Victime d’une arnaque sur Internet  ? Faites-nous part de votre témoignage

Devant une explosion de cas d’arnaques et de piratages par Internet et des pouvoirs publics débordés par ce phénomène, nous avons souhaité apporter notre pierre à l’édifice.

Vous souhaitez nous faire part de votre témoignage,  contactez-nous.

Vous devez nous communiquer les informations suivantes (tout message incomplet et correctement rédigé ne sera pas traité) :

• une présentation de vous (qui vous êtes, ce que vous faites dans la vie et quel type d’utilisateur informatique vous êtes) ;
• un déroulé chronologique et précis des faits (qui vous a contacté, comment et quand et les différents échanges qui se sont succédé, sans oublier l’ensemble des détails même s’ils vous semblent inutiles, date heure, prénom nom du ou des interlocuteurs, numéro, adresse e-mail, éventuellement numéros de téléphone ;
• Ce que vous attendez comme aide (je souhaite que vous m’aidiez en faisant la chose suivante : ….)
• Vos nom, prénom et coordonnées (ces informations resteront strictement confidentielles).

Réagissez à cet article

Comment les salariés peuvent lutter contre la cybercriminalité

Le cybercrime est un phénomène complexe intégrant en son sein un spectre très large de méthodes, de cibles et de motivations.  On assiste de moins en moins aux actions de l’hacker isolé uniquement motivé par la mise en lumière de ses exploits ou à celles de l’hacktiviste politique développant des attaques à des fins de sabotage. Le cybercrime est aujourd’hui de plus en plus organisé. Appâté par des gains financiers directs, il met en œuvre ses exactions via des mécaniques sophistiquées comme le spear fishing, l’ingénierie sociale ou encore les menaces furtives APT (Advanced Persistent Threats) au travers d’attaques ciblées, de grande envergure et de plus en plus dévastatrices.  Et comme l’a dévoilé la retentissante affaire Edward Snowden aux Etats-Unis, les cyber armées misent en branle par les gouvernements à des fins de renseignement ou d’espionnage industriel sont également très actives.

Un contexte technologique propice aux failles mais pas uniquement …

Si les attaques cybercriminelles réussissent aujourd’hui, c’est que les évolutions technologiques majeures comme le Cloud, le BYOD (Bring Your Own Devive) ou encore les objets connectés… – en augmentant de manière exponentielle les données disponibles au niveau mondial – ont ouvert et donc fragilisé le réseau de l’entreprise. Ce contexte de démultiplication des périphériques, des utilisateurs et des usages génère des failles et des vulnérabilités, largement exploitées par les cyber assaillants. Mais même si leur impact est bel et bien réel, les transformations technologiques ne sont pas les seules au banc des accusés. En 2015, selon un rapport de sécurité Check Point, 81% des entreprises ont subi des fuites de données causées par des négligences humaines. L’humain, ce « maillon faible » est un élément clé de toute stratégie cyber défense même s’il n’est toujours pas appréhendé sérieusement par les entreprises. Et c’est là que les RH ont leur carte à jouer.

Le rôle déterminant des RH: transformer l’humain en un atout pour la sécurité de l’entreprise

Redoublant d’ingéniosité pour arriver à leurs fins, les cyber assaillants mettent en œuvre des attaques d’ingénierie sociale et d’hameçonnage qui exploitent les faiblesses humaines (vanité, reconnaissance, ignorance, gentillesse…) avec pour finalité le vol de données sensibles, le gain direct ou encore l’espionnage industriel. Ces attaques sont très difficiles à détecter par les entreprises car elles ne sont pas identifiées par leurs barrages technologiques et peuvent même passer inaperçues aux yeux de leurs victimes! Pour déjouer les manœuvres des cybercriminels, une culture « sécurité » portée par les RH doit être mise en œuvre pour sensibiliser et responsabiliser les employés de l’entreprise, à chaque couche fonctionnelle et dans le cadre d’une véritable démarche collaborative. Comment?

1/ En assumant la responsabilité des risques de sécurité posés par les collaborateurs de l’entreprise. La grande majorité des employés ne se sent pas vraiment concernée par les problématiques de sécurité de leur entreprise. Elle les considère comme seule responsabilité du département informatique et cette attitude rend les entreprises bien trop vulnérables. Une politique de sécurité interne ne sera efficace que si elle est comprise et intégrée par les collaborateurs via un véritable état d’esprit associé à une somme de comportements quotidiens. Les RH doivent mener des politiques de sensibilisation actives, sur la durée, portant sur les dangers, les techniques employées par les cyber délinquants et l’impact comportemental des employés sur la sécurité de l’entreprise.

