Pourquoi une entreprise a intérêt à porter plainte en cas de cyberattaque

Chiffrement des messageries, blocage des chaînes de production ou de distribution, exfiltration des données sensibles d’une entreprise, paralysie de son site marchand, perturbation des approvisionnements… La liste des actions malveillantes pouvant êtres conduites par des pirates informatiques a de quoi donner le tournis.

Et leurs modes d’action, souvent à distance et à partir de plateformes tierces qui leur permettent de se dissimuler, suscitent habituellement un sentiment d’impunité chez ces détrousseurs de l’ère numérique. Dans ce contexte, à quoi bon, se demandent les responsables d’entreprise, se donner la peine de déposer plainte ? Quand le désarroi gagne le comité de direction face à ces opérations dont les effets peuvent être très impressionnants, avec des pans entiers d’activité mis hors d’état de fonctionner, les esprits ne sont pas forcément au formalisme juridique. Et pourtant !

Utilité statistique
Pour commencer, les plaintes rendent possibles une évaluation concrète des cyberattaques quant aux cibles visées (types d’organisations concernées, leur localisation géographique, les dégâts constatés…), aux méthodes employées (signatures malveillantes, modes d’intrusion…) et au "timing" de ces campagnes frauduleuses. Ce qui constitue une contribution utile à la mesure effective de la cybermenace. La matérialisation de celle-ci sera par ailleurs de nature à convaincre les gestionnaires publics de consacrer des ressources humaines et financières adaptées à la lutte contre cette délinquance/criminalité. Sans données chiffrées, difficile de mesurer l’importance du phénomène malgré la multiplication des annonces de piratage annoncées dans la presse.

un état des lieux qui contribue à la résilience
Ensuite, le formalisme du dépôt de plainte oblige à caractériser le contexte technique et les pratiques en vigueur dans l’entreprise qui, trop souvent, ne sont pas très documentées. Ainsi, par exemple dans le cas d’un rançongiciel, on cherchera rapidement à reconstituer les circonstances de l’intrusion, à identifier les machines compromises en recensant les données (personnelles, financières, industrielles…) qu’elles contenaient et les privilèges d’utilisation qui y étaient associés.

Ce sera l’occasion à ce stade de préserver celle qui aura été identifiée comme étant la primo-affectée, en vue de possibles investigations supplémentaires à venir. Et de rechercher les journaux de connexion (logs) afin de pouvoir les examiner ultérieurement. Le fruit de la collecte de ces informations facilitera certainement l’identification et la mise en œuvre des mesures de remédiation, permettant de revenir à une situation la plus normale possible dans les meilleurs délais. Et contribuera à mesurer le préjudice subi. Une estimation qui servira aussi, le cas échéant, dans les discussions avec les assureurs, si ces derniers devaient être sollicités.

informer, même en cas de paiement d'une rançon
Enfin, rappelons ici que le paiement de la rançon exigée par les escrocs du Net n’est pas illégal, même si fortement déconseillé. Il sera donc utile pour les services d’enquêtes de connaitre le montant versé et les modalités de règlement afin d’envisager toutes les actions permettant de pister les racketteurs. Les policiers, gendarmes et magistrats que vous pourrez être amenés à rencontrer sont évidemment tenus au secret. Ce qui signifie que le dépôt de plainte n’inclut aucune publicité ni médiatisation. La victime reste donc totalement maîtresse de sa stratégie de (non) communication et de l’agenda dans lequel elle souhaitera prendre la parole au sujet du piratage subi.

La démarche judiciaire peut donc devenir une composante essentielle de la stratégie de protection des actifs numériques de l’entreprise et participer à sa bonne gouvernance technologique. Il faut donc pouvoir l’envisager, malgré le chaos que représente une cyberattaque dans la vie d’une entreprise.

Nicolas Arpagian, Directeur de la stratégie en cybersécurité de Trend Micro
Enseignant à l’Ecole Nationale Supérieure de la Police (ENSP) et à l’Ecole de Guerre Economique (EGE)

Liens utiles :
Cybermalveillance.gouv.fr rassemble les informatiques pratiques pour les victimes de cyberattaques
Contactez un commissariat de police ou une brigade de Gendarmerie
Modèle de plainte auprès du Procureur de la République
L’association France Victimes vous accompagne gratuitement pour déposer plainte


Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction.