Prendre un premier rendez-vous téléphonique gratuit

Tag Archives: numérique

Sacha Ghozlan Avocat   →  Blog Large Image   →  numérique
Avocat numérique

Blocage et déréférencement des “sites miroirs” – analyse du décret du 12 juin 2023

Posted on Author By sghozlan

La Première Ministre a publié le 13 juin 2023 au Journal Officiel un décret attendu en application de l’article 6-3 de la loi n°2004-575 du 21 juin 2004, dite LCEN (loi pour la confiance dans l’économie numérique).
Ce décret n° 2023-454 du 12 juin 2023 vise le blocage et le déréférencement des sites miroirs.

AU SOMMAIRE DE CET ARTICLE…

Qu’est-ce qu’un site miroir ?

Les mécanismes issus de la LCEN pour ordonner le blocage et le déréférencement de sites internet.

Les apports du décret du 12 juin 2023.

 

Qu’est-ce qu’un site miroir ?

Un site miroir désigne, au sens de l’article 6-3 alinéa 1er de la LCEN :

« tout service de communication au public en ligne […] reprenant le contenu du service […], en totalité ou de manière substantielle ».

En d’autres termes, un site miroir est un site internet dont l’objectif principal est de fournir une alternative d’accès au contenu d’un site principal, par l’usage d’un URL distinct permettant d’accéder à un contenu similaire.

Les sites miroirs ont été initialement créés pour distribuer des logiciels open source ou des mises à jour de logiciels, et s’assurer qu’ils demeurent accessibles au public en cas de dysfonctionnement, de lenteur ou d’indisponibilité du site internet principal.

Néanmoins, les sites miroirs sont également utilisés pour contourner des restrictions géographiques ou des décisions de justice ordonnant toutes mesures visant à empêcher l’accès au site originel. L’intérêt est alors pour l’éditeur d’un tel site d’en maintenir le contenu accessible, partiellement ou totalement, en dépit d’une décision de justice.

Le site miroir consistera le plus souvent en une substitution du nom de domaine pour permettre au public d’accéder au contenu d’un site internet ayant déjà fait l’objet d’un blocage et d’un déréférencement sur le fondement d’une décision de justice exécutoire.

De tels sites miroirs sont ainsi un obstacle à l’exécution d’une décision de justice exécutoire.

Les mécanismes issus de la LCEN pour ordonner le blocage et le déréférencement de sites internet.

L’article 6 I 7° de la LCEN prévoit que la commission de certaines infractions (l’apologie, la négation ou la banalisation de crimes contre l’humanité, la provocation à la commission de certains actes, l’incitation à la haine, aux violences, à la discrimination ou la pornographie infantile) justifie qu’un site internet soit interdit par décision de justice.

La décision de justice, constatant que l’infraction est caractérisée, ordonnera alors le blocage et le déréférencement du site internet.

Un tel jugement avait déjà été rendu en 2018 concernant un site internet contenant quasi exclusivement des articles racistes, antisémites, homophobes et négationnistes [1].

L’article 6-3 de la LCEN dans sa version issue de la loi n°2021-1109 du 24 août 2021 prévoyait qu’une autorité administrative pouvait demander aux hébergeurs et aux fournisseurs d’accès à internet, ou à toute personne visée par une telle décision de bloquer un site miroir pour une durée ne pouvant excéder celle restant à courir pour les mesures ordonnées. La condition essentielle est que le site principal devait avoir déjà fait l’objet d’une décision de justice en ordonnant le blocage et le déréférencement.

Néanmoins, la LCEN ne déterminait pas quelle autorité administrative aurait la charge de l’exécution de telles mesures.

Les apports du décret du 12 juin 2023.

Le décret du 12 juin 2023 désigne l’autorité administrative en charge de tels pouvoirs : il s’agit de la Direction Générale de la Police et plus précisément de l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC) [2].

Celui-ci recevra dans les sept jours une copie de la décision par le greffe de la juridiction de façon sécurisée. Si l’urgence le justifie, l’OCLTIC pourra recevoir immédiatement copie de la décision judiciaire exécutoire.

L’article 2 de ce décret prévoit qu’en application de l’article 6 I 8 de la LCEN, le président du tribunal judiciaire, statuant selon la procédure accélérée au fond qui ordonne une ou plusieurs mesures propres à prévenir ou faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne peut saisir l’OCLCTIC par un portail officiel ou via une LRAR. Il transmettra les données d’identification du site miroir ainsi que les références de la décision.

Il appartiendra alors à l’OCLTIC d’identifier le site miroir reprenant le contenu visé par une décision de justice exécutoire, de transmettre ces données aux hébergeurs et aux fournisseurs d’accès internet pour qu’ils bloquent et déréférencent le site miroir, comme pour le site principal.

Enfin, en bout de chaîne, le destinataire devra procéder au blocage et au déférencement du site visé.

Une dernière obligation issue du décret impose aux fournisseurs d’accès à Internet de rediriger les utilisateurs cherchant à se rendre sur le site miroir, vers une page d’information du ministère de l’intérieur, indiquant la mesure de blocage ou de déréférencement prévue par l’article 6-3 de cette loi.

Vous avez des questions ? Restons en contact !

Publication initiale sur le site https://www.village-justice.com/articles/blocage-dereferencement-des-sites-miroirs,46580.html?

recours FTX

Quels recours juridiques pour les clients français de l’exchange FTX ?

Posted on Author By sghozlan

C’est parce que certains acteurs systémiques de la finance traditionnelle ont provoqué la crise financière de 2008 que le Bitcoin a été inventé. L’enjeu était alors de se séparer de vieilles pratiques douteuses et promouvoir des acteurs plus transparents. Et pourtant, une nouvelle crise d’ampleur dans les cryptomonnaies met à mal la confiance chez un certains nombre d’investisseurs.

Deuxième plateforme d’échange de cryptomonnaies jusqu’en novembre 2022, la société FTX, basée aux Bahamas, revendiquait un million d’utilisateurs actifs chaque mois et était valorisée à 32 milliards de dollars. Le token (jeton cryptoactif) FTT développé par la société s’échangeait à près de 25 dollars l’unité.

Son fondateur, Sam Bankman-Fried, ancien trader de Wall Street était présenté comme l’homme le plus riche de sa génération et son succès fulgurant dans l’univers des cryptomonnaies lui valait de figurer en Une de nombreuses revues économiques.

Too big to fail ?

Alertés par le concurrent et fondateur de Binance Changpeng Zhao, les autorités américaines ont commencé à se pencher sur la gestion de FTX. Le coup d’œil en valait la peine : spéculation sur des produits cryptoactifs hautement volatiles avec les investissements de ses clients, collatéralisation fondée quasi exclusivement sur le token FTT, versements injustifiés de plusieurs milliards de dollars à la société Alameda Research, délits d’initiés, backdoor dans le logiciel de comptabilité, escroqueries et piratages du wallet de la société.

Bien plus qu’un jeune acteur de la blokchain susceptible de commettre des erreurs, les enquêteurs ont révélé un véritable système d’escroquerie de grande ampleur, comparable à celui mis en place par Bernard Madoff.

En quelques heures les révélations ont provoqué la panique du marché, l’effondrement du cours du FTT et la stupeur chez les investisseurs.

C’est ainsi que le 11 novembre 2022, la société FTX annonçait dans un communiqué de presse retentissant que FTX Trading et 130 sociétés affiliées du groupe débutaient une procédure de faillite sous le régime du droit américain. Dans la foulée, la plateforme fait l’objet d’un piratage massif revendiqué par les Bahamas qui contestent la validité de la procédure de faillite américaine et désignent leur propre liquidateur.

A date, plus de 100 000 débiteurs à travers le monde sont concernés par ce qui s’apparente à la plus importante des escroqueries dans le domaine des cryptomonnaies.

En France, les recours exercés par les investisseurs français semblent bien fragiles au regard de la gravité des faits dénoncés.

