La situation se présente journellement dans quantités d’entreprises en Suisse et en Europe : un hacker malicieux pénètre dans votre système, crypte vos données et exige le paiement d’une « rançon » pour que vous puissiez les récupérer, usuellement en cryptomonnaies plus ou moins exotiques.

Que faire ?

Il est d’abord certainement bénéfique de jurer un bon coup, et de maudire l’état du monde et la méchanceté des hommes.

Regretter de ne pas avoir nommé un Data Protection Officer qui vous aurait préparé à ce genre de calamité en édictant des check-lists et des mesures d’urgence à prendre (cf. https://droitdutravailensuisse.com/data-protection-officer/)? C’est un peu tard.

Il est en tout cas une question à laquelle vous devrez répondre assez vitre, c’est de payer la rançon ou non.

Le National Cyber Security Centre (NCSC) et l’Information Commissioner’s Office (ICO) ont publié une lettre conjointe à ce propos qu’ils ont adressé à la Law Society le 7 juillet 2022 concernant The legal profession and its role in supporting a safer UK online :

https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/07/ico-and-ncsc-stand-together-against-ransomware-payments-being-made/

Qu’en retenir ?

« (…) In recent months, we have seen an increase in the number of ransomware  attacks and ransom amounts being paid and we are aware that legal advisers are often retained to advise clients who have fallen victim to ransomware on how to respond and whether to pay. It has been suggested to us that a belief persists that payment of a ransom may protect the stolen data and/or result in a lower penalty by the ICO should it undertake an investigation. We would like to be clear that this is not the case.

Law Enforcement does not encourage, endorse nor condone the payment of ransoms. While payments are not usually unlawful, payers should be mindful of how relevant sanctions regimes (particularly those related to Russia) – and their associated public guidance – may change that position. More importantly, payment incentivises further harmful behaviour by malicious actors and does not guarantee decryption of networks or return of stolen data. UK data protection law requires organisations to take appropriate technical and organisational measures to keep personal information secure and to restore information in the event of an information security incident. As regulator, the ICO recognises in setting its response and any penalty level the actions taken to mitigate the risk of harm to individuals involved in a data breach. For the avoidance of doubt the ICO does not consider the payment of monies to criminals who have attacked a system as mitigating the risk to individuals and this will not reduce any penalties incurred through ICO enforcement action.

Where the ICO will recognise mitigation of risk is where organisations have taken steps to fully understand what has happened and learn from it, and, where appropriate, they have raised their incident with the NCSC, reported to Law Enforcement via Action Fraud, and can evidence that they have taken advice from or can demonstrate compliance with appropriate NCSC guidance and support. »

On ne saurait être plus clair.

Payer ne représente donc pas une garantie quant au recouvrement des données, à leur sécurité et au risque de leur utilisation postérieure par des tiers. Ce n’est pas davantage une mesure adéquate pour limiter le risque ou un facteur qui serait pris en compte au moment de la fixation d’éventuelles sanctions.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)