Cybersécurité : les risques et les moyens de protection après une fuite de données (avocate)

L’attaque informatique qui a récemment ciblé la Caisse nationale de sécurité sociale (CNSS) a mis en évidence la vulnérabilité des systèmes publics face à la cybercriminalité. Elle soulève également des questions cruciales sur la protection des données personnelles et les conséquences directes sur les citoyens.

Au-delà de l’atteinte à la sécurité des systèmes, la fuite de données sensibles expose les individus à des risques de fraude, d’usurpation d’identité et de manipulation financière etc. Des informations telles que les numéros de sécurité sociale, les adresses et les coordonnées bancaires peuvent être utilisées à des fins malveillantes, créant ainsi un terrain propice à des arnaques.

Les impacts ne se limitent pas uniquement à des pertes financières immédiates. L’utilisation non autorisée de ces données peut également engendrer des atteintes à la vie privée et, dans les cas les plus graves, compromettre l’intégrité des personnes concernées. Ces risques nécessitent une vigilance accrue de la part des autorités compétentes, mais aussi une prise de conscience collective sur l’importance de la cybersécurité dans la gestion des informations personnelles sensibles.

Pour comprendre les risques concrets qui pèsent sur les personnes dont les données à caractère personnel ont été compromises, Me Bouchra Bouiri, avocate aux barreaux de Casablanca et de Paris, nous livre une analyse approfondie et éclairée.

La prise de conscience des risques potentiels

"Le piratage du système d’information de la Caisse nationale de sécurité sociale (CNSS) a mis en lumière, de manière brutale, la vulnérabilité structurelle des systèmes numériques publics face à la cybercriminalité", constate-t-elle. Elle souligne que "cette atteinte à la sécurité des systèmes d’information soulève des interrogations légitimes quant à l’effectivité des garanties juridiques encadrant la protection des données à caractère personnel des assurés sociaux, ainsi qu’à la rigueur des dispositifs mis en œuvre pour assurer leur traitement licite, leur sécurisation et le respect des droits fondamentaux des personnes concernées".

Certes, il existe des lois, mais sont-elles suffisantes ?  Pour Me Bouchra Bouiri, le fait "qu’il existe des lois protégeant les données personnelles est insuffisant, une prise de conscience des personnes sur la valeur de leurs données et les risques auxquels sont exposées suite à une cyberattaque est primordiale".

Elle rappelle la définition même de la donnée à caractère personnel. "Fondamentalement, qu’est-ce qu’une donnée personnelle ? un nom, un prénom, un numéro de carte nationale, un RIB etc. Oui, mais pas seulement", souligne-t-elle.

"Une donnée à caractère personnel est considérée par la loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel comme ‘toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable (…)’. Lorsqu’une compromission de données à caractère personnel intervient, les titulaires de ces informations se trouvent exposés à une pluralité de risques dont la gravité ne saurait être sous-estimée", insiste-t-elle.

Et d’expliquer : "Ces atteintes peuvent porter préjudice tant à leur intégrité morale, notamment à travers la violation de leur vie privée, qu’à leur situation juridique ou patrimoniale, en facilitant des actes tels que l’usurpation d’identité, la fraude ou l’exploitation illicite de leurs informations personnelles à des fins malveillantes".

Parmi les risques les plus graves figure l’atteinte à la vie privée. "Le droit marocain prévoit à cet égard toutes une série de dispositions juridiques visant à protéger la vie privée des personnes".

En effet, aux termes de l’article 24 de la constitution marocaine ‘toute personne a droit à la protection de sa vie privée’. La protection de la vie privée a ensuite été protégée et consacrée par les dispositions de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, dont l’article premier dispose dans son alinéa 1 que "l’informatique est au service du citoyen et évolue dans le cadre de la coopération internationale. Elle ne doit pas porter atteinte à l’identité, aux droits et aux libertés collectives ou individuelles de l’Homme. Elle ne doit pas constituer un moyen de divulguer des secrets de la vie privée des citoyens".

"Dans ce cadre, la divulgation illicite ou non consentie de données personnelles, telles que l’identité, les coordonnées bancaires, les données de santé ou la situation sociale, constitue sans aucun doute une ingérence directe dans la sphère privée de l’individu, générant un préjudice souvent irréversible", affirme Me Bouiri.

Mais ce n’est pas tout. "À ce premier risque s’ajoute un risque majeur d’exploitation à des fins commerciales ou frauduleuses", avertit-elle. "Les données déorbées peuvent être détournées pour alimenter des bases de données illégales, faire l’objet de reventes à des tiers non autorisés, ou encore être utilisées à des fins de profilage, de ciblage publicitaire abusif, voire de discrimination".

Elle alerte aussi sur la fraude et l’usurpation d’identité. "Ce détournement peut aussi ouvrir la voie à des actes de fraude et d’usurpation d’identité, particulièrement préoccupants lorsque les informations dérobées permettent à des tiers de contracter, d’accéder à des comptes bancaires ou de se prévaloir faussement de la qualité de la personne concernée".

