Cyber-attaque, Données personnelles et sanctions CNIL

L’année 2018 restera dans les annales du droit de la sécurité des systèmes d’information comme celle des deux premières condamnations (publiques) prononcées par la CNIL contre des entreprises victimes de cyber-attaque. Ce n’est bien évidemment pas le fait d’avoir été victime d’une cyber-attaque qui est sanctionné par la CNIL, mais à chaque fois la négligencedes victimes dans la sécurisation de leur système d’information.

En synthèse, le raisonnement de l’Autorité de contrôle française est le suivant : si le système d’information avait été correctement sécurisé par l’attaqué, il n’aurait pas permis à la cyber-attaque de prospérer : la fuite de données à caractère personnel aurait pu être techniquement empêchée. C’est pour analyser le détail de ces décisions de sanction pécuniaire que nous vous proposons cette nouvelle présentation en BD “cyber-attaque, données personnelles et sanctions CNIL“.

La délibération CNIL “DailyMotion” du 24 juillet 2018 comme la délibération CNIL “Uber France” du 19 décembre 2018 sont toutes deux fondées sur l’ancien droit, à savoir la loi “Informatique et Libertés” du 6 janvier 1978 dans sa version V2 du 4 aout 2004 rectifiée parl’Ordonnance n°2011-1012 du 24 aout 2011 (c’est simple, non ?). Pas de doute sur ce point, les cyber-attaques contre DailyMotion (en France) et contre Uber (aux USA) sont antérieures au 25 mai 2018, date d’entrée en application du Règlement UE n°2016/679 du 26 avril 2016.

Mais c’est précisément l’intérêt de ces deux décisions de sanction : être 100% transposable aux obligations DU RGPD en vigueur depuis le 25 mai 2018 !!!

1 CYBER ATTAQUE ???

Il faut faire un (tout petit) peu de technique pour savoir de quoi on parle. Si les notions de “faille zero day” et “d’exploit” ne vous sont pas familières, c’est ici l’occasion de vous documenter. En synthèse, des hackers rentrent dans des systèmes d’information mal sécurisés (par exemple via une vulnérabilité “zero day”) pour y introduire leur logiciel “malveillant” (c’est cela, un “exploit”, un “code d’exploitation”) afin de… tout casser (par exemple, chiffrerdes data avec demande de rançon) ou tout copier (c’est cela, une “fuite de données”) !

2 QUELQUES CYBER-ATTAQUES MARQUANTES ET QUELQUES “MALWARE”

Il semble que ce soit l’Estonie en 2007 qui, la première, ait fait les frais d’une cyber-attaque d’ampleur en provenance de Russie. Ce fut la Géorgie l’année d’après, à l’occasion du conflit territorial avec (encore) la Russie. Le virus “StuxNet” a marqué les esprits en 2010 car il semble avoir permis aux Etats-Unis (apparemment alliés à Israël pour l’occasion) de stopper le développement par l’Iran de son programme d’arme nucléaire.

Mais les cyber-attaques ne sont plus aujourd’hui l’apanage des grandes nations qui s’affrontent dans une cyber guerre secrète et (par définition) sans frontière.

La propagation incroyablement rapide en 2017 des virus “WannaCry” et “NotPetya” qui ont infecté des multinationales et des administrations dans le monde entier en est une parfaite illustration.

Les hackers peuvent être des individus isolés, des groupes d’activistes ou – apparemment – des mafias structurées. Pour en savoir plus sur ces tristes histoires (et en découvrir certainement beaucoup d’autres), consultez wikipedia à l’URL https://fr.wikipedia.org/wiki/Cyberattaque. Manifestement, aujourd’hui, le risque de cyber-attaques est généralisé et plus du tout théorique !

3 CYBER ATTAQUE : LES CHIFFRES QUI FONT PEUR !!!

Pas de bla bla, juste une slide de chiffres relatifs aux cyber-attaques, majeures ou non, recensées au Japon en 2016. A titre d’information, le site web qui héberge mon blog (www.ledieu-avocats.fr) a fait l’objet à ce jour de “68.358 attaques malveillantes” (je cite mon module admin) heureusement bloquées par WordPress, éditeur du logiciel. Selon vous, “attaque malveillante” = cyber attaque ? Ça y ressemble beaucoup, non ? Les chiffres qui font peur à propos du Japon ne sont hélas probablement pas exagérés.

