Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
Covid-19 et cybermalveillance : n’oublions pas les bons réflexes
1 avril 2020
Cybersécurité / Cybercriminalité

La pandémie génère non seulement une situation de crise sanitaire mondiale mais également une intensification sans précédent des usages numériques.

Chacun continue légitimement de s’informer. Les entités qui le peuvent ont adapté leurs pratiques pour poursuivre leurs activités professionnelles (visioconférence, audioconférence, télétravail des collaborateurs, accroissement du e-commerce ou au contraire suspension de cette activité pour des raisons sanitaires, téléconsultations, etc.).  Ainsi, l’attention des uns et des autres est-elle, à juste titre, concentrée sur la gestion de la crise sanitaire et économique actuelle.

Toutefois, cette période est également susceptible de générer une recrudescence d’actes délictueux, tels que des attaques informatiques et des escroqueries, commis via le réseau Internet. Il est donc nécessaire de rappeler quelles sont les bonnes pratiques que chacun doit observer afin de minimiser les risques.

Quel est l’état des actes de cybermalveillance ?

A ce jour, peu d’informations sont disponibles sur les attaques sévissant actuellement en France. Néanmoins, de nombreuses prestations douteuses ont pu porter sur les attestations de déplacements dérogatoires ou les justificatifs de déplacements professionnels. Un nombre croissant de sites internet offrent des attestations payantes ou à remplir en ligne, alors même que ces attestations sont gratuites et libres d’accès. Le recours à de telles prestations expose les individus non seulement à des risques d’escroqueries mais également à la collecte injustifiée de données personnelles, facilitant de possibles usurpations d’identité par la suite.

De plus, le 22 mars dernier, l’assistance publique-Hôpitaux de Paris (AP-HP) a été la cible d’une attaque DDos ayant eu pour effet de rendre ses serveurs informatiques inaccessibles.

Il convient également de souligner une prolifération de fausses informations. Ainsi, les principaux acteurs du numériques se sont notamment engagés à mettre en avant les sources d’information fiables, et plus particulièrement la page dédiée au coronavirus sur le site du gouvernement.

De plus, les dispositifs de veille mis en place par les plateformes, les réseaux sociaux et les moteurs de recherche seront confortés, affinés et renforcés en lien avec le gouvernement afin d’assurer une réactivité maximale en cas de détection d’informations erronées susceptibles d’engendrer des risques de santé publique. Cette détection doit notamment permettre de produire et de diffuser des réponses fiables et scientifiquement étayées.

Quels sont les principaux points de vigilance ?

La plateforme gouvernementale de prévention et de lutte contre la cybermalveillance a tenu à rappeler que cette situation exceptionnelle offre un terreau fertile à toute sorte d’actions malveillantes.

Ainsi, elle détaille les principaux points de vigilance en matière de cybersécurité et recommande notamment de faire preuve d’une méfiance accrue face aux messages ou appels téléphoniques d’origine inconnue ou inattendue. Il peut en effet s’agir d’opérations de phishing ou de ransomware. Il peut également s’agir d’actes d’escroquerie dans le cadre, par exemple, d’appels aux dons frauduleux.

En outre, il est fortement déconseillé de cliquer sur les liens hypertextes ou d’ouvrir les pièces-jointes en cas de doute et de prendre contact avec l’organisme à l’origine de cette transmission directement pour vérification. Il est également important qu’en pareil cas les collaborateurs en référent à la direction informatique ou à la direction des systèmes d’information. D’une manière générale, il convient de privilégier l’abstention dans des situations de doute.

Il est également recommandé de s’abstenir de télécharger des applications en dehors des magasins officiels des éditeurs pour éviter l’installation d’applications piégées ou encore de vérifier systématiquement la fiabilité et la réputation des sites visités, qu’ils soient employés à des fins d’information ou pour réaliser des achats.

Il convient enfin de veiller à la qualité de l’information consultée notamment afin de se prémunir des fausses informations, qu’elles soient diffusées sur Internet, les forums ou les réseaux sociaux.

Actes malveillants : des cas de force majeure ?

La crise sanitaire est susceptible, dans certaines situations et sous certaines conditions, de constituer un cas de force majeure dans le cadre de l’ exécution d’un contrat.

Tel n’est pas le cas des rançongiciels ou encore d’une virus informatique.

En effet, la Cour d’appel de Paris a précisé que de telles attaques ne peuvent pas être qualifiées de cas de force majeure (CA Paris, Pôle 5, Chambre 11, 7 février 2020, RG n°18/03616).

En l’espèce, une société avait conclu, avec un prestataire, un contrat d’assistance et de maintenance ayant pour objet l’assistance, l’entretien et le dépannage de postes informatiques, la sécurisation et la sauvegarde des données informatiques. Au cours de l’exécution du contrat, cette société avait été victime d’un virus informatique ayant rendu inutilisables les fichiers infectés en les chiffrant. Le prestataire était intervenu mais n’avait pas été en mesure de restaurer les fichiers endommagés.

Quand bien même le fait générateur de cette infection avait été identifié et était imputable à l’ouverture d’un courriel par un collaborateur de la société, la Cour a considéré que la responsabilité du prestataire technique pouvait être retenue, en s’appuyant notamment sur les obligations de résultat stipulées dans le contrat.

La Cour a notamment considéré que « un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité. ».

En conséquence, elle a écarté tout partage de responsabilité, dès lors que l’ouverture du courriel litigieux ne pouvait être considéré comme une faute intentionnelle ou une imprudence.

Cette décision rappelle que même en période de crise, qu’elle soit informatique ou sanitaire, les clauses contractuelles sont susceptibles d’être invoquées, dans les limites de dispositions légales et réglementaires adoptées.

Les acteurs économiques sont donc invités à la prudence et à la mise en place de diligences supplémentaires pour assurer la sécurité de leurs réseaux et de leurs infrastructures dans le contexte actuel.

Mathias Avocats ne manquera pas de vous tenir informés des enjeux et des bonnes pratiques à mettre en œuvre de ce contexte actuel de crise sanitaire.