Des défaillances techniques informatiques avant une attaque de ransomware entraînent des amendes RGPD Ransomware
Que s'est-il passé ?
La décision se fonde sur des faits datant de 2019. L'entreprise Centric Health a été victime d'une attaque par ransomware. Une faille de sécurité avait permis aux auteurs de l'attaque d'accéder aux systèmes informatiques de l'entreprise de santé.
Les données personnelles des patients ont d'abord été cryptées, puis supprimées par les pirates. L'entreprise concernée n'a pas payé la rançon demandée. Les données comprenaient notamment les noms, dates de naissance, numéros de sécurité sociale et coordonnées des patients. Les données de santé originales n'étaient toutefois pas concernées. Parallèlement, le logiciel malveillant a également saisi les sauvegardes et les instantanés de l'entreprise et les a également cryptés. Une partie des données concernées a donc été totalement perdue et n'a pas pu être restaurée après l'attaque.
En outre, il est remarquable qu'il n'y ait pas eu d'exfiltration des données, ce qui est typique des attaques de ransomware. Les hackers n'ont donc pas volé les données du système informatique de l'entreprise au cours de l'attaque, ni même "divulgué" les données en cas de non-paiement de la rançon exigée, comme cela est souvent le cas aujourd'hui.
La décision de l'autorité de surveillance
L'entreprise concernée s'est comportée de manière tout à fait exemplaire face à l'attaque : elle a découvert l'attaque à temps et a pris des mesures pour la limiter. Elle a également informé l'autorité de surveillance de la protection des données et les patients concernés (malheureusement avec une formulation peu claire et explicitement contestée par la suite par l'autorité) et a fait appel à une entreprise spécialisée dans l'expertise informatique afin d'analyser les dommages subis.
Malgré la reconnaissance de la gestion exemplaire de l'attaque par ransomware, l'autorité a infligé à l'entreprise une amende de 460.000,00 euros dans la procédure de surveillance qui a suivi. L'autorité a constaté que, par son comportement avant l'attaque, l'entreprise avait notamment manqué à son obligation de garantir un niveau de protection technique adéquat pour les données à caractère personnel. Ainsi, les correctifs de sécurité n'auraient pas été appliqués malgré leur disponibilité pendant de longues périodes allant jusqu'à un an. Dans certains cas, il n'existait même plus de licences pour les logiciels individuels permettant d'obtenir des mises à jour de sécurité plus récentes. Tout cela constitue déjà une violation du RGPD, même s'il n'est pas certain que les correctifs aient pu empêcher le succès de l'attaque. En outre, le fait qu'il y ait eu une fuite de données n'a pas d'importance, car un accès non autorisé aux données - en tout cas par les pirates eux-mêmes - aurait indubitablement eu lieu. Cela montre clairement qu'en cas d'attaque par ransomware, l'inaccessibilité des données par les responsables constitue déjà une violation de la protection des données. Cela découle certes déjà indirectement de l'article 4, point 12, du RGPD, mais il est néanmoins remarquable de voir à quel point l'autorité de contrôle s'y réfère clairement.
Effets de la décision de l'autorité
Il convient tout d'abord de constater que les décisions des autorités de contrôle étrangères n'ont pas d'effets directs sur les autorités de contrôle allemandes - par exemple même par le biais d'un effet contraignant (indirect). La décision de l'autorité n'a pas non plus fait l'objet d'un examen judiciaire, de sorte que l'on ne sait pas si et dans quelle mesure elle résisterait à un contrôle.
La décision permet toutefois de déduire les exigences que les autorités de surveillance pourraient poser à l'avenir à la protection technique des données, c'est-à-dire la partie "pratique et technique" et non pas purement organisationnelle des exigences du RGPD. A une époque où les attaques de ransomware se multiplient, il s'agit là d'indications importantes. Il convient de noter l'importance accordée à l'installation rapide des correctifs de sécurité. Pour l'administrateur système, cela signifie un conflit d'objectifs entre un déploiement mesuré pour préserver la stabilité globale du système et le souhait de déployer le plus rapidement possible les correctifs et les nouvelles versions pour minimiser les risques (juridiques et techniques). Il ne faut pas non plus oublier que l'utilisation des logiciels les plus récents peut représenter un facteur de coût non négligeable, par exemple lorsque les correctifs de sécurité gratuits ne sont plus mis à disposition à la fin de la période de support et que des mises à jour payantes sont nécessaires, bien qu'une nouvelle fonctionnalité ne soit pas du tout nécessaire. En ce qui concerne ces exigences en matière de sécurité informatique, la décision contient souvent des mesures très concrètes et vaut donc la peine d'être lue par les responsables informatiques des entreprises (le texte intégral de la décision est disponible en anglais sous le lien suivant).
Conclusion
La décision montre à quel point il est important d'être préparé aux incidents liés à la protection des données dans le domaine de la sécurité informatique par des procédures internes définies. Il n'est pas nécessaire de faire preuve de beaucoup d'imagination pour se rendre compte que l'amende aurait été bien plus élevée si l'entreprise n'avait pas pu recourir à des instructions préétablies qui lui ont permis de gérer l'incident de manière exemplaire. Par ailleurs, il convient de noter que la protection des données et la sécurité informatique doivent désormais être pensées de manière encore plus cohérente. En effet, les infractions aux principes de la sécurité informatique peuvent entraîner des amendes en vertu du RGPD, même si le "pire des cas" en matière de protection des données ne se produit pas du tout sous la forme d'une fuite généralisée.
Nous vous conseillons régulièrement sur les thèmes de la sécurité informatique et de la protection des données et vous aidons volontiers à minimiser les risques en amont et lorsqu'un incident s'est déjà produit.