Les rançongiciels sont rentrés dans la catégorie des attaques dites « Big Game Hunting ». L’importance de leurs cibles ne cesse de grandir et le préjudice dépasse la simple perte de données ou le paiement d’une rançon (productivité, chiffre d’affaires, réputation et responsabilité). Quels sont les outils juridiques, droits et obligations à connaître ?

Par Me Pierre-Randolph Dufau
Avocat à la cour, fondateur de la SELAS PRD avocats

L e juge français ne semble pas décidé à permettre aux entreprises, victimes d’une telle attaque, de se prévaloir de la force majeure pour s’exonérer de leur responsabilité contractuelle (Cour d’appel de Paris, 7 février 2020).
Bien au contraire, la tendance de la jurisprudence est bien d’exiger davantage de prévention, d’obligations et de responsabilité.

Ainsi, comme le souligne l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, « il est urgent pour les entreprises de mettre en œuvre des mesures pour prévenir [ces] attaques […] et d’apprendre à bien réagir lorsqu’il est trop tard », et cette dernière de publier le 28 janvier 2021, en partenariat avec la DACG, la direction des affaires criminelles et des grâces, le guide « Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? ».

Ce guide, qui reprend certes quelques évidences, reste un outil précieux pour les moins initiés et son respect permet également de réduire la responsabilité de l’entreprise.
Ainsi, il préconise la réalisation de sauvegardes régulières, la mise à jour des logiciels, des systèmes, des antivirus ou encore le cloisonnement du système d’information par la limitation des droits des utilisateurs et des accès internet, et une supervision des journaux.
Au-delà de ces mesures préventives techniques, une étude d’impact et la mise en place de process par l’adoption d’un plan de gestion de crise et de communication permettront aussi de minimiser les risques. Il peut également être opportun de souscrire à une assurance Cyber.

L’implémentation des mesures décrites ci-dessus dans la charte informatique, les contrats de travail ou encore l’insertion de clauses de décharge de responsabilité dans les contrats clients et fournisseurs sont autant de mesures complémentaires qui protègeront l’entreprise et minimiseront sa responsabilité.

Enfin, en cas d’attaque de rançongiciel, au-delà des bons réflexes opérationnels, il convient de prévoir dans la mise en œuvre du plan de gestion de crise Cyber, le respect des délais de déclaration auprès de son assurance, de celui de 72 heures auprès de la CNIL, puis l’information des éventuelles victimes par ricochet avant de déposer plainte. Thésée (pour « Traitement harmonisé des enquêtes et des signalements pour les e-escroqueries ») a pour objectif de permettre aux victimes d’escroquerie de porter plainte directement en ligne.

Pourtant, le dépôt de plainte n’est qu’une étape du parcours du combattant de la victime, car comme indiqué dans un arrêt de la Cour d’Appel de Versailles du 30 juin 2021, frappé d’un pourvoi en cassation, l’entreprise devra pouvoir « démontrer la dégradation concrète de sa réputation ou de son image auprès de ses clients » pour obtenir réparation. Il lui appartient donc aussi collecter et préserver les preuves au plus tôt.

Retrouvez toutes les tribunes juridiques & IT de Me Pierre-Randolph Dufau