2/ En identifiant le personnel vulnérable. Un des risques majeurs en matière de sécurité est l’accès des employés aux données sensibles de l’entreprise. Dans le cas du piratage de Sony Pictures, les experts ont évoqué l’implication d’un ou de plusieurs ex-employés du Groupe dont l’accès toujours actif au réseau a permis le vol d’informations critiques. En outre, les cybercriminels ont besoin du support de collaborateurs ou de partenaires de l’entreprise qui vont les aider volontairement ou non à arriver à leur fins. Ils utilisent ainsi les réseaux sociaux pour identifier leur cible/victime potentielle, celle qui aura une prédisposition à briser les systèmes de sécurité de l’entreprise, sera démotivée ou en désaccord avec sa hiérarchie. Au cœur de ces informations, les RH doivent ainsi redoubler de vigilance vis-à-vis de ressources à risques ou plus exposées comme les nouveaux arrivants, les employés sur le départ, des fonctions spécifiques (accueil/helpdesk, secrétariats, …) ou stratégiques tels que les directeurs financiers …

3/  En sensibilisant la Direction Générale. La mise en place d’une culture de la sécurité au sein de l’entreprise doit bénéficier du support du top management. Or les Directions Générales ne sont pas encore forcément sensibles à la mise en place de ces programmes de formations, orientant leurs investissements sécuritaires plutôt vers des dispositifs technologiques. Messieurs les Directeurs, comme l’a si justement souligné Derek Bok, Président de la prestigieuse université d’Harvard « Si vous pensez que l’éducation est chère, alors tentez l’ignorance » ! Il est aujourd’hui impératif pour les entreprises de mettre en place une vraie stratégie de sécurité basée sur une mobilisation interne transverse associant les métiers, le comité de direction, les RH et le RSSI.

Le cybercrime est bien réel, organisé, déterminé et atteint son but même pour les plus grandes organisations internationales aux murailles technologiques dites « infranchissables ». C’est aux entreprises maintenant de penser et de développer une organisation de sécurité en miroir, dotée d’un niveau de maturité technique et organisationnel tout aussi élevé que celui de leurs cybers assaillants. La sensibilisation de l’humain, clé de voûte d’une bonne stratégie de cyberdéfense ne doit pas être négligée et les RH devront vite s’emparer du sujet avant que l’ennemi ne soit dans la place !

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.challenges.fr/tribunes/20150624.CHA7247/comment-les-salaries-peuvent-lutter-contre-la-cybercriminalite.html

par Emmanuel Stanislas, fondateur du cabinet de recrutement Clémentine.

Combien de temps une crèche peut-elle conserver des informations sur les enfants et leurs familles ?

La durée de conservation de ces informations ne doit pas dépasser la durée nécessaire aux finalités pour lesquelles ces informations sont collectées et traitées.

Dans le cas de l’accueil de jeunes enfants, la CNIL recommande que ces informations soient effacées au plus tard trois ans après leur départ. Au-delà de ce délai, elles ne peuvent être conservées que de manière anonymisée, dans un but statistique par exemple.

L’employé comme pion dans la lutte pour la cyber-sécurité

L’employé en tant que hacker

Il ressort du rapport de la RAND intitulé « Markets for Cybercrime Tools and Stolen Data » que l’élément humain reste un point faible. Parfois, des actes de malveillance entrent en jeu, comme par exemple l’employé mécontent ou envieux qui disperse ou subtilise les informations confidentielles d’une entreprise. En janvier, Morgan Stanley licenciait un travailleur, qui avait prétendument subtilisé des données personnelles (en ce compris des numéros de compte) concernant près de 900 de ses clients et les avait brièvement publiées sur Internet. Néanmoins, le plus souvent, les cyber-incidents connus par une entreprise peuvent être imputés à des actes de négligence, ce dont les criminels tirent volontiers profit. Selon le rapport de la RAND, lesdites campagnes de « phishing » et « spear-phishing » augmenteront substantiellement et sont en même temps de plus en plus sophistiquées. Un exemple connu de spear-phishing concerne la fuite de données – entretemps devenue tristement célèbre – de la chaîne de magasins américaine Target. Les enquêteurs avaient découvert que les hackers avaient obtenu l’accès aux systèmes informatiques de Target au moyen d’un e-mail de spear-phishing adressé à un employé de l’un des fournisseurs externes de Target.

