01 79 72 61 62
contact@tlmr-avocats.com

Vigilance cyberattaques – Les bons réflexes pour faire face

Par Henri de la Motte Rouge
06 Avr 2020

Vigilance cyberattaques – Les bons réflexes pour faire face

Dans cette période, les Cyberattaques sont en augmentation significatives. Les particuliers (et notamment les plus vulnérables) sont ciblés, les escrocs redoublant d’ingéniosité et jouant évidemment sur les peurs pour proposer de faux placements pour avoir un revenu complémentaire, des masques, du gel hydroalcoolique, de l’ hydroxychloroquine, etc.

Les entreprises font aussi l’objet d’une très forte menace, en raison de l’utilisation massive du télétravail qui créer des failles de sécurité.  Comment se prémunir ?

 

« Il faut que les entreprises se préparent à faire face à des cyberattaques » comme le rappelait, le vendredi 03 avril 2020, Jérôme Notin, directeur général de la plateforme gouvernementale de protection contre les cyberattaques, dans l’interview donnée pour le journal des Entreprises.

En effet, avec la pandémie de coronavirus, le nombre de cyberattaques des entreprises, des établissements de santé et des particuliers a drastiquement augmenté comme l’illustre dernièrement la cyberattaque du dimanche 22 mars contre les Hôpitaux de Paris, qui a été largement médiatisée et qui s’est matérialisée par l’envoi massif de fausses requêtes provoquant l’interruption de service des serveurs informatiques et bloquant l’accès externe à la messagerie, et aux applications de l’établissement de santé, notamment Skype.

Les cyberattaques se matérialisent par différentes techniques dont :

  • l’hameçonnage (ou phishing en anglais) qui vise à encourager l’internaute à communiquer ses données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Ex : faux message, SMS ou appel téléphonique de banque, de fournisseur d’énergie, etc.
  • le vol de données stockées sur le réseau de l’entreprise ou ses hébergements externes (cloud) à des fins de chantage ou revente par exemple.
  • le rançongiciel (ou ransomware) consistant à chiffrer et empêcher l’accès aux données de

l’entreprise et à les libérer en échange du paiement d’une rançon.

  • les faux ordres de virement 
  • les escroqueries au placement

 

En cette période de confinement, les entreprises plus que jamais font l’objet d’une très forte menace, en raison de l’utilisation généralisée du télétravail qui crée des failles de sécurité

En effet, le télétravail suppose que les collaborateurs :

  • puissent faire face à une désorganisation avec moins de liens humains, ce qui rend les « escroqueries au Président » plus simples, les collaborateurs étant plus vulnérables.
  • se connectent à distance aux messageries professionnelles et aux serveurs et banques de données de l’entreprise, notamment par recours aux réseaux privés virtuels ou aux protocoles d’administration à distance particulièrement vulnérables aux cyberattaques précitées.
  • utilisent leurs ordinateurs personnels qui ne bénéficient généralement pas d’un niveau de protection suffisant en raison notamment de l’absence de proxy ou de mise à jour des antivirus.

 

La multiplication de cyberattaques présente des risques de préjudices potentiellement irrémédiables pour l’entreprise

  • Préjudice économique d’une cyberattaque, direct (la rançon) et indirect (la rupture ou la désorganisation de l’activité)
  • Violation de la confidentialité et du secret des affaires
  • Atteinte à l’image de marque et à la réputation de l’entreprise
  • Responsabilité vis-à-vis des clients de l’entreprise, notamment pour défaut de protection des données à caractère personnel au titre du RGPD,

La protection passe par une vigilance accrue et une sensibilisation des collaborateurs

Chaque opération et notamment bancaire (y compris lorsque l’ordre émane d’un supérieur hiérarchique) doit être réalisée avec une vigilance accrue et particulièrement dès lors qu’on vous adresse un nouveau RIB ou que le virement doit être effectué à l’étranger.

Les autorités ont publié un certain nombres de préconisations pour permettre aux entreprises d’anticiper les risques.

D’un côté, la CNIL, dans son Guide de la sécurité des données personnelles, conseille aux entreprises plusieurs actions de prévention :

  • L’authentification des utilisateurs:
    • En évitant de stocker les mots de passe dans un fichier en clair
    • En évitant de les enregistrer dans son navigateur sans mot de passe maître
  • La protection du réseau informatique interne, à travers :
    • La limite des accès internet en bloquant les services non nécessaires (VoIP, pair à pair, etc.)
    • La mise en place d’un VPN pour l’accès à distance + authentification forte de l’utilisateur (carte à puce, boitier générateur de mots de passe à usage unique (OTP), etc.)
  • La sécurisation de l’informatique mobile, passant par :
    • des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externe, CD-R, DVD-RW, etc.)
    • d’éviter l’utilisation comme outil de sauvegarde ou de synchronisation, les services cloud installés par défaut sur un appareil sans analyse approfondie de leurs CGU et des engagements de sécurité pris par les fournisseurs de ces services.

