Un phénomène endémique à croissance exponentielle
Les rançongiciels[1] sont devenus une menace majeure qui touche tous les secteurs d’activités et peuvent provoquer des dommages considérables et variés (pertes d’exploitation, perte de données, pertes financières, actions en responsabilité, perte de clients, préjudice d’image, sanctions administratives, etc.).
Les collectivités locales et les organismes publics ne sont pas épargnés, plus particulièrement le secteur de la santé. Les récentes attaques ayant visé les hôpitaux de Dax et de Villefranche-sur-Saône en février 2021 ont été particulièrement impactantes en mettant en péril l’administration des soins aux usagers. En réponse à cette menace grandissante, le Gouvernement a annoncé en février dernier la mise œuvre d’un plan national de renforcement de la cybersécurité mobilisant près d’un milliard d’euros.
Dans son rapport du 1er mars 2021 sur l’état de la menace rançongiciel[2], l’Agence nationale de la sécurité des systèmes d'information (l’« ANSSI ») confirme la tendance à la hausse de ces attaques. En 2020, elle a ainsi relevé une augmentation de 255 % des signalements d’attaque par rançongiciel par rapport à 2019.
Au cours des dernières années, un écosystème facilitant la mise en œuvre de cyberattaques par des groupes criminels est apparu, menant ainsi à une véritable industrialisation de ces activités illicites. Les intéressés/délinquants (?) peuvent avoir accès à tous les services et outils nécessaires à la réalisation d’attaques auprès d’opérateurs spécialisés, c’est le ransomware-as-a-service (« Raas »). L’un des rançongiciels les plus communs, Jigsaw, peut ainsi s’acheter sur des plateformes spécialisées au prix de 3000 dollars seulement[3].
Cette recrudescence des attaques, leur sophistication, ainsi que les coûts élevés de remédiation poussent parfois certaines victimes à consentir au versement de la rançon demandée par les criminels (près de 33% selon une récente étude[4]). Le montant des rançons, de plus en plus élevé, varie en fonction du type de rançongiciel utilisé et l’identité de la victime. Il peut ainsi osciller en moyenne entre 200 000 et 10 millions de dollars[5]. La rançon est généralement payée en monnaie virtuelle, et plus particulièrement en Bitcoins, en transitant via des plateformes d’échange de crypto-actifs.
La décision de payer ou non la rançon doit impérativement faire l’objet de réflexions approfondies, tant techniques que juridiques, par l’organisme victime, cette décision pouvant aggraver les conséquences de l’attaque.
Le risque d’infraction aux règles de lutte contre le blanchiment de capitaux et de financement du terrorisme
En droit français, aucun texte de loi n’interdit formellement le versement d’une rançon en cas d’attaque par rançongiciel. Toutefois, bien que la typologie des attaquants soit très variée et opaque, certaines attaques peuvent être commanditées par des organisations terroristes ou des personnes figurant sur des listes de sanctions internationales.
Le paiement d’une rançon ou l’aide apportée à son versement à destination de ces groupes expose donc la victime à de potentielles poursuites pénales et administratives pour financement du terrorisme ou blanchiment d’argent.
L’article 421-2-2 du Code pénal réprime notamment le financement du terrorisme, et dispose à ce titre que « Constitue également un acte de terrorisme le fait de financer une entreprise terroriste en fournissant, en réunissant ou en gérant des fonds, des valeurs ou des biens quelconques ou en donnant des conseils à cette fin, dans l'intention de voir ces fonds, valeurs ou biens utilisés ou en sachant qu'ils sont destinés à être utilisés, en tout ou partie, en vue de commettre l'un quelconque des actes de terrorisme prévus au présent chapitre, indépendamment de la survenance éventuelle d'un tel acte. »
En matière de blanchiment d’argent, l’article 324-1 du Code pénal punit également « le fait de faciliter, par tout moyen, la justification mensongère de l'origine des biens ou des revenus de l'auteur d'un crime ou d'un délit ayant procuré à celui-ci un profit direct ou indirect ».
La commission de ces actes est passible de peines d’emprisonnement pouvant aller jusqu’à dix ans et d’amendes pouvant s’élever, pour les entreprises, à 1 875 000 euros[6].