Les conséquences de tels actes de malveillance ou de négligence sont souvent tout sauf anecdotiques. Dans l’exemple de Target, le préjudice se chiffre actuellement à plus de 162 millions de dollars. L’attaque faite sur la marque et la perte de parts de marché constituent à cet égard des dommages importants. Les employeurs se sentent souvent impuissants dans ce genre de situation et observent les bras ballants la manière dont une cyber-attaque cause un préjudice grave à leur entreprise. Cependant, cela ne devrait pas être le cas. Ci-dessous, nous esquissons certains outils ou méthodes pouvant aider à mobiliser vos propres employés, en tant que frères d’armes privilégiés dans la lutte pour la cyber-sécurité.

L’employé en tant que pion contre les hackers

La prévention est et reste le meilleur remède. Les mesures suivantes – spécifiquement en lien avec les activités des employés – fonctionnent en tout cas comme mesures préventives :

– Des dispositifs de sécurité adéquats

Outre la sécurisation effective des données et de l’infrastructure de l’entreprise, il est recommandé de couler les règles d’entreprises concernant la protection des données, la sécurité des systèmes, l’utilisation d’appareils propres (ordinateurs portables, smartphones, tablettes) au sein du réseau de l’entreprise, le travail à distance et d’autres encore, dans ce que l’on appelle des « policies ».

– Des formations périodiques et adaptées pour les employés

Afin de pouvoir mettre en oeuvre les protocoles de sécurité mentionnés ci-dessus de manière effective, les employés au sein de l’entreprise devraient au moins être au courant de leur existence, ainsi que de leur contenu (ainsi que de toute modification), ce que l’on obtient en donnant des formations périodiques et adaptées. Un employé qui de manière durable est bien informé sur ses responsabilités en termes de cyber-sécurité au sein de l’entreprise, et qui sait comment traiter des informations sensibles et confidentielles concernant l’entreprise ou les personnes, constituera une cible moins évidente pour les hackers externes et sera plus attentif. Une telle approche met également l’accent sur l’intérêt que l’entreprise porte à la sécurité de ses propres systèmes et données.

– Un screening adéquat des nouveaux employés

Lors du recrutement et de la sélection de nouveaux employés, l’employeur scrute de plus en plus souvent le profil d’un candidat sur les réseaux sociaux (Facebook, Twitter etc.). Attention cependant : l’employeur peut consulter ces données, mais ne peut les traiter sans respecter les règles légales sur la protection des données personnelles. En outre, il existe également une interdiction de discrimination : le fait de vérifier des informations qui sont publiées par un candidat sur un réseau social ne peut mener à une sélection inéquitable.

– Prévoyez un dispositif d’alerte adéquat

Afin de révéler certains sujets, que l’employé ne peut faire remonter via la voie hiérarchique habituelle et pour lesquels il n’existe pas de procédure ou organe organisé par la loi, l’on peut prévoir un dispositif d’alerte (« whistleblowing ») au sein de l’entreprise. Ce dispositif doit être établi conformément à la législation sur la vie privée et aux recommandations de la Commission de la protection de la vie privée sur le sujet.

– Surveillance de l’utilisation d’Internet et des e-mails par les employés

Une autre mesure de prévention importante réside dans l’installation d’un système au moyen duquel le contrôle de l’utilisation d’Internet et des e-mails par les employés peut être effectué par l’employeur. En effet, une entreprise qui est victime d’une cyberattaque et suppose que l’un de ses membres du personnel en est responsable, ne peut pas rechercher l’employé coupable à la légère. L’employeur doit, à cet égard, respecter la législation sur la vie privée, en ce compris la CCT n° 81, qui met en balance le droit à la vie privée de l’employé et le droit de surveillance de l’employeur.

Un tel système de contrôle ne peut (i) être institué sans que l’employeur en ait informé le conseil d’entreprise et les employés individuellement sur tous les aspects du contrôle ; (ii) seulement être implémenté qu’en raison d’une finalité légitime, telle que par exemple la sécurité et le bon fonctionnement technique du système de réseau IT de l’entreprise. En outre, l’employeur ne peut effectuer qu’un contrôle graduel et progressif. En premier lieu, seuls les contrôles généralisés et anonymes (au moyen d’échantillons) sont autorisés sans que les données puissent être individualisées et donc sans pouvoir cibler un employé en particulier. Ce n’est que lorsque l’employeur suspecte qu’un abus par un employé a eu lieu qu’il peut procéder à l’individualisation des données personnelles afin de pouvoir rechercher le « coupable ».