En principe, l’article 113-7 du Code pénal prévoit que la loi pénale française est applicable lorsque la victime est française. Mais la pratique s’avèrera bien plus complexe. Les victimes françaises de Bernard Madoff en ont fait la triste expérience.

Si certaines avaient obtenu la désignation d’un juge d’instruction à la suite de dépôts de plainte entre les mains du procureur de la République, beaucoup n’ont pu, 14 ans après les faits, recouvrer leurs fonds ou prétendre au moindre dédommagement financier.

Dans le cas d’espèce, des actions judiciaires seront vraisemblablement initiées aux Etats-Unis à l’encontre du liquidateur et des anciens dirigeants de la société. Mais il est peu probable que Sam Bankman-Fried fasse l’objet d’une procédure d’extradition en France pour des raisons évidentes : il y aurait autant de demandes d’extraditions qu’il y a de nationalités d’investisseurs.

Le droit de la consommation français qui a introduit l’action de groupe en 2014 pourrait être mobilisé si une association représentative de consommateurs décidait d’introduire une action judiciaire. Mais une autre difficulté de taille s’opposerait aux investisseurs français : trouver une personne responsable civilement et solvable. Or, le groupe FTX n’avait aucune entité légale en France.

Aussi, les investisseurs français, particuliers ou institutionnels devront s’en tenir à déclarer leurs créances au liquidateur américain, dans l’espoir de recouvrer leurs fonds.

Cet effondrement brutal ravive la brûlante question de la régulation des acteurs du Web 3.

Pour certains, le règlement européen MICA (sur le marché des cryptoactifs) adopté récemment par le Conseil de l’Union Européenne devrait être enrichi pour encadrer drastiquement un écosystème encore jeune et confronté à des escroqueries et des faillites systémiques.

Gageons que le législateur européen sera plus mesuré. Les technologies fondées sur la blockchain ne sont pas que spéculatives et trouvent des applications concrètes et utiles.

C’est bien pour favoriser l’essor de cette technologie, renforcer des acteurs responsables et protéger les investisseurs qu’une régulation est essentielle.

Si la blockchain veut proposer une protection face aux crises bancaires mondialisées, alors chacun de ses acteurs doit entrer dans un cadre légal et déontologique exigeant et partagé : en somme, la blockchain appelle l’essor d’agents de régulations mondialisés.

Sacha Ghozlan
Avocat au Barreau de Paris
Droit pénal et contentieux des affaires pour les entreprises du numérique
https://sacha-ghozlan-avocat.fr/

Publication initiale sur le site Village de la Justice

Digital Services Act

Digital Services Act : Que va-t-il changer ?

Posted on Author By sghozlan
Digital Services Act
Règlement DSA – Village de la Justice

Le Digital Services Act dit “DSA” doit entrer en application dès 2023 pour certaines très grandes entreprises et à compter de 2024 plus généralement.

Ce règlement a été définitivement adopté par le Parlement européen le 5 juillet 2022 et formellement adopté par le Conseil de l’Union Européenne le 4 octobre 2022.

Ce Règlement particulièrement riche bouleversera les usages numériques sur le territoire de l’Union Européenne.

Qui sera soumis aux obligations prévues dans le Digital Services Act ?

Ce règlement DSA s’appliquera à tout service fourni normalement contre rémunération à distance, par voie électronique et à la demande individuelle d’un destinataire. Plus précisément, il concerne certains “services intermédiaires“.

L’article 3, g du règlement Digital Services Act apporte une définition plus spécifique des services intermédiaires. Il s’agit de trois types de services :

  • Tout d’abord, un service de simple transport” vise un service qui “transmet, sur un réseau de communication, des informations fournies par un destinataire du service ou à fournir l’accès à un réseau de communication”.
  • Ensuite, un service de mise en cache” qui consiste à “transmettre, sur un réseau de communication, des informations fournies par un destinataire du service, impliquant le stockage automatique, intermédiaire et temporaire de ces informations, effectué dans le seul but de rendre plus efficace la transmission ultérieure de ces informations à d’autres destinataires à leur demande”.
  • Enfin, un service d’hébergement” qui vise à stocker des informations fournies par un destinataire du service à sa demande.