De leur côté, le gouvernement, à travers son site, et l’ANSSI, préconisent notamment aux entreprises:

  • D’être attentif aux fausses commandes ou aux modifications de virements bancaires frauduleux
  • D’appliquer les mises à jour de sécurité sur les équipements connectés (serveurs, ordinateurs, téléphones…)
  • D’utiliser des mots de passe uniques et solides et d’activer la double authentification chaque fois que possible.

En cas de cyberattaque, vous pouvez solliciter une aide extérieure technique et juridique

Notre cabinet qui associe cette double compétence a été amené à accompagner nombre de clients dans ce cadre pour :

  • Entreprendre des démarches techniques et juridiques d’urgence (principalement auprès des intermédiaires) aux fins d’identification à des fins probatoires et de faire cesser les actes illicites.
  • Conseiller l’entreprise sur ses failles au regard de la protection des données personnelles imposée par le RGPD et au regard de ses pratiques en matière de cybersécurité en vue de limiter les risques de responsabilité et de préconiser une notification à la CNIL lorsque cette dernière apparaît obligatoire.
  • Déposer plainte en saisissant immédiatement les services compétents (BRDA) et le Parquet en charge de ce type d’enquête.

 

Pour rappel les cyberattaques susvisées sont constitutives de sanctions pénales, notamment aux titres :

  • du délit d’accès et de maintien dans un système de traitement automatisé des données (STAD), de suppression ou de modification des données ou d’altération du fonctionnement du système, prévu à l’article 323-1 du Code pénal,
  • du délit d’escroquerie (not. dans le cas du phishing et prévu à l’article 313-1 et suiv. du Code pénal)
  • du délit d’extorsion (dans le cas de ransomware et prévu à l’article 312-1 du Code pénal).

 

Autres actualités

Assurer la validité de ses commandes en ligne : les 3 étapes clés
Les 3 étapes clés pour assurer la validité de ses commandes en ligne ?...
Henri de la Motte Rouge
03 Avr 2023
La cession des droits de propriété intellectuelle : un indispensable !
Logo, site web, la cession des droits de propriété intellectuelle : un indispensable !...
Henri de la Motte Rouge
22 Mar 2023
Tout savoir pour bien rédiger son contrat d’apporteur d’affaires
Comment bien rédiger un contrat d’apporteur d’affaires et sécuriser vos relations commerciales ? Faire...
Henri de la Motte Rouge
23 Jan 2023
La propriété des contenus ChatGPT : enjeux et implications
La propriété intellectuelle des contenus ChatGPT : enjeux et implications ChatGPT et ses contenus...
Henri de la Motte Rouge
16 Jan 2023

EXPERTISE & SERVICES

Expertise
Droit de l'informatique et des technologies (IA, Blockchain, IoT)
Propriété intellectuelle et industrielle
Données personnelles et conformité CNIL - RGPD
Pénal et Cybercriminalité
Droit de l'internet - e-commerce - plateformes - infopreneuriat
Droits à l'image, e-réputation, médias et vie privée
Fiscalité du web et de l'innovation
Droit des affaires et des entreprises
Droit de l'immobilier
Droit du travail et numérique
Droit de la formation
Services
Protection des créations
Signature électronique
Générateur de Politique de Confidentialité conforme RGPD
Avomarque.fr
Legal Design
Pack RGPD

On parle de nous

Sur Twitter
Témoignages
Tim Talent / Andjaro  :  "Le cabinet est notre DPO externalisé. Il nous accompagne avec efficacité dans la conformité RGPD de notre activité et intervient pour notre société sur les aspects IP/IT et coporate." Benoît Ozan Co-fondateur et Directeur Opérations-Finances 
Zabriskie Prod : "Le cabinet est intervenu pour notre société dans la rédaction et négociation de contrats informatiques et nous assiste au quotidien sur nos questions de propriété intellectuelle. A l'écoute, il A l'écoute, il propose des solutions intelligentes et toujours appropriées à nos besoins." Philippe Lemarchand CEO
LearnyBox : “Jean Philippe Touati et Henri de la Motte Rouge nous accompagnent depuis le début de notre Aventure. Ils ont une excellente expertise, anticipent nos problématiques et sont en plus éminemment sympathiques”.  Lorenzo Pancino CEO
Maïka Assistance : "Henri est un excellent avocat, qui est capable de comprendre parfaitement les problématiques des entrepreneurs, en particulier dans le domaine IT et internet. Son approche pragmatique, orientée résultat et économique, m'a permis de sécuriser mon business dans les meilleures conditions". François Solignac CEO
Officentrale.fr : Groupement de développeurs "Le cabinet nous a accompagné dans un contentieux informatique et une négociation délicate. Il dispose d’une forte expertise juridique et technique couplée à un sens de l’humain et du relationnel très appréciable" Jean Marie Henry CEO
Mon code juridique : "Henri est intervenu pour notre société dans la rédaction et négociation de contrats informatiques et nous assiste au quotidien sur nos questions de propriété intellectuelle" Baptiste Lefevre CEO
Fosburit : "Le cabinet a accompagné notre plateforme de financement participatif de projets sportif lors de notre création. Sa maîtrise des enjeux juridiques et techniques des plateformes web d'intermédiation couplé a un sens opérationnel fort nous a permis de lancer sereinement notre activité. Je recommande son expertise". Charles Mahé CEO  
>
<