Conclusion

En résumé, l’on peut dire qu’au vu des atteintes à la réputation et autres conséquences financières des cyber-incidents sur les entreprises, il vaut mieux prévenir que guérir. La mise en application des mesures décrites ci-dessus constitue en tout cas un pas dans la bonne direction.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://datanews.levif.be/ict/actualite/l-employe-comme-pion-dans-la-lutte-pour-la-cyber-securite/article-opinion-373053.html

La sensibilisation des utilisateurs est la principale clé pour se protéger des pirates informatiques. Il n’est pas trop tard !

L’avis de Denis JACOPINI, Expert informatique assermenté spécialisé en cybercriminalité (arnaques, virus, phishing…) en Direct sur LCI le 23 mai 2016 dans l’émission « Ca nous Concerne » de Valérie Expert.

En mai 2016, Denis JACOPINI nous sensibilisait encore et déjà aux cyber risques.

Nos formations / nos sentibilisations

Toutes nos vidéos

LE NET EXPERT ET DENIS JACOPINI FONT DÉSORMAIS PARTIE
DES PRESTATAIRES DE CONFIANCE DE LA PLATEFORME 

• ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
  • ANALYSE DE VOTRE ACTIVITÉ
  • CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
  • IDENTIFICATION DES RISQUES
  • ANALYSE DE RISQUE (PIA / DPIA)
  • MISE EN CONFORMITÉ RGPD de vos traitements
  • SUIVI de l’évolution de vos traitements
• FORMATIONS / SENSIBILISATION :
  • CYBERCRIMINALITÉ
  • PROTECTION DES DONNÉES PERSONNELLES
  • AU RGPD
  • À LA FONCTION DE DPO
• RECHERCHE DE PREUVES (outils Gendarmerie/Police)
  • ORDINATEURS (Photos / E-mails / Fichiers)
  • TÉLÉPHONES (récupération de Photos / SMS)
  • SYSTÈMES NUMÉRIQUES
• EXPERTISES & AUDITS (certifié ISO 27005)
  • TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
  • SÉCURITÉ INFORMATIQUE
  • SYSTÈMES DE VOTES ÉLECTRONIQUES

Réagissez à cet article

10 habitudes à prendre pour vous protéger des escroqueries sur le net

1°/ Si l’adresse d’un service Web qui gère des données personnelles ne commence pas par HTTPS, méfiez-vous ! Cela signifie que les données transmises sur cette adresse Web ne sont pas sûres.

2°/ Recevez-vous régulièrement des mails où on vous demande le mot de passe d’un service ? Marquez-le tout de suite comme SPAM car AUCUN service ne vous le demandera !

3°/ Si vous voulez vous connecter à vos comptes bancaires depuis Internet, vérifiez que l’option du clavier virtuel numérique de saisie du mot de passe est mis en avant. C’est un outil visuel dans lequel vous pouvez entrer le mot de passe avec les clics de souris. Toutes les bonnes banques le proposent. Vous vous protégez ainsi des keyloggers.

4°/ Si vous soupçonnez un lien trompeur, copiez l’adresse à laquelle il se lie et collez-la dans votre barre d’adresse. Ainsi, vous pouvez vérifier la direction que ce lien prend.

5°/ Si vous changez le mot de passe d’un service Web, par exemple Google, vérifiez que l’URL racine où vous vous situez est bien google.fr.

6°/ Utilisez toujours des mots de passe compliqués. Ajoutez au moins huit caractères avec des majuscules, des minuscules et des chiffres. C’est lourd à retenir, mais ça vous protégera contre les escroqueries sur le net !

7°/ Choisissez un mot de passe pour chaque site. Ne gardez jamais le même et variez.

8°/ Lorsqu’un service en ligne a été hacké par des pirates (une annonce est faite généralement), pensez à changer immédiatement votre mot de passe.

9°/ Vous avez reçu un email d’Apple avec une adresse @apple.com ? Vérifiez l’expéditeur, il se cache généralement quelque chose de louche là dedans !

10°/ Toujours garder votre navigateur et un antivirus à jour avec la dernière version. Toujours !

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.autourduweb.fr/10-habitudes-prendre-proteger-escroqueries-net/

52 % des entreprises ont indiqué avoir subi un rançongiciel « majeur » dans les 12 derniers mois

« Les entreprises se sentent parfois sous pression pour payer la rançon afin d’éviter les temps d’arrêt préjudiciables. À première vue, effectuer le paiement de la rançon semble être une manière efficace de restaurer les données, mais ce n’est qu’illusoire (…) En effet, une simple clé de chiffrement n’est pas un remède miracle et il faut souvent bien plus pour restaurer les données« , a expliqué Chester Wisniewski, Principal Research Scientist chez Sophos.

