La lettre de Frédéric Simottel n°27 ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌
Cette newsletter vous a été transférée ?
Abonnez-vous en cliquant ici
⚖️ Quand la justice entre en « mauvaise » action
La lettre de Frédéric Simottel n°27
Comme ailleurs, en Suisse, les univers des technologies et des médias s’intéressent de près aux dernières évolutions en intelligence artificielle autour notamment des ChatGPT, Bard et consorts. Certes une révolution majeure est en cours mais qui ne doit pas occulter l’autre phénomène d’ampleur du moment : les cyberattaques. Et dans ce domaine, la Suisse reste une cible de choix pour les hackers comme le souligne le journal  Le Temps. Problème, beaucoup d’entreprises ou d’institutions attaquées préfèreraient passer sous silence leurs mésaventures. On les comprend. Mais l’expérience nous montre que la discrétion voire le mutisme ne figurent pas parmi les meilleures stratégies de défense…—Frédéric Simottel
L’affaire fait couler beaucoup en Suisse alémanique. Le 24 mars, nous apprenions que les groupes de presse CH Media et NZZ étaient touchés par une cyberattaque avec vol de données et menace de publication de ces informations sur le darknet si une rançon n’était pas versée. Sans action de la part des piratés, et après plusieurs ultimatums, un groupe de hackers baptisé Play a fini par mettre ses menaces à exécution. Il a publié au cours de la première quinzaine du mois de mai des centaines de gigaoctets de données volées sur le darknet. Plusieurs articles de presse relatent alors les faits sans entrer dans le détail des informations volées (et sans visiblement aller consulter le darknet pour analyser le degré de confidentialité de ces mêmes données). Et c’est là qu’entrent en lice les avocats des médias victimes du vol de données.

Divulguer les piratages par voie de presse équivaut-il vraiment à augmenter le risque
Sous le prétexte de « risque d’atteinte aux droits de la personnalité » les avocats de CH Media et NZZ exigent formellement qu’aucune information confidentielle ne soit publiée site au piratage subi. Le Tribunal de commerce d’Argovie a donné suite à ces requêtes et a considéré que «la disponibilité d’informations sur le darknet ne justifie pas la diffusion de ces informations par ailleurs confidentielles, d’autant plus que seul un petit cercle de personnes techniquement expérimentées peut accéder au darknet et peut y télécharger des informations. Une divulgation de ces informations par des médias plus traditionnels équivaudrait donc à augmenter considérablement le cercle de personnes qui peuvent en prendre connaissance.» Avertissement sans frais donc, même si les avocats prennent ensuite la précaution de rajouter : «Ce courrier ne doit pas être interprété comme vous interdisant de rendre compte de manière objective et conformément aux normes journalistiques des incidents liés à cette cyberattaque et à d’autres, comme vous l’avez d’ailleurs fait jusqu’à ce jour.» Aucun reproche n’est donc fait aux journalistes. Il leur est -juste- demander de ne pas descendre dans le détail des informations divulguées sur le darknet. Comme je l’ai mentionné plus haut, personne n’est allé aussi loin dans la quête des informations divulguées illégalement. Toutefois, plutôt que de laisser tel quel leurs articles, certains sites et journaux ont effacé purement et simplement leurs articles…

Se taire, en dire le minimum ou tout raconter
La question est simple : faut-il choisir de témoigner sur ce type de piratage pour informer et sensibiliser les populations au risque d’interpeller des pirates potentiels à se rendre sur le darknet. Ou faut-il se taire et en dire le strict minimum.
Evidemment, tout glisser sous le tapis est la pire des choses à faire. Déjà en termes de RGPD, si des données personnelles sont concernées, l’entreprise sortira du cadre réglementaire et s’exposera à des sanctions. Comment masquer en outre une fuite de données à ses propres collaborateurs, pire à ses clients qui finiront par le découvrir un jour ou l’autre. Je me souviens d’une PME bretonne entièrement bloquée par un rançongiciel il y a quelques années. Cette dernière avait tout de suite choisi d’informer ses clients et partenaires. Ne serait-ce déjà pour leur dire de se méfier car les pirates pouvaient agir par rebond chez ces mêmes partenaires. Cette initiative avait d’ailleurs été très bien accueillie par l’écosystème de cette PME ; certains se proposant même de lui venir en aide immédiatement.
Autre exemple avec le sous-traitant d’un géant de l’agroalimentaire, qui, pris sous le feu d’une attaque, s’est rendu compte qu’il n’avait pas cotisé -par méconnaissance technique- à toutes les options de son contrat de prestation informatique. Son fournisseur lui a un peu mis le couteau sous la gorge. Alerté, c’est le géant de l’agroalimentaire, gros client de ce prestataire informatique qui a demandé à ce dernier de baisser la garde auprès de son sous-traitant…
Abonnez-vous pour lire l’article dans son intégralité, et profitez cette semaine d’une tribune exclusive signée Alain Bouillé, Délégué Général du CESIN.
Je profite de l’offre à seulement 2.50Є / mois
En fait, tout est affaire de communication et de transparence. Le meilleur moyen pour une entreprise de gérer la crise est surtout de communiquer. Y compris avec les médias en travaillant de concert sur les informations à divulguer. En témoignant à visage découvert, la victime prévient tout son écosystème -y compris ses concurrents- et peut ainsi appeler à la plus grande vigilance dans leurs prochaines interactions. Il en va en fait de l’intérêt public.

Une communauté juridique pas assez au contact du terrain numérique
Autre leçon à retenir du cas suisse, la méconnaissance des pratiques numériques de la part de la profession juridique. S’en tenir uniquement aux textes, c’est bien. Connaître le terrain et comprend ce qui s’y passe c’est mieux. Croire par exemple que le darknet n’est accessible qu’à des techniciens avertis fera sourire toute la communauté de la sécurité informatique. Les députés à l’origine du projet de loi de régulation de l’espace numérique (SREN) l’ont d’ailleurs bien compris et ont décidé de déléguer les décisions à l’Arcom plutôt que de laisser les tribunaux s’en mêler, du moins dans un premier temps. Certes l’équilibre est compliqué et le droit permet de donner du temps pour évaluer le contradictoire mais dans l’espace numérique, la situation est souvent plus simple que dans la vraie vie.
...
Vous souhaitez lire la suite de cet article ?
Cet article est réservé aux abonnés payants, abonnez vous dès maintenant pour le recevoir en intégralité et lire la suite.
Passer à la version payante
Vous avez aimé cette newsletter ? Likez, partagez, abonnez-vous !
Passer à la version payante
publication_image
BFM Business Cybersécurité
Par Frédéric Simottel
Journaliste à BFM Business en charge notamment des questions de cybersécurité, je suis heureux de partager avec vous chaque semaine l’actualité du secteur mais aussi ma revue de presse et des tribunes
"Vous recevez ce mail car vous vous êtes abonné à la newsletter BFM Business Cybersécurité sur Kessel. Pour gérer votre abonnement, cliquez ici.
© 2023 Kessel