D’un point de vue plus concret, il concernera notamment les services de cloud, les fournisseurs d’accès à internet, les moteurs de recherches, les marketplaces, réseaux sociaux, plateformes de partages de contenus, plateformes de voyage et d’hébergement et les boutiques d’applications.

De nouveaux critères pour définir les services intermédiaires au sens du Digital Services Act

Les services intermédiaires seront soumis au respect de certaines obligations selon des critères tels que la nature des produits et services proposés, le chiffre d’affaires réalisé, les risques sociétaux et la taille de l’entreprise. Ces obligations seront proportionnées à ces critères.

Les très grandes plateformes en ligne ou très grands moteurs de recherche devront justifier du respect d’obligations supplémentaires les concernant.

A l’inverse, les très petites entreprises ou micro-entreprises seront exemptes de certaines obligations telles que l’instauration d’un système interne de traitement des réclamations ou la désignation de signaleurs de confiance.

Les services intermédiaires visés sont ceux dont le lieu d’établissement est situé dans l’Union Européenne. Il s’agit également de ceux situés dans l’Union Européenne, quel que soit le lieu d’établissement des fournisseurs de ces services intermédiaires.

Qui bénéficiera de ces nouveaux droits ?

Ce nouveau règlement vise lesdestinataires du service“. Selon l’article 3, b du Digital Services Act il s’agit de : “toute personne physique ou morale utilisant un service intermédiaire, en particulier dans le but de rechercher des informations ou de les rendre accessibles“.

Concrètement, il ne s’agit pas ici de distinguer selon que le destinataire du service est un consommateur ou un professionnel. Dès lors, les entreprises comme les particuliers bénéficieront des nouveaux droits créés par ce règlement et pourront s’en prévaloir.

Quelles sont les nouvelles obligations créées par le Digital Services Act ?

Le premier apport du règlement DSA est l’obligation pour tous les services intermédiaires en ligne de désigner un point de contact unique ou un représentant légal pour coopérer avec les autorités nationales en cas d’injonction.

Cette disposition a vocation à faciliter les procédures judiciaires et extrajudiciaires permettant aux utilisateurs de s’adresser à un responsable du service au sein de l’Union Européenne.

Plus spécifiquement le DSA prévoit trois catégories de nouvelles obligations pesant sur les services intermédiaires répondant à trois objectifs :

Lutter contre les contenus illicites

Il prévoit notamment des nouvelles règles pour combattre les contenus illicites et la désinformation sur internet. L’objectif est de promouvoir un comportement responsable pour les fournisseurs de services intermédiaires pour créer un environnement plus sûr, fiable pour les utilisateurs et leur permettre d’exercer leurs droits fondamentaux.

L’objectif est enfin d’accompagner le développement des entreprises de l’Union Européenne, concurrencées par des géants internationaux.

Les plateformes en ligne auront l’obligation de mettre en place un outil de signalement des contenus illicites. Ils devront alors rapidement retirer ou bloquer l’accès aux contenus illicites.

Il convient de noter que l’article 8 du Règlement DSA prévoit que les fournisseurs de services intermédiaires ne seront pas soumis à une obligation générale de surveillance des informations transmises ou stockées ou de rechercher activement des faits ou des circonstances relevant d’activités illégales.

Il s’agit ici d’une logique établie depuis la loi pour la confiance en l’économie numérique de 2004. En effet, les plateformes ne peuvent être tenues pour responsables, a priori, de contenus publiés par leurs biais. En revanche, ces fournisseurs de services devront traiter avec davantage de rigueur les signalements effectués par les utilisateurs et plus spécifiquement par les signaleurs de confiance.

Le Règlement DSA imposera également des obligations en termes de traçabilité des vendeurs professionnels. Ainsi,

“les plateformes en ligne devront conserver toutes les informations de façon sécurisée pendant la durée de la relation contractuelle avec le professionnel et six mois après la fin de celle-ci afin que toute réclamation à l’encontre du professionnel puisse être déposée ou que les injonctions le concernant puissent être respectées“.

