Quelle responsabilité juridique pour les établissements cyberattaqués ?

Depuis 24 heures, on entend sur les réseaux d’experts, les listes de diffusion et la RSSI-o-sphère à peu près tous les qualificatifs : choquant, irresponsable, on tire sur l’ambulance, etc. La situation mérite tout de même une analyse un peu plus poussée, les épithètes susnommées étant largement sujettes à discussion. D’autant que la plainte elle-même n’est pas réellement une surprise, mais plutôt le fait qu’aucun recours n’ait déjà été formé contre des attaques cyber du même genre.

Tout d’abord, plainte ne vaut pas culpabilité. En ces temps troublés, dans certains milieux, politiques notamment, une légère tendance à l’amalgame s’installe, mais, jusqu’à preuve du contraire, c’est au juge de déterminer qui est coupable ou pas. Et qui définit aussi ce qu’il retient comme preuve ou pas. Point à la ligne.

Ensuite, si l’on considère que les associations de ce type disposent souvent d’un conseil juridique, et si l’on considère que pour porter plainte il faut une base légale, gageons que l’association en question a dû considérer que ladite base existait. Il en existe en tout cas au moins une : le RGPD, dans ses articles 24 et 32, entre autres, qui stipulent en substance que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Je laisse les juristes débattre de la portée de ces mesures, mais il me semble que l’on est en train de parler d’obligation de moyens. Nous pourrions aussi citer le Code de la santé publique qui nomme très précisément l’importance de la confidentialité des données médicales, et je gage que d’autres réglementations (directives NIS entre autres) doivent peu ou prou affirmer la même chose. Mais, me semble-t-il, toujours avec obligation de moyens.

À partir de là, il existe trois hypothèses de travail. La première est que le réseau du CHSF était aussi troué qu’un gruyère, auquel cas le juge pourra effectivement considérer que les moyens « raisonnables » n’ont pas été mis en œuvre, au regard notamment de l’état de l’art (mots de passe complexes, segmentation des réseaux, etc.). Si telle était effectivement l’interprétation retenue, je conseille vivement à tous les DSI hospitaliers de changer dare-dare d’emploi et à tous les RSSI de bien vérifier que leur fiche de poste ne mentionne que des missions de conseil et d’alerte car, clairement, sur les 3 000 hôpitaux, il y en a bien 2 998 (je laisse la possibilité d’un dernier top moumoute) qui sont à peu près dans le même état de SSI et qui font évoluer leurs dispositifs de sécurité au fur et à mesure de l’évolution des modes d’attaque avec les moyens qu’on leur donne. Dit autrement, pour être plus clair, pas certain que l’on soit tous bien meilleurs que le CHSF.

Selon la deuxième hypothèse, les moyens ont été mis en œuvre, compte tenu de la connaissance des modes d’attaque et des moyens disponibles. Fermez le ban.

La troisième hypothèse, résultat d’une vision qui pour l’abbé Prévost relèverait du raisonnement d’un géomètre et de la bonne foi d’un inquisiteur, consiste à inverser moyens et résultat selon le paradigme suivant : si attaque il y a eu, c’est que des moyens n’ont pas été mis en œuvre. Si votre baraque a été cambriolée, c’est que la porte n’était pas assez épaisse et la serrure pas assez robuste. Cette interprétation est une négation de la distinction entre moyens et résultats, et considère que les moyens ne peuvent être jugés que par le résultat. C’est assez effrayant, et sachez que je suis déjà tombé sur des arguments comparables qui m’ont laissé ébahi puisqu’ils nient tout simplement la notion d’aléa.

Tout le raisonnement risque donc de tourner autour de la notion d’aléa : la mise en œuvre de moyens ne peut expliquer le résultat contraire (une attaque) que si cette dernière relève de l’aléa : on met en œuvre des moyens raisonnables face à une situation raisonnable. Que je sache, aucun RSSI n’a déployé de moyens pour faire face à une attaque cyber extraterrestre de la planète Zorglub. Mais si vous êtes issu d’une culture technique et pensez que c’est forcément la deuxième hypothèse qui sera retenue, sachez que c’est loin d’être acquis. Glisser sur une plaque de verglas quand vous êtes au volant, c’est un aléa. Mais glisser sur une plaque de verglas dans une région montagneuse en plein mois de décembre, est-ce toujours un aléa ? Subir une cyberattaque en 2019 (CHU de Rouen), c’est un aléa. Mais subir une cyberattaque en 2022 quand un hôpital par semaine se fait attaquer, est-ce toujours un aléa ? Bref l’expertise technique va être déterminante dans le cas présent, tout comme ce qui sera retenu ou non en tant qu’aléa.

À découvrir → En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Mais le plus important est ce qui suit : le droit est une matière vivante qui évolue au fur et à mesure des dossiers, surtout lorsqu’il y a vide juridique ou absence de jurisprudence. Pour s’en convaincre, il suffit de relire l’arrêt Nikon (2001) qui, le premier, a posé le principe du droit résiduel à la vie privée sur le lieu de travail et qui, surtout, n’y a posé aucune limite, plongeant les RSSI de l’époque de même que les directions RH et juridiques dans des discussions sans fin, notamment sur la confidentialité des mails. Il aura fallu plus de dix ans et quelques arrêts supplémentaires pour que le balancier revienne dans le sens inverse et encadre la vie privée, mais, dans l’intervalle, des situations très délicates se sont produites.

Je conseille vivement, mais alors très vivement, à tous les DSI, RSSI, juristes internes de regarder très très attentivement l’évolution de cette plainte, dont le règlement risque de donner le ton pour les dix prochaines années : selon que la notion d’aléa sera retenue ou non, selon la portée de l’obligation de moyens versus de résultat, les suites données à cette plainte donneront le la d’une bonne partie des actions futures coordonnées des DSI/RSSI. À la question de savoir laquelle de la deuxième ou de la troisième hypothèse primera, j’ai bien du mal à donner un pronostic, mais une chose est sûre : c’est souvent à l’occasion d’une plainte que les choses évoluent, tous domaines confondus.

[1] https://www.egora.fr/actus-pro/faits-divers-justice-hopitaux-cliniques/76618-piratage-informatique-une-association-de 

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.