+32(0)475337590

info@lawgitech.eu

Web Design

Your content goes here. Edit or remove this text inline.

Logo Design

Your content goes here. Edit or remove this text inline.

Web Development

Your content goes here. Edit or remove this text inline.

White Labeling

Your content goes here. Edit or remove this text inline.

VIEW ALL SERVICES 

Phishing et ransomware : outils et obligations juridiques

By Lawgitech

10 octobre 2024
Phishing et ransomware : outils et obligations juridiques

Introduction

Phishing et ransomware, quelles sont les outils et les obligations juridiques pour se prémunir de ces attaques ?

Les attaques de phishing et ransomware sont devenues monnaie courante, affectant des organisations de toutes tailles et de tous secteurs d’activité. Leur impact ne se limite pas aux pertes financières mais inclut également la perte de données sensibles ou à caractère personnel, des interruptions d’activité, et des violations de réglementations strictes telles que le RGPD, la Directive NIS2 et le Règlement DORA. Cet article aborde les techniques employées par les cybercriminels, les conséquences potentielles des attaques, ainsi que les obligations juridiques des entreprises pour se prémunir de tels risques.

Comprendre les attaques : Phishing et ransomware

Phishing

Le phishing consiste à duper des victimes en se faisant passer pour une entité de confiance afin de collecter des informations sensibles telles que des identifiants ou des informations bancaires. Ces attaques se présentent souvent sous forme d’e-mails trompeurs comportant des liens vers de faux sites Web qui imitent ceux d’institutions légitimes afin d’obtenir les données de connexion. Une compromission par phishing peut permettre ensuite un accès non autorisé aux systèmes attaqués, facilitant ensuite des attaques plus graves, comme l’installation de ransomwares, le vol de données, etc.

Ransomware

Le ransomware est un logiciel malveillant qui chiffre les données d’une cible, empêchant ainsi l’accès jusqu’à ce qu’une rançon soit payée. Les cybercriminels utilisent souvent des techniques de phishing pour introduire ces malwares dans les systèmes de l’entreprise. Ces attaques peuvent avoir des conséquences dévastatrices, non seulement en termes de perte de données mais aussi en créant des interruptions prolongées de l’activité de l’entreprise.

Le cadre juridique :

Différentes législations imposent des obligations relatives à la cybersécurité dont voici quelques exemples non exhaustifs :

RGPD : Article 32 – Sécurité des données à caractère personnel

L’article 32 du RGPD impose aux responsables du traitement de mettre en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité approprié au risque. Cela comprend notamment la protection contre des attaques telles que le phishing et le ransomware en mettant en place les mesures suivantes :

–  Pseudonymisation et chiffrement des données personnelles :

  • Pour la pseudonymisation, des outils tels que ARX Data Anonymization Tool permettent d’anonymiser et de pseudonymiser les données tout en évaluant les risques de ré-identification.
  • En matière de chiffrement, VeraCrypt offre des solutions pour chiffrer des volumes de données, et GnuPG peut être utilisé pour chiffrer des fichiers et des emails.

–  Maintien de la résilience et de la disponibilité des systèmes informatiques, incluant des sauvegardes régulières :

  • Keepalived peut être utilisé pour assurer la haute disponibilité en cas de défaillance matérielle, tandis que HAProxy permet de maintenir la résilience des services grâce à la répartition de charge.
  • Pour les sauvegardes, des solutions telles que Bacula ou Duplicity offrent des options de sauvegarde et de restauration de données chiffrées pour garantir la disponibilité des informations.

–  Tests réguliers des mesures de sécurité afin d’évaluer leur efficacité et de réagir rapidement aux menaces :

  • Pour tester la sécurité des systèmes, des outils comme OWASP ZAP et Metasploit permettent d’identifier des vulnérabilités et de mener des tests de pénétration.
  • Des solutions d’audit comme OpenSCAP et Lynis permettent de vérifier la conformité des systèmes aux exigences de sécurité.

–  Plan de Reprise Après Sinistre (PRS) pour rétablir la disponibilité des données en cas d’incident :

  • Des outils de sauvegarde tels que Bacula et Duplicity sont utilisés pour récupérer les données rapidement après un incident.
  • Pour surveiller la disponibilité des services et détecter des incidents, des outils de monitoring comme Nagios et Prometheus peuvent être mis en place.