4 TYPOLOGIE (RAPIDE) DES FAILLES DE SÉCURITÉ

Les failles de sécurité ? Ce sont les “trous dans la raquette” qui permettent aux malfaisants derentrer de manière indue dans les systèmes d’information (les sites web, mais pas que). En droit pénal en France, cette action s’appelle un “accès frauduleux dans un système de traitement automatisé de données“. Soit le moyen de rentrer était inconnu, soit il n’existait aucun moyen technique de combler le trou identifié. Dans ce dernier cas, le problème est du ressort de l’éditeur du logiciel concerné. Si ce moyen technique de “rebouchage” est connu, il devrait être proposé par l’éditeur dans le cadre de la maintenance corrective. D’ou l’intérêt de suivre les mises à jour des logiciels que vous utilisez.

Parfois, hélas, les failles de sécurité ne sont que les conséquences de mauvais paramétrages (pas de changement des paramétrages éditeur “d’origine” le plus souvent).

Parfois aussi, le logiciel a été mal testé (voir par exemple la délibération CNIL “Bouygues Telecom” du 26 décembre 2018 à propos d’une faille de sécurité sans cyber-attaque).

5 UNE FUITE DE DONNÉES ?

C’est la conséquence la plus connue de l’utilisation, après une cyber attaque, des données personnelles contenues dans un système d’information : la copie illicite des données et leurdiffusion/commercialisation, par exemple sur les Darknets. C’est pratique, les Darknets, on peut payer en crypto-monnaie de manière très anonyme…

6 FUITE DE DONNÉES” ET DOIT DU “PRODUCTEUR” DU CONTENU D’UNE BASE DE DONNÉES

En droit des bases de données (Directive 96/9/CE du 11 mars 1996 relative à la protection des bases de données), une fuite de données serait très certainement qualifiée “d’extraction” du contenu d’une base de données portant atteinte aux droits de son “producteur“, que les données concernées soient “à caractère personnel” ou non.

Je vous rappelle que porter atteinte aux droits du producteur d’interdire l’extraction d’une partie “qualitativement ou quantitativement substantielle” du contenu de sa base de données est également un délit pénal assez lourdement sanctionné…

7 UNE ATTEINTE À L’INTÉGRITÉ DES DONNÉES !!!

C’est l’autre objectif potentiel d’une cyber-attaque : verrouiller (chiffrer) les données du système attaqué avec (promesse rarement tenue de) déverrouillage (déchiffrement) contre paiement d’une rançon. C’est un chantage vieux comme le monde adapté aux techniques numériques du XXI° siècle. On parle alors de “ransomware” ou de “cryptolocker”… Sans oublier les attaques de pure destruction des data contenues dans un serveur (pour nuire à un concurrent par exemple…).

8 CYBER ATTAQUE : DES LÉGISLATIONS QUI SE TÉLESCOPENT !!!

A partir de la définition de cyber-attaque proposée par wikipedia, nous avons identifié au moins quatre législations applicables à la matière ! Les notions spécifiques de “système d’information” et “d’incident de sécurité” renvoient toutes deux à la Directive N.I.S de 2016 et à la loi française S.R.S.I. du 26 février 2018 et ne ferons l’objet que d’un rappel à lafin de la présentation en BD.

9 CYBER ATTAQUE : UNE “ATTEINTE” À UN SYSTÈME DE TRAITEMENT AUTOMATISÉ DE DONNÉES

C’est le droit commun de la répression des cyber-attaques depuis 1988 : les articles 323-1 à 323-3 Code pénal permettent théoriquement la répression des actes malveillants commis par les attaquants.

Le problème, c’est que ces attaquants sont très difficiles à identifier (“une IP située sur le territoire américain” précise seulement la délibération “DailyMotion” du 24 juillet 2018). Une seule décision récente de condamnation pour “maintien frauduleux dans un système automatisé de traitement de données” : l’affaire “Bluetouff” (TGI Créteil du 23 avril 2013 et Cour d’appel de Paris du 5 février 2014). Comme la répression de l’attaquant n’est manifestement pas suffisamment dissuasive, Bruxelles, avec le RGPD, a changé de politique. la “répression” porte maintenant sur le défaut de sécurisation de l’attaqué. Et les autorités de contrôle de s’en prendre donc à l’attaqué négligent !

10 CYBER ATTAQUE : UNE “VIOLATION” DE DONNÉES PERSONNELLES

Pour appliquer la législation “données personnelles” à une cyber-attaque, il faut que l’attaque porte sur des “données à caractère personnel“. Vous trouverez dans la présentation en BD un rappel de la notion selon la définition posée par le RGPD.

Le risque à identifier par un responsable de traitement est celui d’une éventuelle “violation de données“. Et cette notion est définie de manière particulièrement large dans le RGPD :

L‘accès illicite” à des données personnelles peut être la conséquence d’une cyber-attaque, de même que la “divulgation non autorisée” de ces données (le fait de les rendre publiques comme le pratique par exemple wikileaks).

Pour les ransomware comme cryptolocker, c’est le constat du chiffrement des données personnelles qui peut permettre l’application du RGPD. Il y a alors atteinte à la disponibilité et surtout “altération” des données qui seraient chiffrées contre le gré de l’opérateur du système d’information attaqué (le responsable du traitement ou le sous-traitant, selon le cas).

11 L’OBLIGATION DE SÉCURISATION DES SYSTÈMES D’INFORMATION

Pour éviter autant que possible toute violation des données personnelles qu’il collecte et qu’il traite, le “responsable du traitement(comme d’ailleurs le sous-traitant, l’article 32 RGPD le précise expressément) doit sécuriser son système d’information. Dans quelle mesure ? C’est là tout le problème ! Car si la CNIL rappelle que l’obligation de sécurisation est bien une “obligation de moyens” (délibération CNIL du 7 aout 2014 “société X”), le RGPD ne donne qu’une liste de critères permettant de “garantir un niveau de sécurité” des données personnelles en adéquation avec le risque de “violation de données” :

ATTENTION : si la loi “Informatique et Libertés” s’accommodait d’un obligation de moyens “classique” (et ingérable par la CNIL), le RGPD-GDPR impose sans doute possible uneobligation de moyens renforcée. Car c’est bien au responsable de traitement (ou au sous-traitant) de devoir démontrer, de manière documentée, qu’il a mis en œuvre les “mesures techniques” et organisationnelles appropriées en vue de “garantir” la sécurité de son traitement de données. La réalité des “mesures techniques” nécessaires apparait au fil de la publication des délibérations de la CNIL, d’où l’importance des deux délibérations commentées ci-dessous.

Dans l’affaire Uber France, la CNIL a eu la main assez lourde en affirmant que “la mise en place d’un système de filtrage des adresses IP, quand bien même cela nécessitait un long développement, constituait un effort nécessaire qui aurait dû être planifié dès le début de l’utilisation des services“.

Ce sont donc aujourd’hui les autorités de contrôles qui fixent la mesure de l’état de l’art pour ce qui est de l‘appréciation de la négligence de l’attaqué, et donc du niveau de sécurité des traitements de données !!!

12 CYBER ATTAQUE : L’OBLIGATION DE NOTIFICATION DES VIOLATIONS DE DONNÉES

Cette obligation de notification des violations de données avait pour la première fois été mise en œuvre en 2014 (voir la délibération CNIL du 7 aout 2014 “société X”). Depuis, les quelques contrôles de la CNIL avaient été opérés suite à information de la CNIL par un tiers (par exemple un site web de presse bien informé, comme ZDNET.com dans l’affaire DailyMotion).

A retenir ? Dans le doute, il vaut mieux notifier une cyber-attaque à la CNIL, dans la mesure où la CNIL elle-même a qualifié cette obligation de notification “d’obligation de résultat” (affaire “société X” de 2014 encore). Evidemment (et heureusement !), seules les tentatives de violation de données (i) réussies et (ii) découvertes sont à notifier, pas les tentatives bloquées. La notification doit bien évidemment être opérée à compter de sa découverte par l’opérateur du système d’information.

Il est intéressant de constater en 2018 que, bien que cela soit clair dans le RGPD, les “responsables de traitement” insistent contractuellement de manière presque systématique pour interdire à leurs sous-traitants de notifier directement la CNIL (lorsque la violation intervient dans le système d’information du sous-traitant, bien sûr).

13 CYBER ATTAQUE : LES DÉLIBÉRATIONS CNIL DE 2018

La théorie, c’est important, la pratique, c’est encore mieux. Nous disposons aujourd’hui de deux cas pratiques, grâce à DailyMotion (délibération CNIL n°SAN-2018-008 du 24 juillet 2018) et Uber France (délibération CNIL n°SAN-2018-011 du 19 décembre 2018).

Les faits des deux affaires sont très similaires. A chaque fois, des développeurs laissent dans le code source du site web en développement des “credentials” (login + password) d’accès en clair !!! Une fois que le site web est “mis en production”, c’est-à-dire accessible en ligne par des internautes, ces mêmes développeurs oublient de retirer les “credentials” de la version testdu logiciel (“la clé d’accès en clair ” dans l’affaire Uber France). C’est ballot, comme oubli, non ? C’est clairement – pour la CNIL – de la négligence.

