Quelle responsabilité juridique pour les établissements cyberattaqués ?

"Breaking news : une association de patients attaque le Centre hospitalier Sud francilien[1] (CHSF) quant à sa responsabilité dans le contexte de l’attaque cyber subie par l’établissement et la publication de données sensibles (entre autres, médicales) sur les réseaux par les pirates pour faire pression sur le paiement d’une rançon.

Depuis 24 heures, on entend sur les réseaux d’experts, les listes de diffusion et la RSSI-o-sphère à peu près tous les qualificatifs : choquant, irresponsable, on tire sur l’ambulance, etc. La situation mérite tout de même une analyse un peu plus poussée, les épithètes susnommées étant largement sujettes à discussion. D’autant que la plainte elle-même n’est pas réellement une surprise, mais plutôt le fait qu’aucun recours n’ait déjà été formé contre des attaques cyber du même genre.

Tout d’abord, plainte ne vaut pas culpabilité. En ces temps troublés, dans certains milieux, politiques notamment, une légère tendance à l’amalgame s’installe, mais, jusqu’à preuve du contraire, c’est au juge de déterminer qui est coupable ou pas. Et qui définit aussi ce qu’il retient comme preuve ou pas. Point à la ligne.

Ensuite, si l’on considère que les associations de ce type disposent souvent d’un conseil juridique, et si l’on considère que pour porter plainte il faut une base légale, gageons que l’association en question a dû considérer que ladite base existait. Il en existe en tout cas au moins une : le RGPD, dans ses articles 24 et 32, entre autres, qui stipulent en substance que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Je laisse les juristes débattre de la portée de ces mesures, mais il me semble que l’on est en train de parler d’obligation de moyens. Nous pourrions aussi citer le Code de la santé publique qui nomme très précisément l’importance de la confidentialité des données médicales, et je gage que d’autres réglementations (directives NIS entre autres) doivent peu ou prou affirmer la même chose. Mais, me semble-t-il, toujours avec obligation de moyens..." Lire la suite