Les entreprises soumises aux obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme prévues par le Code monétaire et financier encourent également des sanctions administratives d’un montant maximal de 100 millions d’euros ou 10 % de leur chiffre d’affaires [7].
Le renforcement des sanctions européennes et internationales en matière de cybercriminalité
Le 30 juillet 2020, le Conseil européen a, pour la première fois, imposé des mesures restrictives à l'encontre de six personnes et de trois entités responsables de diverses cyberattaques, ou ayant pris part à celles-ci[8]. Les sanctions infligées comprenaient un gel des avoirs mais aussi une interdiction faite aux personnes et aux entités de l'Union européenne (« UE ») de mettre des fonds à la disposition des personnes et entités inscrites sur cette liste.
Toujours au niveau européen, la sixième directive de lutte contre le blanchiment de capitaux et le financement du terrorisme[9] inclut désormais expressément la cybercriminalité dans la liste des activités criminelles constitutives de l’infraction de blanchiment. En conséquence, les personnes morales deviennent elles-mêmes punissables, et peuvent être considérées comme complices des auteurs de blanchiment d’argent, telles que les plateformes de paiement, les intermédiaires, voire certains prestataires ou compagnies d’assurance intervenant dans le versement de la rançon.
L’Union européenne semble ainsi progressivement durcir sa lutte contre les actes de cyberattaque.
Aux Etats-Unis, l’Office of Foreign Assets Control (« OFAC »), agence dépendant du Département du Trésor, a émis le 1er octobre 2020 un avis sur les risques de sanctions relatifs au paiement de rançons liés à des activités cybercriminelles.
L’OFAC a rappelé que les victimes de rançongiciels qui paieraient la rançon ou les sociétés qui faciliteraient ces paiements seraient sanctionnées, en particulier si ces paiements étaient émis au profit de groupes d’attaquants eux-mêmes sujets à des sanctions américaines.
L’évolution de la législation en matière de lutte contre le financement du terrorisme et le blanchiment de capitaux doit donc inciter les organismes victimes de cyberattaques à prendre impérativement en compte ces aspects juridiques dans leur processus de décision quant au versement de la rançon, et ce malgré les difficultés inhérentes à l’identification des auteurs de cyberattaques.
Versement de la rançon et assurances « Cyber »
Certaines entreprises ont recours à des assurances de type « Cyber » visant à couvrir les pertes causées par les rançongiciels et, parfois même, le versement des rançons.
Si la couverture des pertes causées par de telles attaques ne soulève pas de difficultés juridiques particulières, le versement d’une rançon est quant à lui susceptible d’être considéré comme contraire à l’ordre public puisque qu’il contribue au financement d’un acte pénalement réprimé, au mépris de l’article 1162 du Code civil.
Les entreprises ayant recours à ces assurances doivent donc être vigilantes à la fois au moment de la souscription de ces polices d’assurance mais également lors de leur mise en œuvre.
Un intérêt parfois limité quant à la récupération du système informatique
Payer la rançon ne signifie pas toujours que l’organisme va récupérer l’intégralité de ses données et de son système. Ce paiement peut, en outre, compromettre encore davantage le système, par exemple si le téléchargement de la clef de déchiffrement permettant de rétablir l’accès aux données s’accompagne de l’installation d’un logiciel de prise de contrôle à distance d’un poste.
Le versement de la rançon, singulièrement en l’absence d’identification des failles de sécurité ayant donné lieu à l’attaque, ne garantit pas non plus l’absence de réitération de l’attaque.
Au-delà de ces aspects techniques, le versement de la rançon est considéré par les autorités, dont l’ANSSI, comme contribuant à l’accroissement et à la pérennisation de ces pratiques criminelles.
L’entité confrontée à une attaque informatique doit donc impérativement mener une réflexion approfondie lorsque se pose la question du paiement éventuel de la rançon, afin d’appréhender les risques juridiques et éthiques encourus et, surtout, l’opportunité d’une telle prise de risque au regard du dénouement de la crise qu’elle subit.
Article paru dans Option Finance le 19/04/2021
En savoir plus sur notre cabinet d’avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
_840x420.jpg?v=3)
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.