Là dessus, dans les deux cas, des hackers (des délinquants informatiques chevronnés” précise la délibération “DailyMotion”), trouvent une faille de sécurité (des “credentials” non supprimés pour rentrer dans le back office du logiciel dans la délibération “Uber France”).

La délibération “DailyMotion” explique que ces hackers ont alors développé un “code d’exploitation” de la faille (un logiciel spécifique) suffisamment intelligent pour exporterles données sans que DailyMotion, malgré ses outils de détection, ne s’en aperçoive !

La délibération “Uber France” est beaucoup discrète sur le modus operandi des “deux individus extérieurs à la société” (sans doute pour éviter de donne trop de mauvaises idées aux malveillants).

14 CYBER ATTAQUE : LES RAISONS DE LA SANCTION INFLIGÉE ET LE TARIF

Malgré son statut de victime d’une cyber-attaque “en plusieurs étapes, menée par des déliquants informatiques chevronnés, au terme d’une démarche coordonnée sur plusieurs mois”, DailyMotion écope d’une amende administrative de 50.000 €uros (quand même !). Ce qui a sauvé DailyMotion d’une sanction plus lourde ? Une partie des donnés exfiltrées étaient chiffrées (donc inutilisables par l’attaquant).

Dans la délibération “Uber France”, les “credentials” des développeurs ayant quitté la société n’avaient pas été supprimés et restaient utilisables pour accéder aux soutes du logiciel et notamment à la base de données des clients et chauffeurs de Uber. Que recommande “a minima” la CNIL pour éviter le problème à l’avenir ? Le “filtrage des adresses IP” des accès à distance au logiciel.

Apparemment, Uber avait pris soin de “cacher l’affaire” pendant près d’un an, et avait même payé une rançon selon la presse… Une sanction de 400.000 €uros lui est infligée par la CNIL en France

Uber, pour les mêmes faits, a également été sanctionné aux Pays-Bas et au Royaume-Uni (je cite la page web du site de la CNIL datée du 20 décembre 2018) : Le 6 novembre 2018, l’autorité néerlandaise de protection des données a prononcé une amende de 600 000 €uros à l’encontre d’UBER pour manquement à l’obligation de notification de la violation de données. Le 26 novembre dernier, l’autorité britannique a prononcé une sanction de 385 000 Livres pour manquement à l’obligation de sécuriser les données“.

Pour DailyMotion comme pour Uber France, une partie de la sanction décidée par la CNIL a consisté à autoriser la publication de la décision avec le nom des attaqués. C’est cela, la politique du “name and shame” en espérant que la mauvaise publicité attachée au nom de l’attaqué condamné serve d’exemple à ne pas suivre pour les autres. En droit, on appelle cela le principe d’exemplarité de la peine. C’est en application de ce principe que les condamnés à mort étaient exécuté en public

Il est fréquent que la CNIL ne rende pas publiques ses décisions de sanction. Nous n’en sommes alors informés que lorsque le condamné fait appel devant le Conseil d’Etat (c’est le cas pour l’arrêt “éditions Croque Futur” du 6 juin 2018 commenté sur ce blog).

15 L’OBLIGATION DE REMÉDIER À LA CYBER ATTAQUE

La CNIL n’en parle pas dans ses délibérations si ce n’est pour écrire que les attaqués ont fait en sorte de faire cesser rapidement l’attaque une fois détectée. Il n’en demeure pas moins que le RGPD-GDPR impose à l’attaqué de devoir remédier aux violations (article 32 RGPD), c’est à dire de faire cesser les intrusions identifiées. Cette obligation de remédier peut passer par la prise de décisions radicales, comme par exemple la mise hors ligne du site web attaqué. Apparemment, le détail de ces mesures techniques de remédiation est réservé à la CNIL lorsqu’elle intervient suite à une notification de violation (on se demande bien pourquoi…).

16 L’OBLIGATION DE DOCUMENTER L’ATTAQUE ET LES MESURES DE REMÉDIATION

Comme les violations de données doivent être notifiées, il faut que l’attaqué puisse le faire avec tous les détails nécessaires. Cette obligation s’appelle “obligation de documenter (article 33.5 RGPD). En cliquant sur le lien qui suit, vous pourrez accéder au formulaire en ligne de notification à la CNIL. Vous le verrez, la notification d’une cyber attaque demande la capacité de répondre à un certain nombre de considérations assez techniques…

17 CYBER ATTAQUE : LES SANCTIONS RGPD POTENTIELLES ?

Sur l’incrimination du défaut de sécurité, c’est “application du niveau 1” de l’amende administrative prévue dans le RGPD (article 83.4) : soit 10 millions d’€uros, soit pour les entreprises un maximum de 2% du chiffre d’affaires. Ce niveau de sanction vaut pour un défaut de sécurisation comme pour un défaut de notification à la CNIL d’une violation de données.