En France, plus de la moitié (61%) des responsables IT interrogés déclarent avoir pu restaurer leurs données à partir de sauvegardes sans payer la rançon. Dans 2 % de cas, le paiement de la rançon n’a pas permis de restaurer les données. À l’échelle mondiale, ce chiffre s’élève à 5 % pour les organisations du secteur public.

…[lire la suite]

Commentaire de notre Expert : Denis JACOPINI

La demande de rançon est la résultante dans la quasi totalité des cas de l’ouverture d’une pièce jointe à e-mail piégé ou le clic sur un lien aboutissant sur un site Internet piégé.

Les conséquences

Il n’est plus a rappeler qu’être victime d’un ransomware entraînent un arrêt de l’outil informatique, une perte de productivité et une dégradation de la réputation auprès des clients et partenaires.

Les solutions

Nous le répéterons jamais assez, les seuls moyens d’empêcher ce type de situation sont l’utilisations d’outils de filtrage et la sensibilisation. N’hésitez pas à nous contacter pour l’organisation de sessions de sensibilisation auprès de vos équipes pour leur apprendre à détecter e-mails et sites Internet malvéillants, en quasi totalité à l’origine des rançongiciels dans les systèmes informatiques.

Pour ceux qui continuent le travail à domicile, respectez les cybergestes barrière

Restez en sécurité

Comme vous ne savez peut-être pas dans quelle mesure votre environnement de travail assure la sécurité de vos informations, vous risquez de devenir une cible facile pour les hackers une fois que vous serez en confinement ou que vous travaillez à domicile.

Appareils & Équipements de travail

Si vous utilisez un ordinateur de bureau ou un appareil mobile fourni par l’entreprise, il est fort probable que vous soyez déjà muni de quelques éléments de base pour vous protéger. En tant que propriétaire ou dirigeant d’entreprise, vous devrez également vous assurer que les mesures suivantes soient en place pour votre équipe.

1. Sécurisez votre connexion
   Si vous n’êtes pas encore installé, demandez à votre responsable informatique de vous fournir un VPN. Il vous aidera à sécuriser votre activité professionnelle. Le wifi public – que vous utilisiez un hotspot local ou que vous partagiez un réseau avec votre voisin – est plus vulnérable que votre propre réseau privé, mais un VPN vous protégera des menaces sur les deux.
2. Sécurisez votre Cloud
   Disposer d’une solution de sécurité premium pour le Cloud (CASB) permet de limiter l’accès à vos données dans le Cloud aux seuls membres autorisés de l’équipe.
3. N’installez pas de logiciels non autorisés
   Si vous avez apporté votre ordinateur portable de travail à la maison, n’installez aucun logiciel qui ne soit pas lié au travail et n’utilisez pas de clés USB sans être sûr de ce qu’elles contiennent.

Appareils personnels

Mélanger le travail et le plaisir ? Dans certains cas, vous n’avez pas vraiment le choix.

1. Vérifier la présence des malwares
   Vérifiez que votre logiciel antivirus est à jour et recherchez tout logiciel malveillant sur votre ordinateur ou votre téléphone portable personnel.
2. Protéger les mots de passe
   Utiliser un gestionnaire de mots de passe pour se tenir au courant des meilleures pratiques d’utilisation des différents mots de passe sur le web.
3. Utiliser un VPN
   Comme nous l’avons déjà mentionné, un VPN conservera vos informations cryptées pendant toute la durée du confinement – et vous aurez en plus la possibilité d’accéder à l’ensemble de la bibliothèque Netflix dans le monde entier une fois votre journée de travail terminée.
4. Fermer les applications fonctionnant en arrière-plan
   N’utilisez pas de logiciels ou d’applications qui ne sont pas en rapport avec le travail, y compris en les laissant s’exécuter en arrière-plan. Évitez également de télécharger de nouvelles applications qui ne sont pas liées au travail pendant cette période.
5. Ne pas enregistrer vos données sans autorisation
   Lorsque vous travaillez sur votre ordinateur personnel, évitez de sauvegarder vos données professionnelles, à l’exception de ce qui est absolument nécessaire pour travailler.
6. Garder les choses séparées
   Si vous utilisez un ordinateur partagé, créez un espace de travail séparé. Créez un nouvel utilisateur pour l’ordinateur, si possible. Sinon, créez une nouvelle session de navigation avec vos informations spécifiques au travail et pour le travail uniquement – et n’oubliez pas de vous déconnecter à chaque fois !

