Si l’expérience d’une violation de données est partagée par un grand nombre de DPO-RSSI, peu ont eu la possibilité de mener des poursuites judiciaires post-incident –faute de pouvoir identifier l’attaquant– et d’obtenir condamnation, voire réparation des dommages causés.

Mais lorsque l’opportunité se présente, comment coordonner DPO, RSSI et service juridique ? Comment mener l’analyse forensic ? Comment constituer des preuves licites et porter plainte ?

Un retour d’expérience que nous vous livrons avec cette reconstitution qui vous éclairera sur les actions à mener.

1- Retour sur les faits

Bibliothèque universitaire, des activités suspectes ayant cours sur le serveur de la BU alertent le responsable informatique.

Les journaux d’activités lui révèlent une utilisation non-autorisée du compte administrateur de la BU depuis un des ordinateurs fixes accessibles au public universitaire :

· Accès au serveur du personnel de la BU
· Installation de logiciels non-autorisés
· Transmission de fichiers contenant des données personnelles vers un serveur extérieur
· Modification de fichiers

Après avoir identifié le terminal concerné, il se rend dans la BU et interpelle l’attaquant, un étudiant guidé par la volonté de nuire.

2- Les enjeux pour l’établissement victime

Constitutifs d’un acte de criminalité informatique et de piratage (loi Godfrain du 5 janvier 1988) et d’une violation de données personnelles au sens du RGPD, ces faits entrainent pour l’établissement :

· L’obligation de notifier la violation de données personnelles à la CNIL
· Le droit de porter plainte contre l’étudiant pour ces deux infractions

Un double enjeu dont la réussite repose sur le travail coordonné du DPO et du RSSI.

Il est important de noter que la notification d’une violation de données à la CNIL est un exercice qui diffère de « l’analyse forensic » (investigation numérique). Le premier étant déclaratif afin de répondre à une obligation vis-à-vis de l’autorité de contrôle, le second étant probatoire afin d’obtenir réparation auprès de l’attaquant.

Par conséquent, ce second implique de constituer un véritable dossier de preuves et d’en expliquer le contenu dans un langage très clair pour assurer la recevabilité de la plainte par le procureur.

3- Prouver les faits

La constitution des preuves numériques s’effectue via l’analyse des « logs » (journaux d’activités), laquelle doit être réalisée par le RSSI.

Afin d’être en parfaite conformité RGPD, rappelons au préalable la nécessité de faire figurer au registre des traitements :

· l’activité de sécurisation du système d’information au moyen d’outils d’analyse des logs, avec une durée de conservation allant de 6 à 12 mois ;
· l’activité de traitement des logs à des fins de poursuites judiciaires, avec une durée de conservation ne dépassant pas 5 ans à compter de la date de l’attaque.

Retraçant les activités litigieuses, le RSSI obtient l’enregistrement suivant :

A partir de celui-ci, il déroule le scénario suivi par l’attaquant.

A-Pénétration du système et abaissement de la sécurité

Connecté à l’ordinateur fixe de la BU via son compte universitaire, l’étudiant utilise les commandes du système d’exploitation pour élever ses droits d’utilisateur, ce qui lui permet ensuite de modifier les paramètres de sécurité afin d’autoriser la connexion via les ports USB de l’ordinateur.

B-Installation d’un script d’attaque et accès au compte administrateur

L’accès aux connectiques USB étant désormais possible, il branche une clé USB contenant un programme qu’il exécute pour exploiter la faille RPC du système d’exploitation afin d’accéder au compte administrateur.

C-Installation d’un proxy et exfiltration de données

A présent connecté en tant qu’administrateur, il accède au serveur du personnel de la BU et installe un proxy afin de transférer 1 Go de fichiers vers un serveur inconnu.

D-Modification de fichiers

Dernier fait de l’attaquant avant d’être stoppé, il modifie le fichier alimentant le panneau d’affichage d’information afin de le détourner.

Le scénario ayant été reconstitué à l’aide des éléments de preuves pertinents, le RSSI doit :

· réaliser une copie de ces enregistrements afin de les conserver dans un dossier sécurisé et dédié aux poursuites judiciaires ;
· produire le rapport d’attaque décrivant le scénario décrit ci-dessus et ses conséquences sur les données personnelles et le système d’information.

4-Attribuer l’attaque à son auteur

Pris en flagrant délit sur le lieu de l’attaque, l’étudiant a aussitôt été convoqué par la direction de l’établissement afin de produire des aveux rédigés en présence du RSSI pour diriger les échanges à l’appui des logs.

Ceux-ci constituent un élément de preuve aux fins de rattacher les faits à son auteur, ce qui renforce les chances de poursuites judiciaires et atténue le risque de contestation des faits par l’auteur.

Cette preuve est d’autant plus précieuse que dans la majorité des cyberattaques –qui sont des attaques à distance – il est extrêmement difficile d’en identifier l’auteur.

5-Porter plainte auprès du procureur

Fruit de la collaboration entre RSSI, DPO et la direction juridique de l’établissement, la lettre de plainte doit exposer les faits le plus clairement possible et les qualifier au regard des lois applicables afin de faciliter sa prise en charge par le procureur de la République.

Elle doit être accompagnée de l’ensemble des preuves constituées.

Afin d’accélérer la prise en charge de l’infraction, la plainte doit être directement adressée au procureur de la République du tribunal de grande instance du lieu de l'infraction ou du domicile de l'auteur de l'infraction.

Une fois la plainte déposée, le plus gros du travail est accompli et reste au procureur de se prononcer sur sa recevabilité, voire demander des preuves complémentaires qui devront être transmises dans le respect du RGPD.

6- Conclusion

Les poursuites judiciaires contre l'auteur d'une cyberattaque se heurtent à la difficulté de l'identifier.
Lorsque cette opportunité se présente, il convient d'agir vite, de collecter les preuves pertinentes et de communiquer dans un langage clair avec la justice afin de faciliter la prise en charge de la plainte.

Dans le cas d'espèce, les aveux de l'attaquant nous ont permis d'accélérer le processus judiciaire et d'aboutir à sa condamnation.

Une expérience désormais érigée en guidelines sur la gestion juridique post-incident et qui met en lumière les acteurs pertinents et leurs rôles à jouer dans sa réussite.