C’est sur le niveau de sanction pécuniaire que les prochaines délibérations de la CNIL seront lues avec attention car, pour les faits constatés jusqu’au 25 mai 2018 (hypothèse des cyber attaques dont DailyMotion et Uber ont été victimes), la peine maximum encourue en France était de 150.000 €uros puis de 3.000.000 d’€uros (depuis la réforme de la loi “Informatique et Libertés” par la loi n°2016-1321 du 7 octobre 2016 pour une République numérique).

Dans la loi CNIL d’origine (article 43 alinéa 2), la sanction potentielle pour défaut de sécurisation par “imprudence” ou “négligence” était de 20.000 Francs, soit environ 3.000 €uros d’aujourd’hui...

18 CYBER ATTAQUE : LES SANCTIONS PÉNALES “SPÉCIAL FRANCE”

Que serait la France de la Révolution de 1789 sans sa palanquée de sanctions pénales spécifiques, je vous le demande ??? Allez donc lire les articles 226-16 à 226-24 du Code pénal regroupés dans une section intitulée (avec poésie) “Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques“.

Sachant que les “amendes administratives” que la CNIL peut prononcer sur le fondement du RGPD ne sont pas des sanctions pénales, en principe, les amendes CNIL pourraient se cumuler avec d’éventuelles condamnations pénales… Ça sent un peu la double peine, mais bon… Les procéduriers les plus avertis ne manqueront pas de trouver là un argument intéressant à faire valoir devant les tribunaux correctionnels.

19 CYBER ATTAQUE : UN CONSEIL PRATIQUE ?

Il faut bien tirer les conséquences de ces deux condamnations et proposer une porte de sortieaux entreprises (comme aux personnes publiques, d’ailleurs !). La mère de toutes les mesures de sécurité ? Une politique d’authentification solide des accès aux systèmes d’information. Je vous ai même fait un schéma pour ça ! Alors ! La quasi-totalité des sanctions CNIL depuis 2017 portent sur des constats de lacune plus ou moins totale des politiques d’authentification des salariés ou des users des entreprises.

20 CYBER SÉCURITÉ : LA PRATIQUE CONTRACTUELLE ?

Je ne peux décemment pas vous livrer le contenu complet de ma clause en la matière. Juste un extrait… Ça se signe assez bien (après quelques questions et tentatives de ramollissementquand même…) dans les contrats dans lesquels un sous-traitant gère les données personnelles de ses clients donneurs d’ordre (les contrats SaaS par exemple). Pourquoi le terme “personnelles” est remplacé par “numériques” ? Il faudra aller lire la présentation en BD pour le savoir…

21 BONUS (POUR LES ACHARNÉS) : RAPPEL SUR LES “INCIDENTS DE SÉCURITÉ”

Si une cyber attaque ne vise ni n’atteint des données personnelles, reste à envisager l’application de la Directive “N.I.S.” n°2016-1148 du 6 juillet 2016 transposée en France par la loi n°2018-133 du 26 février 2018 en cas de constat “d‘incident de sécurité“.

Si votre entreprise compte plus de 50 salariés ou réalise plus de 10 millions d’euros de chiffres d’affaires, vérifiez que vous ne tombez pas dans la catégorie des Fournisseurs de Service Numérique. Pour celles et ceux qui s’intéressent aux Opérateurs de Service Essentiels ou auxFournisseurs de Service Numérique, je vous invite à cliquer sur les liens http proposés qui vous renverront sur mes présentations (en BD) dédiées à ces notions spécifiques.

La sécurité a un coût. Aujourd’hui, la partie visible de ce coût est celui des sanctions pécuniaires de la CNIL, sans compter le préjudice en terme d’image de marque des négligents condamnés. Il faudrait maintenant que ce qui est perçu dans beaucoup d’entreprises comme une vulgaire dépense presque inutile devienne un investissement. Avec ces deux délibérations de la CNIL, les DSI et RSSI ont dorénavant des arguments sonnant et trébuchant à faire valoir à leur Direction Générale pour penser et organiser la sécurité des systèmes d’information dont ils ont la charge.