CONSEILS PRATIQUES EN CAS DE CYBERATTAQUE : LE PRINCIPE D’ACCOUNTABILITY
Article rédigé le 26 février 2021 par Me Laurence Huin
D’un point de vue juridique, les cyberattaques, notamment par rançongiciels, constituent des violations de données au sens du RGPD en ce qu’elles entrainent la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel ; très souvent, dans le cas des centres hospitaliers, des données de santé de patients.
Dans un article précédent, intitulé Gestion d’une violation de données et principe d’accountability, nous étions revenus sur la notion d’accountability qui impose désormais aux acteurs, agissant en qualité de responsable de traitement, de documenter l’ensemble des mesures prises pour répondre à l’obligation de sécurité et à son corolaire, l’obligation de notification et de communication en cas de cyberattaque. Encore faut-il savoir comment et quoi démontrer en cas de cyberattaque.
Les cyberattaques menées ces dernières semaines contre les centres hospitaliers de Villefranche-sur-Saône et de Dax, ont confirmé que le secteur de la santé n’était pas épargné par la cybercriminalité, bien au contraire.
Dès lors, les acteurs de la santé, cibles privilégiées de telles attaques, se doivent non seulement d’une part, de mettre en place toutes les mesures visant à détecter et à réagir à ces incidents et d’autre part, de documenter l’ensemble des mesures prises selon le principe d’accountability.
Si le premier volet relève d’un véritable chantier sur plusieurs années et fera l’objet d’un budget conséquent, comme en témoigne l’enveloppe d’un milliard d’euros visant à renforcer la stratégie de lutte contre la cybercriminalité présentée par la présidence de la République le 18 février dernier, la mise en œuvre de la documentation des mesures prises peut se révéler bien moins onéreuse en termes de délais et de budget. Raison de plus de s’y intéresser.
La documentation d’une procédure interne
L’ANSSI, dans son rapport sur l’état de la menace rançongiciel publié le 1er février 2021, indique que « Les hôpitaux et autres entités du secteur de la santé représentent globalement l’une des cibles privilégiées des attaquants. Cette tendance s’est accrue en 2020, notamment dans le contexte de pandémie liée à la Covid-19,l’attaque poussant sans doute plus facilement les hôpitaux à payer la rançon au vu du besoin critique de continuité d’activité ».
Il convient donc pour ces acteurs de se préparer au mieux à de tels événements, tout d’abord, en documentant leur procédure interne. Ce document aura pour objet de mettre en place une gouvernance, de gérer la transparence vis-à-vis des différentes parties prenantes et d’identifier et tracer les actions à mener en cas de cyberattaque.
La mise en œuvre d’une gouvernance
La procédure interne devra identifier les parties prenantes à la gestion d’une cyberattaque. Au sein même de l’entité, il conviendra de mettre en place une cellule de crise, composée de responsables stratégiques, tels que le responsable de la sécurité des systèmes d’information (RSSI), le Délégué à la protection des données (DPO) ou encore le responsable de la communication. Cette cellule de crise aura pour objectif de prendre toutes les décisions stratégiques découlant de l’événement de sécurité constaté, et ce, indépendamment des groupes de travail opérationnels chargés du pilotage et de l’exécution des décisions.
Lorsque les ressources internes sont insuffisantes pour assurer la gestion d’une cyberattaque, la procédure interne devra anticiper les besoins matériels et humains en identifiant des prestataires techniques extérieurs et en indiquant leurs coordonnées.
Par ailleurs, au sein de cette procédure interne, il conviendra de déterminer les moyens de communication de secours qui seront utilisés en cas d’attaque ; les fonctionnalités usuelles de téléphonie et de messagerie pouvant en effet être mises hors d’usage par la cyberattaque.
La gestion de la transparence
La procédure interne devra également veiller à la bonne coordination de l’ensemble des parties prenantes, que ce soit les prestataires, les filiales ou maison-mère, mais également les collaborateurs. Les obligations de loyauté et de confidentialité devront être rappelées à l’ensemble de ces acteurs.
L’identification des actions à mener
La procédure interne devra également identifier les actions à mener à court, moyen et long terme. Outre le respect des exigences légales, notamment concernant les obligations de notifications auprès des différentes autorités et de communication auprès des personnes concernées, la procédure pourra prévoir les modalités du dépôt de plainte de l’entité, victime de la cyberattaque.
De même, cette procédure aura pour objet également de rappeler aux personnes en charge de la gestion de la cyberattaque de déclarer le sinistre aux assureurs selon les modalités prévues par les polices d’assurance.
La traçabilité des actions à mener
La procédure interne devra également veiller à la bonne application du principe d’accountability lors de la cyberattaque, malgré l’urgence qui peut régner lors d’un tel événement.