Favoriser la protection des mineurs

Le Règlement DSA fixe comme objectif la protection des mineurs utilisant des plateformes en ligne. Ainsi, les fournisseurs de plateformes en ligne devront s’assurer d’un très haut niveau de respect de la vie privée, de la sécurité et de la sûreté des mineurs, notamment par la participation à des codes de conduite pour la protection des mineurs.

Les législateurs européens estiment que les mineurs constituent un public particulièrement vulnérable et sensible à la publicité ciblée.

C’est pourquoi en matière de publicité, la Règlement s’oppose à ce que les fournisseurs de plateforme en ligne utilisent les données personnelles pour effectuer une publicité ciblée dès lors “qu’ils savent avec une certitude raisonnable que le destinataire du service est un mineur”.

Obligations en matière de transparence

Les entreprises du numérique auront également l’obligation de fournir des rapports annuels sur les activités de modération des contenus auxquelles ils se sont livrés.

L’article 15 du Règlement prévoit que ces rapports comprendront :

  • Pour les fournisseurs de services intermédiaires :
    – Le nombre d’injonctions reçues des autorités des États membres, classées par types de contenus illicites concernés, le délai médian pour informer de sa réception ;
    – Des informations sur les activités de modération des contenus tels que l’utilisation d’outils automatisés, les formation et l’assistance fournies aux modérateurs, le nombre et le type de mesures affectant la disponibilité, la visibilité et l’accessibilité des informations fournies par les destinataires du service ;
    – Le nombre de réclamations reçues par le biais de systèmes internes de traitement des réclamations correspondant aux conditions générales.
  • Pour les fournisseurs d’hébergement : le nombre de notifications soumises classées par type de contenus présumés illicites concernés, le nombre de notifications soumises par les signaleurs de confiance et toute action entreprise au titre des notifications précisant si l’action a été entreprise sur la base de la loi ou des conditions générales.

De plus, les plateformes sont régulièrement mises en cause pour leur traitement peu efficace des réclamations ou des signalements des utilisateurs. C’est pourquoi, le Règlement DSA prévoit qu’elles devront mettre en place un système interne de traitement des réclamations permettant aux utilisateurs ayant fait l’objet de sanctions (compte suspendu, résilié unilatéralement) de les contester [1].

Obligations en matière de publicité ciblée

Les plateformes en ligne devront informer les utilisateurs sur le fonctionnement de leurs algorithmes en matière de contenus publicitaires et profilage et sur les publicités (auteur de la publicité, typologie des personnes ciblées).

Des obligations plus importantes pesant les très grandes plateformes et très grands moteurs de recherches.

L’article 33 du Règlement prévoit des obligations supplémentaires en matière de gestion des risques systémiques pour les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne. Il s’agit selon cet article des entreprises qui “ont un nombre mensuel moyen de destinataires actifs du service dans l’Union égal ou supérieur à 45 millions“.

Des obligations supplémentaires pour certaines entreprises

La Section 5 du Digital Services Act prévoit des obligations supplémentaires pour ces entreprises dont la liste sera fixée par la Commission Européenne.

Plus spécifiquement, en matière de publicité, les très grandes plateformes et très grands moteurs de recherche devront proposer un système de recommandation de contenus non fondé sur le profilage.

Gestion des risques

L’article 34 du Règlement DSA prévoit que ces entreprises devront recenser, analyser et évaluer tout risque systémique découlant de la conception ou du fonctionnement de leurs services et systèmes connexes, y compris des algorithmes ou de l’utilisation faite de leurs services.

