Rançongiciel : que faire en cas d'attaque

03.03.2021

Les attaques récentes par rançongiciels des hôpitaux de Dax et Villefranche-sur-Saône rappellent l'enjeu majeur que représente la sécurité informatique pour l'activité d'un organisme, qu'il soit privé ou public.

Une telle menace, pour les organismes mais aussi pour les droits et libertés des personnes physiques qui en sont victimes, est prise très au sérieux par les acteurs du secteur. Le 18 février 2021, le gouvernement français a d’ailleurs annoncé « Un plan à 1 milliard d’euros pour renforcer la cybersécurité » qui devra permettre de renforcer la lutte contre la cybercriminalité en France.

Remarque : mardi 9 février 2021, l’hôpital de Dax a fait l’objet d’une cyber attaque par raçongiciel qui a bloqué l’ensemble du système d’information médical, financier et de communication qui a considérablement impacté l’activité de l’établissement. Un scénario similaire a eu lieu à l’hôpital de Villefranche-sur-Saône, occasionnant d’importants problèmes de fonctionnement.

Un Rançongiciel (ou « Ransomware » en anglais) est « un logiciel malveillant qui bloque l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès » selon l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Une fois la machine infectée, les données sont irrécupérables sans une clé de chiffrement, détenue par les pirates.

Les attaques par rançongiciel sont de plus en plus courantes : l’ANSSI a ainsi recueilli trois fois plus de signalement en 2020 qu’en 2019. L’Agence relève également une évolution des tendances : ciblage d’un organisme précis « Big Game Hunting », c’est le cas notamment pour les attaques d’hôpitaux ; double extorsion avec menace de publication des données ; et même le « Ransomware-as-a-service » ou « Raas » avec la fourniture du rançongiciel sous la forme d’un service informatique sur le marché de la cybercriminalité (ANSSI, Etat de la menace rançongiciel, 1er févr. 2021).

Il est indispensable, pour les organismes, de prendre en compte cette menace et de mettre en œuvre les mesures permettant de la limiter.

Comment ça fonctionne ?

Des pirates informatiques peuvent utiliser des logiciels mis en vente sur le « Darknet », les rançongiciels, qui leur permettent de mettre très facilement en place des campagnes de piratage.

L’objectif est d’extorquer de l’argent à la victime en échange du déchiffrement et de la restitution des données corrompues.

Tout le monde est susceptible d’être concerné. En effet, les stratégies adoptées par les pirates sont multiples : certains s’attaquent aux grosses organisations susceptibles de payer des sommes importantes,  d’autres mettent en œuvre des campagnes massives, plus simples, sans cibler leurs victimes.

Le plus souvent, les rançongiciels fonctionnent en exploitant les vulnérabilités connues dans les logiciels, dont les correctifs n’ont pas été mis à jour par la victime ou en s’appuyant sur les vulnérabilités humaines :

  • cliquer sur une pièce jointe (phishing) ;

  • naviguer sur des sites internet non-sécurisés ;

  • insérer une clé USB non vérifiée ;

  • intrusion par des accès à distance.

Quels sont les risques ?

Les attaques par rançongiciel présentent des risques multiples. Pour l’organisme qui en est victime, le risque correspond aux pertes financières et aux pertes d’exploitation, faute de pouvoir accéder aux données, mais aussi à l’atteinte à l’image de l’organisme et la perte de confiance des clients et partenaires.

Les violations de données ont aussi des conséquences directes sur les personnes dont les données sont compromises : usurpation d’identité, risques pour la santé lorsque des hôpitaux sont touchés, perte de droits, …

La menace que représente les rançongiciels, en plus des risques opérationnels et financiers, et éventuellement, à la perte des données, présente des risques de sanction des autorités administratives.

En effet, s’il apparaît que les données ne sont pas suffisamment sécurisées, la CNIL peut prononcer une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires de l’organisme (RGPD, art. 85) et les deux tiers des sanctions prononcées par la CNIL à ce jour sont fondées sur un manquement relatif à la sécurité des données.

Que faire en cas d'attaque ?

L’ANSSI a publié plusieurs guides et rapports pour accompagner les organismes en cas d’attaque ou pour mettre en place les mesures permettant de prévenir les risques (ANSSI, Attaques par rançongiciels, tous concernés Comment les anticiper et réagir en cas d’incident ?  ;  Etat de la Menace rançongiciel, 1er févr. 2021).