[L’article complet de l’auteur Chase Williams]

« Vous avez été en contact avec une personne testée positive au Covid-19 » : Attention aux arnaques sur les smartphones 

A l’approche de la levée du confinement, profitant de l’inquiétude qui règne au sein de la population, les pirates informatiques agissent, multipliant fraudes et arnaques sur le web, notamment à travers la pratique de l’hameçonnage (ou « phishing » en anglais), particulièrement lucrative. Pour rappel, cette technique consiste à « piéger » une personne en le poussant à cliquer sur un lien dans le but d’installer un logiciel malveillant sur son appareil ou de collecter ses informations personnelles. …[lire la suite]

Le prestataire informatique responsable en cas de perte de données par un cryptovirus

Un arrêt de la Cour d’Appel de Paris, dans un litige entre un prestataire de maintenance et son client, vient rappeler qu’un virus ou un ransomware ne constituent pas un cas de force majeure permettant d’exonérer qui que ce soit de ses obligations.

Le litige est né en 2016 mais la Cour d’Appel de Paris vient de le juger après une décision de première instance du tribunal de commerce en janvier 2018. Si l’affaire est assez complexe et avec de nombreuses ramifications sur la responsabilité et les manquements de chaque partie, un point particulier mérite d’être relevé. En l’occurrence, un crypto-virus a rendu inexploitable les sauvegardes et les données de l’entreprise cliente, problème de plus en plus fréquent de nos jours. Le prestataire a voulu faire considérer ce fait comme une circonstance de force majeure l’exonérant de sa responsabilité. La Cour d’Appel vient rappeler qu’un virus n’est aucunement un cas de force majeure (Cour d’appel de Paris, Pôle 5 – chambre 11, 7 février 2020, affaire n° 18/03616, non-publié)…[lire la suite]

Commentaire de notre Expert : Denis JACOPINI

Il est évident qu’à partir du moment ou un prestataire informatique vend un service de sauvegarde et assure d’une quelconque manière sa maintenance, il devient responsable de la réalisation de cette prestation, quelles qu’en soient les conditions excepté dans des situations appelés cas de force majeure.

En droit, les conditions de la force majeure évoluent au gré de la jurisprudence et de la doctrine. Traditionnellement, l’événement doit être « imprévisible, irrésistible et extérieur » pour constituer un cas de force majeure. Cette conception classique est cependant remise en cause (Wikipédia).

Dans la vraie vie, la situation dans laquelle s’est produit la perte de données doit être vue d’un peu plus près. Il n’y a pas à mon avis un cas de figure mais des cas de figure et les situations doivent être étudiées au cas par cas (chers avocats, je suis à votre disposition).

Certes, il est vrai, que le cryptovirus puisse être considéré comme imprévisible et extérieur, mais l’article 1218 du Code Civil précise :
« Il y a force majeure en matière contractuelle lorsqu’un événement échappant au contrôle du débiteur, qui ne pouvait être raisonnablement prévu lors de la conclusion du contrat et dont les effets ne peuvent être évités par des mesures appropriées, empêche l’exécution de son obligation par le débiteur »

C’est là que la balance du mauvais coté pour le prestataire informatique. Depuis 1989, date du premier cryptovirus (PC Cyborg) et pour être un peu plus gentil, depuis 2017, année durant laquelle le nombre de cas de rançongiciels a explosé de plusieurs centaines de pourcents, les cryptovirus sont prévisibles et les effets peuvent être évités par des mesures appropriées.

Ainsi, mesdames et messieurs les prestataires informatiques, mesdammes et messieurs les chefs d’entreprises, je ne peux que vous recommander de faire auditer techniquement et juridiquement vos services de sauvegarde afin d’en analyser les risques résiduels car seule une analyse de risques permettra non seulement d’avoir une visibilité technique complète de votre services, mais vous pourrez également adapter vos contrats au résultat de cette dernière et convenir avec vos clients de l’existence ou non de cas pour lesquels la panne de votre système de sauvegarde sera « éligible » au cas de force majeure.

Intéressé par la réalisation d’un tel audit ?

N’hésitez pas à me contacter.

Denis JACOPINI (Expert informatique près les tribunaux diplômé en Cybercriminalité, Gestion des risques et Investigation Numérique)