Cette évaluation des risques aura lieu annuellement et comprend les risques suivants et notamment tout effet négatif réel ou prévisible relatifs aux :

  • La diffusion de contenus illicites par l’intermédiaire de leurs services ;
  • L’exercice des droits fondamentaux (dignité de la personne humaine, respect de la vie privée, protection des données à caractère personnel, liberté d’expression, pluralisme des médias, droits de l’enfant, droits des consommateurs) ;
  • Discours civique, les processus électoraux et la sécurité publique ;
  • Violences sexistes et à la protection de la santé publique et des mineurs et les conséquences sur le bien-être physique et mental des personnes.

Les institutions européennes estiment que la publication rapport d’évaluation des risques n’est pas suffisante pour des grandes entreprises dotées de moyens techniques, financiers et humains importants. C’est pourquoi, l’article 35 leur impose également d’atténuer les risques systémiques recensés, pour protéger les droits fondamentaux des citoyens de l’Union Européenne.

De plus, ces entreprises devront faire l’objet d’audits indépendants en matière de réduction des risques à leurs propres frais, et au minimum une fois par an dont le contrôle est assuré par l’Union Européenne [2].

Par ailleurs, les algorithmes de leurs interfaces devront être transmis à la Commission européenne et aux autorités nationales compétentes.

Enfin, ces entreprises paieront une redevance de surveillance qui couvre les frais engagés par la Commission Européenne pour mener à bien les missions de surveillance qui lui sont confiées par le Règlement DSA [3].

La création des “signaleurs de confiance”

Dans le cadre de la lutte contre les contenus illicites diffusés sur internet, les plateformes devront coopérer avec des signaleurs de confiance“. L’objectif est ici de promouvoir une corégulation des contenus avec l’aide de nouveaux acteurs. Ce statut sera conféré par le coordinateur des services numériques aux entités qui le souhaitent. Il pourra en être ainsi des associations de lutte contre le racisme et l’antisémitisme, l’homophobie, le négationnisme ou la pédopornographie par exemple.

Ces entités doivent remplir des conditions prévues à l’article 22.2.a du Règlement DSA qui sont :

  • Une expertise et des compétences particulières pour détecter, identifier et notifier des contenus illicites ;
  • Une indépendance à l’égard de tout fournisseur de plateformes en ligne ;
  • L’exercice d’une activité aux fins de la soumission de notifications de façon diligente, précise et objective.

En outre, les signaleurs de confiance devront publier, une fois par an, des rapports détaillés sur les notifications effectuées à l’égard des fournisseurs.

La désignation d’un coordinateur pour les services numériques

Le DSA impose à chaque État membre la désignation d’un coordinateur pour les services numériques, chargé d’en assurer la surveillance et de l’exécution du règlement.

Le coordinateur devra disposera de l’autonomie, du budget et des moyens suffisants pour accomplir ses missions.

Le coordinateur sera également chargé de pouvoirs d’enquête visés à l’article 51 du DSA. Ce pouvoir d’enquête vise notamment :

  • Exiger des informations sur des infractions présumées au règlement.
  • Procéder à des inspections dans les locaux utilisés par les débiteurs des obligations.
  • Demander à tout salarié ou représentant de fournir des explications sur toute information relative à une infraction présumée.

Par ailleurs, le coordinateur disposera d’importants pouvoirs d’exécution :

  • Celui d’accepter les engagements proposés par les fournisseurs pour se conformer au DSA et de rendre ces engagements contraignants.
  • D’ordonner la cessation des infractions, d’imposer des mesures correctives proportionnées à l’infraction ou demander à une autorité judiciaire d’y procéder.
  • Le pouvoir d’imposer des amendes et des astreintes et d’adopter des mesures provisoires.
Restons en contact
Publication initiale sur le site : Village de la Justice 

[1Article 20 du Règlement DSA.

[2Article 36 du Règlement DSA.

[3Art 43 Règlement DSA.

cyberattaque réagir

Réagir à une cyberattaque

Posted on Author By sghozlan

Comment réagir à une cyberattaque ? Quels sont les bons réflexes à adopter en cas de rançongiciel ? Quelles sont les premières mesures à prendre ?

Les cyberattaques visant des entreprises ou administrations se multiplient en France et dans l’Union Européenne. Nombreuses sont les organisations qui ne savent pas comment réagir. Votre Avocat fait le point sur ces enjeux essentiels en matière de cybersécurité. 

Quelques chiffres sur les cyberattaques en France

Début septembre 2022, la Direction Générale du Trésor publiait des chiffres particulièrement inquiétants sur l’augmentation des cyberattaques. Ainsi, elle relevait que :

  • 54% des entreprises françaises auraient fait l’objet d’une cyberattaque en 2021 ;
  • Moins de 0,3% des PME françaises sont couvertes par un contrat d’assurance cyber.

Ces chiffres sont par ailleurs confirmés par le “baromètre du ransomware” publié en juin 2022 par la start-up Anozr Way. Ainsi, les cyberattaques réalisées entre janvier et avril 2022, représenteraient déjà 50% des attaques recensées en 2021. Pour Anozr Way, la France serait le troisième pays de l’Union européenne le plus touché. Le secteur public hospitalier étant particulièrement visé.

Qu’est-ce qu’une cyberattaque ?

Le gouvernement définit une cyberattaque comme “une atteinte à des systèmes informatiques réalisées dans un but malveillant”.

Ainsi, les attaquants peuvent bloquer l’usage d’un site internet, intranet voire d’une administration ou d’une entreprise si elle repose sur un système d’information (SI). On parle alors de sabotage.

Le plus souvent, les cyberattaques reposent sur deux techniques très répandues :

  • le hameçonnage ou “phishing” ;
  • Le rançongiciel ou “ransomeware”.

L’attaque par hameçonnage ou technique du phishing

Dans le cas d’une attaque par hameçonnage, les attaquants usurpent l’identité d’un tiers de confiance (banques, administrations, impôts, fournisseurs d’accès, opérateur téléphonique). Ils transmettent un message contenant une pièce jointe ou un lien frauduleux. En suivant les consignes du fraudeur, la victime se dirige vers un site frauduleux imitant le tiers de confiance.

Ce site va l’inciter à remplir des coordonnées bancaires ou personnelles pour en subtiliser le contenu. 

L’attaque par rançongiciel ou technique du ransomeware

Dans le cas d’une attaque par rançongiciel, l’attaquant utilise la même technique consistant à transmettre au destinataire ciblé un message contenant des liens frauduleux.

En suivant le lien, la victime télécharge à son insu un logiciel qui va chiffrer l’ensemble des données contenues sur l’ordinateur, voire sur le système informatique de l’organisation.

Une fois les données chiffrées, la victime voit apparaître un message l’incitant à payer une somme d’argent, le plus souvent en cryptomonnaie pour obtenir une clé déchiffrage et récupérer les données subtilisées.

Attention : rien ne garantit qu’en payant la rançon demandée, la situation sera rétablie. Le système d’information demeure compromis et les données corrompues.

Comment s’en prémunir ? Quelles précautions en interne ?

Tous les experts en cybersécurité s’accordent à dire que le plus souvent la porte d’entrée dans un système sécurisée repose sur une défaillance humaine. S’il est impossible de faire disparaître totalement le risque d’une cyberattaque, il est néanmoins possible de prendre des mesures efficaces pour s’en prémunir. 

  • Mettre en place des procédures internes de veille et d’alerte ;
  • Former le personnel sur l’utilisation des outils informatiques ;
  • S’adjoindre les conseils d’experts en cybersécurité ;
  • Effectuer régulièrement les mises à jour des logiciels et systèmes d’exploitation ;
  • Utiliser un logiciel antivirus à jour ;
  • Sauvegarder régulièrement ses données sur un stockage externe et sécurisé ;
  • Cartographier les données personnelles et sensibles détenues par l’entreprise ;
  • Désigner un responsable de la cybersécurité ;
  • Au moindre doute, vérifier l’expéditeur d’un message ou mail douteux 

Que faire en cas de cyberattaque ?

L’ANSSI (Agence Nationale de Sécurité des systèmes informatiques) propose un guide assez complet des premières mesures à prendre en cas de cyberattaque. De plus, le gouvernement a mis en ligne une plateforme permettant d’entrer en contact avec des prestataires de proximité spécialisé sur le site www.cybermalveillance.gouv.fr.