 

Obligations de sous-traitance : Article 28 du RGPD

En cas de sous-traitance des opérations informatiques de traitement des données à caractère personnel, l’article 28 du RGPD exige que le contrat de sous-traitance contienne des clauses assurant des mesures de sécurité équivalentes à celles du responsable du traitement, incluant des clauses précises sur la notification des incidents. Il est donc important de vérifier les contrats de sous-traitance.

Directive NIS2 : Sécurisation et réponse aux incidents

La Directive NIS2, transposée en droit belge par la loi du 26 avril 2024, renforce les obligations des entreprises dites essentielles (par exemple celles du secteur public, de la santé, de l’énergie ou des infrastructures numériques) en leur imposant plusieurs obligations strictes :

  • Notification des incidents graves dans un délai de 24 heures après la prise de connaissance de l’incident.
  • Mise à jour détaillée dans les 72 heures suivant l’incident pour fournir davantage d’informations sur la nature et l’impact de l’incident.
  • Rapport final dans le mois qui suit, incluant des conclusions sur la gestion de l’incident et les mesures correctives prises.
  • Mise en place de mesures de prévention et de protection afin de minimiser la probabilité de futurs incidents, incluant des audits réguliers de la sécurité des systèmes et des tests de vulnérabilité.
  • Formation continue du personnel pour sensibiliser aux cybermenaces et réagir de manière appropriée aux incidents.

En cas de compromission par ransomware ou phishing ayant un impact significatif, il est crucial de respecter ces délais sous peine de sanctions.

Le CCB (Centre cybersécurité belge) propose d’ailleurs le CyberFundamentals Framework qui est un ensemble de mesures concrètes visant à protéger vos données, à réduire considérablement le risque des cyberattaques les plus courantes et à augmenter la résilience cybernétique de votre organisation. Le cadre est basé sur :

  • quatre frameworks de cybersécurité couramment utilisés (NIST CSF, ISO 27001 / ISO 27002, CIS Controls et IEC 62443) ; et
  • des données historiques anonymisées de cyberattaques réussies. Grâce à une analyse rétrospective, nous sommes en mesure d’évaluer quel pourcentage des attaques passées les mesures du Cadre vous protégeront.

Les Framework ainsi que des outils de mise en place sont disponibles ici : https://atwork.safeonweb.be/fr/tools-resources/cyberfundamentals-framework

Règlement DORA : Résilience opérationnelle

Pour les entreprises du secteur financier, le règlement DORA impose également la mise en place de mesures de résilience numérique contre les cyberattaques. Cela inclut des plans de continuité pour garantir la reprise des activités en cas d’attaque ainsi que la gestion rigoureuse des risques numériques, notamment en cas de compromission via phishing ou ransomware.

Mesures Proactives à Adopter

Les entreprises doivent déployer des stratégies préventives pour minimiser le risque de compromission et assurer la conformité aux exigences légales. Parmi ces mesures :

  • Formation du personnel : Éduquer les employés à reconnaître les tentatives de phishing est essentiel, car l’erreur humaine est souvent le maillon faible de la sécurité.
  • Sécurité technique : Déployer des systèmes de détection d’intrusion, des antivirus et des pare-feux pour assurer la protection des systèmes.
  • Sauvegardes et PRS : Assurer des sauvegardes régulières et disposer d’un Plan de Reprise Après Sinistre bien testé pour minimiser l’impact des ransomwares.

Conséquences juridiques en cas de manquement

Les entreprises qui ne respectent pas leurs obligations en matière de cybersécurité s’exposent à de lourdes sanctions :

  • En vertu du RGPD, des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial peuvent être imposées en cas de non-conformité.
  • La Directive NIS2 prévoit des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
  • Le Règlement DORA permet aussi aux autorités de sanctionner les entreprises financières en cas de non-respect des obligations de résilience.

Vers une régulation ePrivacy ?

La futur directive ePrivacy, encore en discussion, vise à renforcer la protection des communications électroniques, notamment lors des attaques de phishing ou de ransomware. Ces nouvelles exigences pourraient ajouter des obligations supplémentaires concernant la notification des incidents et la sécurisation des métadonnées.

Conclusion

Les entreprises doivent adopter une approche proactive face aux cybermenaces telles que le phishing et le ransomware. Cela implique non seulement la mise en place de mesures techniques et organisationnelles, mais aussi la formation des employés et une bonne gestion de la réponse aux incidents. Conformément aux exigences du RGPD, de la Directive NIS2 et du Règlement DORA, une préparation et une réponse adéquates aux cyberattaques permettent de réduire les risques, d’éviter les sanctions, et de protéger la continuité des activités.

En savoir plus sur Lawgitech

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture