Club de la sécurité de l’information français

Rançon : payer ou ne pas payer ?

Regards croisés juridique & assurantiel
Garance MATHIAS Luc VIGNANCOUR
Avocat à la Cour – Mathias Avocats Marsh
@GaranceMathias @Agalma92

#PANOCRIM
Club de la sécurité de l’information français Rançongiciels ou Attaque ciblée

Panorama de la Cybercriminalité - 2017 #PANOCRIM

Club de la sécurité de l’information français
Le rançongiciel est-il saisi par le droit ?
➢ La réponse est positive

➢ C’est un logiciel malveillant, donc repréhensible

• Notamment l’offre, l’importation, la détention, la mise à disposition ou la cession de
programmes malveillants (art. 323-3-1 du Code pénal)
➢ Qui a de nombreuses et importantes conséquences juridiques tant sur le plan
matériel qu’immatériel :
• Perte de données à caractère personnel (art.226-17 du Code pénal)
• Atteinte à la sécurité du système d’information
• Notamment introduction frauduleuse de données (art.323-3 du Code Pénal)

19/01/2018 Panorama de la Cybercriminalité - 2017 #PANOCRIM

Club de la sécurité de l’information français
Le rançongiciel est-il saisi par le droit ?
➢ La réponse est positive
➢ Extorsion (art 321-1 du Code pénal) est le fait d'obtenir par violence, menace de violences ou contrainte soit une
signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou
d'un bien quelconque. L'extorsion est punie de sept ans d'emprisonnement et de 100 000 euros d'amende.

➢ Chantage (art 312-10 du Code pénal) est le fait d'obtenir, en menaçant de révéler ou d'imputer des faits de nature à
porter atteinte à l'honneur ou à la considération, soit une signature, un engagement ou une renonciation, soit la
révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque, Le chantage est puni de cinq ans
d'emprisonnement et de 75 000 euros d'amende.

➢ De la remise de fonds sous contrainte (art 312-12-1 du Code Pénal) est le fait, en réunion et de manière agressive, ou
sous la menace d'un animal dangereux, de solliciter, sur la voie publique, la remise de fonds, de valeurs ou d'un bien
est puni de six mois d'emprisonnement et de 3 750 euros d'amende.

➢ Autres délits : recel, complicité, abus de confiance, blanchiment des capitaux, bande organisée….

19/01/2018 Panorama de la Cybercriminalité - 2017 #PANOCRIM

Club de la sécurité de l’information français
Le rançongiciel est-il saisi par le droit ?
➢ L’incrimination pénale nécessite la réunion de 3 éléments

➢ Un élément légal, le fait que l’acte soit réprimé pénalement (article 111-3 du code pénal
« Nul ne peut être puni pour un crime ou pour un délit dont les éléments ne sont pas
définis par la loi, ou pour une contravention dont les éléments ne sont pas définis par le
règlement. »),

➢ Un élément matériel, c’est-à-dire une exécution ou un début d’exécution (article 121-1 du

code pénal « Nul n'est responsable pénalement que de son propre fait. »),

➢ Un élément intentionnel, le fait de commettre l’acte répréhensible sciemment (article 121-

3 du code pénal « Il n'y a point de crime ou de délit sans intention de le commettre »).

➢ Appréciation souveraine des juges

19/01/2018 Panorama de la Cybercriminalité - 2017 #PANOCRIM

Club de la sécurité de l’information français
Le rançongiciel est-il saisi par le droit ?
➢ Que faire pour une victime (personne qui subit personnellement et
directement un préjudice physique, moral ou matériel) ?

➢ Dépôt de plainte ?
➢ Dépôt de plainte avec constitution de partie civile ?
➢ Comment gérer la réparation matérielle des dégâts causés ?
➢ Comment gérer le risque d’image ?
➢ Impact du RGDP et du projet de loi de transposition de la directive NIS
• Obligations de notifier les violations de données à caractère personnel
• Obligation de déclarer les incidents de sécurité pour certains types d’acteurs à l’ANSSI

19/01/2018 Panorama de la Cybercriminalité - 2017 #PANOCRIM

Club de la sécurité de l’information français
Le rançongiciel est-il assuré ?
➢ Pour parler assurance, il faut parler impact financier

➢ Gestion de crise ?

➢ Investigation ?

➢ Décontamination ?

➢ Rançon ?

➢ Mais aussi : Déclenchement de la charge

19/01/2018 Panorama de la Cybercriminalité - 2017 #PANOCRIM

Club de la sécurité de l’information français
Le rançongiciel est-il assuré ?
➢ Pour parler assurance il faut parler impact financier
➢ Divulgation d’information
• Notification
• Image
• Réclamation de Tiers
➢ Indisponibilité des SI
• Arrêt d’activité
• Mesures compensatoires
• Réclamation de Tiers
➢ Intégrité des données
• Arrêt d’activité
• Réclamation de Tiers
• Réparation / Reconstitution

19/01/2018 Panorama de la Cybercriminalité - 2017 #PANOCRIM

Club de la sécurité de l’information français
Rançongiciel

• Arrêt d’activité • Gestion de crise • Réclamation de Tiers

• Mesures compensatoires • Investigation
• Décontamination
• Rançon

Impact sur l’activité Surcoûts Responsabilité civile

Panorama de la Cybercriminalité - 2017 #PANOCRIM