Exemples de bonnes pratiques :

  • Ne jamais payer la rançon ;
  • Suivre une procédure établie avec des professionnels de la cybersécurité ;
  • Effectuer une notification à la CNIL d’une violation des données personnelles dans les 72 heures au plus tard après en avoir pris connaissance ;
  • Déposer plainte auprès de la police nationale ou, mieux encore, auprès du procureur de la République ;
  • Déposer plainte en ligne sur la plateforme THESEE du ministère de l’intérieur
  • Former opposition sur les différents moyens de paiement susceptibles d’avoir été compromis.
  • Prévenir les tiers (clients, fournisseurs, partenaires, salariés) dont les données sont susceptibles d’avoir été compromises

Que peut faire votre Avocat pour vous accompagner lors d’une cyberattaque ?

Identifier une violation de données personnelles

Lorsqu’une entreprise ou une administration fait l’objet d’une cyberattaque, il existe un risque fort de violation des données personnelles. L’article 4.12 du RGPD définit une violation de données personnelles comme la

“violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées, ou traitées d’une autre manière, ou l’accès non autorisé à de telles données”.

Ainsi, toute entreprise qui utilise des données personnelles doit sécuriser les traitements de ces données (article 32 RGPD). Il lui appartient de désigner un responsable de traitement. Ce dernier n’aura pas une obligation de résultats mais une obligation de moyens. 

Le responsable du traitement doit veiller notamment au respect des objectifs suivants :

  • confidentialité des données ;
  • intégrité des données ; 
  • Disponibilité des données ;
  • Traçabilité des actions effectuées sur les données ;

Chaque organisation doit disposer de ses propres outils et moyens pour s’assurer du respect de ses obligations, selon la nature des données, leur niveau de sensibilité, leur utilisation. En cas de violation des données personnelles, il est également indispensable d’effectuer une notification documentée des violations constatées auprès de la CNIL. 

En l’absence de signalement, l’organisation s’expose à des amendes administratives et pénales.

Aussi, votre Avocat peut vous accompagner pour rédiger une notification à la CNIL et réagir rapidement auprès des autorités.

Réagir auprès des autorités policières et judiciaires 

Il est ensuite indispensable de ne pas rester isolé. Les autorités policières et judiciaires disposent d’équipes spécialisées dans les cyberattaques. 

C’est pourquoi il est nécessaire de déposer plainte. Le dépôt de plainte peut être effectué au commissariat. Mais pour plus d’efficacité, il est judicieux de déposer plainte entre les mains du procureur de la République territorialement compétent. Cette plainte vise alors une personne identifiée ou contre X, si l’auteur des faits n’est pas connu de la victime.

Il appartient au plaignant de déterminer la nature des faits, la date, d’évaluer autant que possible le préjudice subi et de joindre l’ensemble des éléments de preuve relatifs à la cyberattaque.

En l’absence de réponse dans un délai de trois mois à compter du dépôt de plainte, ou en cas de classement sans suite, il est possible de procéder à un dépôt de plainte avec constitution de partie civile auprès du doyen des juges d’instruction.

La partie civile devra alors verser une consignation. Le juge d’instruction transmet alors la plainte au procureur de la République qui prend des réquisitions qui pourront avoir pour effet de de mander au juge d’instruction l’ouverture d’une information judiciaire.

Votre Avocat vous accompagne alors tout au long de l’enquête ou de l’instruction.

Lorsque le plaignant devient partie civile, il accède au dossier et dispose de l’ensemble des droits accordés à la partie civile. Il est alors possible de formuler des demandes d’actes, des expertises complémentaires. 

Enfin, à l’issue de la procédure, en phase de jugement, la partie civile pourra alors demander l’indemnisation de son préjudice en formulant une demande de condamnation à des dommages et intérêts. 

Vous souhaitez échanger avec votre Avocat ? Contactez-nous