conseillé à TechCo de coopérer avec le département spécial cybernétique de la police polonaise, notamment afin d'éviter les doutes liés au transfert de paiements en crypto-monnaie, un outil souvent utilisé dans les activités criminelles liées au blanchiment d'argent.

Réclamations consécutives potentielles 

En vertu de l'article 82 du GDPR, les personnes concernées qui subissent des dommages matériels ou immatériels en raison d'une violation du GDPR ont droit à une indemnisation.

Cela signifie que TechCo est confrontée à la perspective de réclamations potentielles à son encontre par les personnes concernées. La probabilité que des réclamations potentielles à son encontre soient menacées varie selon la juridiction, certaines juridictions ayant développé une " culture des réclamations 

Royaume-Uni

En Angleterre, il s'est développé une culture de "class action" ou de réclamation.  Si TechCo devait notifier aux personnes concernées une violation des données personnelles, elle peut s'attendre à recevoir des demandes d'indemnisation de la part d'un certain nombre de personnes concernées. Pour qu'une demande d'indemnisation aboutisse, une personne concernée doit démontrer que : (1) TechCo a enfreint le GDPR britannique et (2) en conséquence, la personne concernée a subi un dommage matériel ou non matériel (tel que la détresse). 

France

La France n'a pas encore pleinement développé une culture des réclamations. Néanmoins, au cours des dernières années, les associations de consommateurs intègrent lentement le fait que certaines d'entre elles peuvent désormais agir pour réclamer des dommages et intérêts en cas de violation présumée des obligations en matière de protection des données. En effet, en France, la loi a étendu l'action de groupe à la réparation des dommages matériels et moraux subis en raison d'un manquement aux obligations de protection des données incombant à un responsable de traitement ou à un sous-traitant (tel que prévu par la loi française sur la protection des données et par le RGPD de l'UE).

En droit français, chaque personne participant à une action collective a le droit d'être indemnisée individuellement. L'indemnisation dont TechCo pourrait être redevable correspond au préjudice économique subi ; il s'agit de réparer le préjudice réellement subi par la personne concernée.

Allemagne

L'Allemagne ne reconnaît pas les actions représentatives. Le droit civil allemand est très axé sur l'effet compensatoire des demandes de dommages et intérêts. Par conséquent, les demandeurs devront apporter la preuve qu'un dommage s'est réellement produit. Bien qu'il soit possible de demander des dommages et intérêts non matériels, les tribunaux allemands ont tendance à accorder des montants relativement faibles par rapport à d'autres juridictions. Les dommages et intérêts typiques accordés par les tribunaux pour des violations de la protection des données varient entre zéro et 5 000 EUR (par personne concernée). Les demandes auxquelles TechCo peut être confrontée dépendent en grande partie de la nature des données affectées par l'attaque, du fait que les données ont effectivement été exfiltrées et de l'impact de l'incident sur les personnes concernées. 

Pologne 

La Pologne n'est pas un pays où la culture des poursuites judiciaires est élevée. Les compensations accordées par les tribunaux pour les dommages sont généralement faibles, limitées aux pertes monétaires réelles ou futures, avec peu de considération pour la souffrance des victimes et les effets indirects. La principale préoccupation de TechCo en ce qui concerne les violations de données personnelles est le risque d'amendes administratives et la perte de clients (plutôt que les demandes d'indemnisation au titre du GDPR). En outre, la nature des données personnelles peut causer un grave préjudice de réputation aux personnes concernées, ce qui peut se traduire par des réclamations élevées. 

Autres considérations juridiques, réglementaires et relatives à la réputation

TechCo doit examiner comment l'incident affecte les données pour lesquelles TechCo agit en tant que processeur de données, car TechCo aura des obligations GDPR pour notifier les contrôleurs de données concernés.

En dehors du GDPR, TechCo devra examiner si l'incident donne lieu à d'autres considérations légales et réglementaires. Il peut s'agir de la réglementation en vertu des règlements NIS, de la réglementation par d'autres organismes professionnels (tels que la Financial Conduct Authority, au Royaume-Uni), des règles qui peuvent s'appliquer si elle est cotée en bourse, et/ou des obligations contractuelles (en vertu de contrats d'assurance ou envers des contreparties commerciales).

En outre, s'il s'avère que le cyber incident est survenu à la suite d'une infraction commise par un fournisseur tiers, TechCo doit examiner si elle est en mesure d'intenter une action contre ce fournisseur tiers afin de récupérer ses pertes découlant de l'incident.

TechCo doit également veiller à ce que les communications, tant internes qu'externes, suivent un récit conçu pour protéger les intérêts et la réputation de l'entreprise. Les admissions involontaires de responsabilité peuvent et vont entraîner un examen réglementaire et ouvrir la porte à des réclamations ultérieures.

TechCo peut également souhaiter avertir les autorités compétentes chargées de l'application des lois.