A ce titre et comme le recommande l’ANSSI dans son guide sur les attaques par rançongiciels, il conviendra de prévoir la traçabilité de l’ensemble des actions et les évènements liés à l’incident détaillant notamment :
- l’heure et la date de l’action ou de l’évènement ;
- le nom de la personne à l’origine de cette action ou ayant informé sur l’évènement ;
- la description de l’action ou de l’évènement. Ce document doit permettre à tout moment de renseigner les décideurs sur l’état d’avancement des actions entreprises.
Comme toute procédure, ce document devra également être régulièrement mis à jour et éprouvé à l’aide d’exercices.
La documentation d’une stratégie de communication
Par ailleurs, lors d’une cyberattaque, les impacts sur l’image et la réputation de l’entité victime ne doivent pas être négligés et une stratégie de communication, tant interne qu’externe, doit être adoptée, et ce afin de répondre au mieux aux obligations de notification et de communication. Cette stratégie de communication devra ainsi documenter les modalités de notifications auprès des différentes autorités et les modalités de communication auprès des personnes concernées.
Les obligations de notification spécifiques aux acteurs du secteur sanitaire
Les obligations de notification d’incidents de sécurité sont bien connues des acteurs de la santé.
En effet, depuis le 1er octobre 2017, les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et les centres de radiothérapie ont l’obligation de signaler à l’Agence régionale de santé (ARS) les incidents graves de sécurité des systèmes d’information, à charge pour l’ARS de transmettre le signalement des incidents à l’Agence du Numérique en Santé (ANS), et plus précisément sa Cellule Accompagnement Cybersécurité des Structures de Santé (ACSS) (articles L.1111-8-2 et D.1111-16-4 du code de la santé publique). Les signalements doivent être effectués sur le portail de signalement : https://signalement.social-sante.gouv.fr
Dans le cadre de cette obligation, sont considérés comme incidents graves de sécurité des systèmes d’information, les événements générateurs d’une situation exceptionnelle au sein d’un établissement, organisme ou service, et notamment ayant des conséquences :
- potentielles ou avérées sur la sécurité des soins ;
- sur la confidentialité ou l’intégrité des données de santé ;
- sur le fonctionnement normal de l’établissement.
De même, dans le cadre de la directive NIS (Directive Network and Information System Security), les opérateurs de services essentiels doivent déclarer auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent.
L’obligation de notification à la CNIL dans un délai de 72 heures
Si les notifications spécifiques au secteur de la santé doivent être effectuées sans délai, la nouvelle obligation de notification, auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) prévue par le RGPD à son article 33, impose le strict respect d’un délai de « 72 heures au plus tard après en avoir pris connaissance ».
Dès lors, les acteurs de la santé mais également ceux du secteur du médico-social concernés par cette règlementation, devront se montrer particulièrement réactifs en cas de cyberattaque donnant lieu à une violation de données personnelles. Les notifications devront être effectuées via le téléservice de la CNIL.
Outre le respect du délai, la notification auprès de la CNIL devra être particulièrement détaillée notamment sur :
- la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- les conséquences probables de la violation de données à caractère personnel ;
- les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel.
On notera que le périmètre de cette obligation de notification est par ailleurs très étendu, ne se limitant pas aux événements de sécurité « susceptibles d’avoir un impact significatif » ou « les incidents graves ». Seules les violations de données personnelles non susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques pourront ne pas faire l’objet d’une notification auprès de la CNIL (le cas du vol d’une clé USB stockant des données personnelles cryptées par exemple).
Enfin, même dans l’éventualité où la violation de données ne serait pas notifiée à la CNIL, le responsable de traitement devra documenter l’ensemble des violations de données au sein d’un registre spécifique, en vertu du principe d’accountability. La documentation ainsi constituée permettra à l’autorité de contrôle de vérifier le respect des obligations du responsable de traitement.
Une nouvelle obligation de communication aux personnes concernées
Outre les notifications aux autorités compétentes (la cellule ACSS, ANSSI et CNIL), le RGPD impose également aux victimes de cyberattaques, lorsque la violation de données à caractère personnel est susceptible d’engendrer un « risque élevé » pour les droits et libertés des personnes physiques, de communiquer sur la violation de données personnelles aux personnes concernées, et ce dans les meilleurs délais (Article 34 du RGPD).
La communication auprès des personnes concernées devant être réalisée en des termes clairs et simples, il apparait donc essentiel d’associer les équipes en charge de la communication de l’entité.
Si l’application du principe d’accountability permet de mieux réagir aux cyberattaques, il convient également pour les acteurs de se préoccuper de la prévention de tels événements. A cette fin, la pratique d’audits devra ainsi être mise en œuvre, pratique également largement encouragée par le RGPD.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.