Etape 1 : réponse immédiate

  • débrancher la machine infectée (ordinateur, tablette, photocopieuse, serveur…) du réseau internet ou du serveur ;

  • alerter le service informatique ou la direction des systèmes d’information (DSI) de l’organisme ;

  • ne pas payer la rançon demandée : il arrive régulièrement que les données ne soient pas déchiffrées, et donc pas restituées, même après paiement.

  • conserver toutes les preuves relatives à l’attaque : heure et date de l’évènement, description de l’évènement, mesures mises en œuvre.

Etape 2 : réponses juridiques et techniques

Les réponses juridiques :

  • notifier la violation à la CNIL dans le cas où des données à caractère personnel sont concernées et qu’il existe un risque pour les droits et libertés des personnes concernées. Une telle notification doit intervenir dans les 72 heures après avoir connaissance de l’attaque ;

  • notifier à l’ANSSI si le système d’information est un système d’information d’importance vitale (uniquement pour les OIV (organismes d'importance variable) ;

  • déposer plainte auprès de la police ou de la gendarmerie. En effet, de tels procédés peuvent relever de l’extorsion de fonds (C. pén., art. 312-1 – passible de 7 ans d’emprisonnement de 100 000 euros d’amende) ou d’une atteinte à un système de traitement automatisé des données - STAD (C. pén., art. 323-1 – passible de 150 000 euros d’amende). La détention ou la cession d’un rançongiciel est passible des mêmes peines.

Remarque : un arrêté du 26 juin 2020 prévoit la mise en place du télé-service « Thésée », plateforme qui permettra de porter plainte de manière simplifiée pour les victimes d’une infraction commise sur internet.

Les réponses techniques :

  • identifier la source de l’attaque pour prendre les mesures correctives nécessaires ;

  • mettre en place une méthode de désinfection et de déchiffrement ;

  • restaurer les copies de sauvegarde des fichiers perdus lorsqu’elles sont disponibles ;

  • renforcer les mesures de sécurité des systèmes d’information de l’organisme.

Remarque : il faut garder en tête que les pirates peuvent attaquer plusieurs fois un même organisme. Il est donc indispensable de mettre en œuvre rapidement des mesures correctrices efficaces.

Que faire pour limiter les risques ?

  • Avoir conscience du risque: un des premiers moyens de limiter le risque et de le connaître et d’en avoir conscience. La mise en place d’actions de sensibilisation des collaborateurs de l’organisme est fortement recommandée : « faux – phishing » pédagogique, formation à la cyber sécurité, diffusion des « bonnes pratiques » ;

  • Maintenir à jour ses logiciels, antivirus et pare-feu. Le plus simple est d’activer l’option de téléchargement et d’installation automatique des mises à jour ;

  • Assurer un minimum de sécurité, en s’appuyant sur les guides de la CNIL et de l’ANSSI, et notamment cloisonner le système d’information ;

  • Faire des sauvegardes régulièresdes données, déconnectées du système d’information ;

  • Utiliser des mots de passe complexes, conformément aux recommandations de la CNIL et de l’ANSSI ;

  • Evaluer l’opportunité de recourir à une assurance cyber: les assurances cyber permettent d’assurer l’organisme contre les risques de cyberattaque et notamment les pertes d’exploitation et les coûts de reconstruction des données. Attention, les amendes administratives de la CNIL, en cas de manquement à la sécurité par exemple, ne sont pas assurables ;

  • Préparer un plan de réponse aux cyberattaques : anticiper une attaque et les mesures à mettre en place et cartographier le système d’information pour pouvoir intervenir rapidement.

En publiant une documentation abondante et riche sur le sujet de la cyber sécurité, la CNIL et l’ANSSI donnent aux organismes des moyens de faire face et de se prémunir contre des violations de données. Le non-respect des recommandations contenues dans cette documentation par les organismes pourrait relever de la négligence coupable.

Les organismes ont donc l’obligation de mettre en œuvre, en interne, et via la direction des systèmes d’information, leur délégué à la protection des données, juristes dédiés ou conseils externes, les moyens permettant de prévenir et de faire face aux attaques informatiques.

Cabinet Vigo, Cabinet d'avocats au Barreau de Paris

Nos engagements