Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Quelle responsabilité juridique pour les établissements cyberattaqués ?

04 oct. 2022 - 10:57,
Tribune - Cédric Cartau
Breaking news : une association de patients attaque le Centre hospitalier Sud francilien[1] (CHSF) quant à sa responsabilité dans le contexte de l’attaque cyber subie par l’établissement et la publication de données sensibles (entre autres, médicales) sur les réseaux par les pirates pour faire pression sur le paiement d’une rançon.    

Depuis 24 heures, on entend sur les réseaux d’experts, les listes de diffusion et la RSSI-o-sphère à peu près tous les qualificatifs : choquant, irresponsable, on tire sur l’ambulance, etc. La situation mérite tout de même une analyse un peu plus poussée, les épithètes susnommées étant largement sujettes à discussion. D’autant que la plainte elle-même n’est pas réellement une surprise, mais plutôt le fait qu’aucun recours n’ait déjà été formé contre des attaques cyber du même genre.

Tout d’abord, plainte ne vaut pas culpabilité. En ces temps troublés, dans certains milieux, politiques notamment, une légère tendance à l’amalgame s’installe, mais, jusqu’à preuve du contraire, c’est au juge de déterminer qui est coupable ou pas. Et qui définit aussi ce qu’il retient comme preuve ou pas. Point à la ligne.

Ensuite, si l’on considère que les associations de ce type disposent souvent d’un conseil juridique, et si l’on considère que pour porter plainte il faut une base légale, gageons que l’association en question a dû considérer que ladite base existait. Il en existe en tout cas au moins une : le RGPD, dans ses articles 24 et 32, entre autres, qui stipulent en substance que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Je laisse les juristes débattre de la portée de ces mesures, mais il me semble que l’on est en train de parler d’obligation de moyens. Nous pourrions aussi citer le Code de la santé publique qui nomme très précisément l’importance de la confidentialité des données médicales, et je gage que d’autres réglementations (directives NIS entre autres) doivent peu ou prou affirmer la même chose. Mais, me semble-t-il, toujours avec obligation de moyens.

À partir de là, il existe trois hypothèses de travail. La première est que le réseau du CHSF était aussi troué qu’un gruyère, auquel cas le juge pourra effectivement considérer que les moyens « raisonnables » n’ont pas été mis en œuvre, au regard notamment de l’état de l’art (mots de passe complexes, segmentation des réseaux, etc.). Si telle était effectivement l’interprétation retenue, je conseille vivement à tous les DSI hospitaliers de changer dare-dare d’emploi et à tous les RSSI de bien vérifier que leur fiche de poste ne mentionne que des missions de conseil et d’alerte car, clairement, sur les 3 000 hôpitaux, il y en a bien 2 998 (je laisse la possibilité d’un dernier top moumoute) qui sont à peu près dans le même état de SSI et qui font évoluer leurs dispositifs de sécurité au fur et à mesure de l’évolution des modes d’attaque avec les moyens qu’on leur donne. Dit autrement, pour être plus clair, pas certain que l’on soit tous bien meilleurs que le CHSF.

Selon la deuxième hypothèse, les moyens ont été mis en œuvre, compte tenu de la connaissance des modes d’attaque et des moyens disponibles. Fermez le ban.

La troisième hypothèse, résultat d’une vision qui pour l’abbé Prévost relèverait du raisonnement d’un géomètre et de la bonne foi d’un inquisiteur, consiste à inverser moyens et résultat selon le paradigme suivant : si attaque il y a eu, c’est que des moyens n’ont pas été mis en œuvre. Si votre baraque a été cambriolée, c’est que la porte n’était pas assez épaisse et la serrure pas assez robuste. Cette interprétation est une négation de la distinction entre moyens et résultats, et considère que les moyens ne peuvent être jugés que par le résultat. C’est assez effrayant, et sachez que je suis déjà tombé sur des arguments comparables qui m’ont laissé ébahi puisqu’ils nient tout simplement la notion d’aléa.

Tout le raisonnement risque donc de tourner autour de la notion d’aléa : la mise en œuvre de moyens ne peut expliquer le résultat contraire (une attaque) que si cette dernière relève de l’aléa : on met en œuvre des moyens raisonnables face à une situation raisonnable. Que je sache, aucun RSSI n’a déployé de moyens pour faire face à une attaque cyber extraterrestre de la planète Zorglub. Mais si vous êtes issu d’une culture technique et pensez que c’est forcément la deuxième hypothèse qui sera retenue, sachez que c’est loin d’être acquis. Glisser sur une plaque de verglas quand vous êtes au volant, c’est un aléa. Mais glisser sur une plaque de verglas dans une région montagneuse en plein mois de décembre, est-ce toujours un aléa ? Subir une cyberattaque en 2019 (CHU de Rouen), c’est un aléa. Mais subir une cyberattaque en 2022 quand un hôpital par semaine se fait attaquer, est-ce toujours un aléa ? Bref l’expertise technique va être déterminante dans le cas présent, tout comme ce qui sera retenu ou non en tant qu’aléa.

À découvrirEn direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Mais le plus important est ce qui suit : le droit est une matière vivante qui évolue au fur et à mesure des dossiers, surtout lorsqu’il y a vide juridique ou absence de jurisprudence. Pour s’en convaincre, il suffit de relire l’arrêt Nikon (2001) qui, le premier, a posé le principe du droit résiduel à la vie privée sur le lieu de travail et qui, surtout, n’y a posé aucune limite, plongeant les RSSI de l’époque de même que les directions RH et juridiques dans des discussions sans fin, notamment sur la confidentialité des mails. Il aura fallu plus de dix ans et quelques arrêts supplémentaires pour que le balancier revienne dans le sens inverse et encadre la vie privée, mais, dans l’intervalle, des situations très délicates se sont produites.

Je conseille vivement, mais alors très vivement, à tous les DSI, RSSI, juristes internes de regarder très très attentivement l’évolution de cette plainte, dont le règlement risque de donner le ton pour les dix prochaines années : selon que la notion d’aléa sera retenue ou non, selon la portée de l’obligation de moyens versus de résultat, les suites données à cette plainte donneront le la d’une bonne partie des actions futures coordonnées des DSI/RSSI. À la question de savoir laquelle de la deuxième ou de la troisième hypothèse primera, j’ai bien du mal à donner un pronostic, mais une chose est sûre : c’est souvent à l’occasion d’une plainte que les choses évoluent, tous domaines confondus.

[1] https://www.egora.fr/actus-pro/faits-divers-justice-hopitaux-cliniques/76618-piratage-informatique-une-association-de 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.