Le « rançongiciel » qui infiltre les systèmes informatiques des entreprises
L’affaire WannaCry survenue le 12 mai 2017 a donné raison à la Commission. WannaCry est le nom donné au logiciel de rançon, « ransomware » ou encore « rançongiciel », qui s’est infiltré dans les systèmes informatiques des entreprises. Ces logiciels malveillants ont pour but de se propager par courrier électronique à l’ouverture d’un lien ou d’une pièce jointe. Les données sont dites « prises en otage » par le pirate qui demande le paiement d’une rançon dans un délai imparti pour que la personne puisse récupérer ses données. En France, seule l’entreprise Renault reconnaît avoir fait les frais du logiciel. Toutefois l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) a avoué qu’une dizaine d’autres entreprises françaises auraient été attaquées.
Cependant, l’affaire WannaCry, bien qu’ayant agité la cybersphère, n’est finalement que la répétition d’un échec qui fragilise encore plus la confiance des utilisateurs dans l’écosystème numérique. Yahoo!, Orange ainsi que Sony ont dû faire face à des piratages de données ces trois dernières années.
Les professionnels du secteur de la cybersécurité remontent l’origine du phénomène en 2009 et à l’ouverture des systèmes d’information des entreprises, notamment l’avènement du Cloud computing. Ainsi, les périmètres de sécurité classiques sont dépassés. Aujourd’hui, des prestataires peuvent se connecter directement au cœur des entreprises pour faire de l’administration sur les outils informatiques ou réparer les machines des employés, soit depuis un environnement externe que les entreprises ne maîtrisent pas. Si la vitesse à laquelle la transition numérique s’opère est phénoménale, la réactivité des cybercriminels pour exploiter les failles que la transition laisse derrière elle est sans pareille.
Des conséquences non négligeables pour les entreprises
Premièrement, la cybercriminalité cause des préjudices importants, ce qui conduit à une réflexion sur le management de l’information. Une étude pour IBM a chiffré à 3 millions d’euros le coût moyen pour une entreprise victime de cyberattaques. Le plus intéressant consiste à déterminer les origines des failles ayant permis les cyberattaques. Dans 48% des cas, il s’agit d’une défaillance humaine, preuve que la sensibilisation des collaborateurs en matière de protection du cyberespace n’est pas acquise dans les entreprises. Deuxièmement, la réelle spécificité de ces nouveaux délits réside dans son « avantage » à s’exercer à distance des victimes, de permettre de viser simultanément un très grand nombre de cibles et cela de manière anonyme, donc en toute impunité. Cette absence de responsable, d’auteur des faits, pose un réel problème sur le terrain juridique.
Le cadre juridique de la cybercriminalité en plein chantier
L’article 323-3 du Code pénal qualifie l’infraction que représente le « ransomware » et qui s’applique de manière large à tout type de cybercrimes. Ainsi est défini le cybercrime comme : « le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ». Ce type de crime est puni de 5 ans d’emprisonnement et de 150 000 euros d’amende.
Toutefois, pour infliger une sanction, encore faut-il pouvoir identifier l’auteur des faits. Si le parquet de Paris a ouvert une enquête pour déterminer les auteurs de l’infraction, les chances de les retrouver sont minces. Enfin, dans notre société du Big Data, les individus eux-mêmes ont de la valeur, du moins leurs données personnelles. Pour assurer le bon fonctionnement de l’écosystème numérique face à la cybercriminalité, la tendance est donc la prévention des responsables de la sécurité de nos données à caractère personnel voire à la sanction de ces derniers.
Réussir la transition numérique et le développement de l’écosystème numérique
Ainsi, l’attention est focalisée sur ce que la Loi « Informatique et Libertés » de 1978 qualifie de « Responsable de traitement ». Ce dernier est, selon l’article 34 du la loi « tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». A la veille de l’entrée en vigueur pour mai 2018 du Règlement Européen relatif à la protection des données personnelles, où la sanction maximum contre un responsable de traitement pourra être portée jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaires, il est impératif que la cybersécurité soit au cœur des préoccupations des entreprises. Cette préoccupation dépasse finalement la simple protection de nos données mais doit permettre la transition numérique et le développement de l’écosystème numérique, dans les meilleures conditions. Cet écosystème repose principalement sur la confiance de chaque acteur économique dans la capacité des uns et des autres à assurer la cybersécurité des données.