Les données volées deviennent des biens précieux pour les cybercriminels

L’impact peut aussi être réputationnel. "En outre, la fuite de données peut engendrer des atteintes à la réputation. La diffusion d’informations sensibles ou intimes dans l’espace public ou sur les réseaux sociaux peut porter un coup sévère à l’image sociale et professionnelle de la victime, altérant sa crédibilité, ses relations ou même ses perspectives d’emploi". Et d’ajouter : "Ces atteintes sont d’autant plus graves qu’elles sont amplifiées par la viralité propre au numérique, rendant toute tentative de réparation souvent illusoire".

Parfois, les conséquences peuvent aller jusqu’au harcèlement, comme le relève Me Bouiri qui rappelle que "les victimes peuvent être exposées à des formes insidieuses de harcèlement, de chantage ou d’extorsion, notamment lorsque les données dévoilées concernent des aspects sensibles de la vie privée".

Selon elle, ce constat mène à une conclusion sans appel : "Il apparaît que la fuite de données à caractère personnel ne saurait être envisagée comme un simple incident technique : elle constitue une atteinte grave aux droits fondamentaux, dont les conséquences juridiques, morales et économiques exigent une vigilance renforcée tant de la part des responsables de traitement que des autorités compétentes".

Des risques de blanchiment de données

Quant aux usages concrets de ces données volées, Me Bouiri explique qu’"après une cyberattaque, les données volées deviennent des biens précieux pour les cybercriminels qui cherchent à les exploiter de manière lucrative à travers un système criminel organisé. Trois grands axes structurent cette exploitation. Il s’agit du blanchiment des données ; l’utilisation pour d’autres attaques et la fraude financière directe".

Elle détaille d’abord le phénomène du "blanchiment des données". Selon elle, "cette expression n’est pas encore formellement définie par le législateur ou les dictionnaires juridiques. Par analogie avec le blanchiment des capitaux, elle consiste à dissimuler l’origine criminelle des informations compromises pour les rendre exploitables sans éveiller de soupçons".

Et d’ajouter : "Ces données, une fois blanchies, sont revendues sur des marchés noirs ou utilisées dans des transactions légitimes afin de minimiser les risques de détection par les autorités compétentes".

"Ensuite, les données personnelles volées, telles que les coordonnées bancaires, les numéros d’identification ou les informations relatives à la sécurité sociale, constituent des instruments idéaux pour mener d’autres attaques", poursuit-elle.

Elle cite notamment le phishing. "En utilisant ces informations, les cybercriminels peuvent se livrer à des escroqueries par phishing, où ils se font passer pour des entités légitimes, banques, administrations ou entreprises, afin de soutirer de l’argent ou d’obtenir encore plus de données sensibles".

L’usurpation d’identité est également une méthode répandue, puisque, comme l’explique Me Bouiri, "les criminels exploitent les informations volées pour se faire passer pour leurs victimes et ainsi pénétrer des systèmes ou ouvrir des comptes au nom de celles-ci".

Enfin, Me Bouiri évoque la fraude financière directee. "En utilisant des informations telles que les coordonnées bancaires, les numéros de carte de crédit ou les identifiants en ligne, les criminels peuvent effectuer des transactions financières frauduleuses. Toutes ces opérations vont de simples achats en ligne à des transferts d’argent non autorisés ou l’ouverture de comptes bancaires fictifs au nom de la victime".

Ces pratiques peuvent avoir de lourdes conséquences, puisqu’elles peuvent conduire à des pertes financières considérables pour les victimes, qui se retrouvent souvent à devoir contester des transactions et à engager des procédures judiciaires longues et coûteuses. Dans certains cas, des prêts à la consommation frauduleux peuvent également être obtenus en utilisant les informations volées pour créer de faux profils et solliciter des crédits.

En résumé, "l’exploitation des données volées après une cyberattaque est un processus complexe et multiforme, visant à maximiser le rendement financier des criminels tout en étendant l’impact de l’attaque".

Une cyberattaque requiert une réaction rapide, pertinente et efficace.

Face à ces risques, que peuvent faire les victimes pour se protéger ? Me Bouiri le rappelle clairement. Selon elle, "il n’existe pas de solutions magiques pour se protéger de toute évidence. Toutefois une cyberattaque requiert une réaction rapide, pertinente et efficace".

Elle recommande la mise en place d’une "réelle gestion de crise", ajoutant qu’il est "nécessaire que toute personne victime d’une fuite de données adopte une posture de vigilance renforcée et fasse valoir ses droits auprès du responsable de traitement, de la CNDP, ou des autorités judiciaires en cas d’exploitation frauduleuse avérée".

Des mesures concrètes à adopter

Selon l’avocate, il existe des mesures concrètes à mettre en place. "La victime doit procéder sans délai à un chagnemnt des mots de passe associés aux comptes en ligne, et ce, pour tous les services ayant pu être compromis par la fuite des données, à savoir les comptes bancaires, messageries électroniques, plateformes administratives, etc.". Elle insiste aussi sur le fait qu’il est essentiel que ces nouveaux mots de passe soient "complexes, uniques et qu’ils soient systématiquement protégés par un système d’authentification à deux facteurs (2FA), afin de renforcer la sécurité des accès".

Ensuite, "la surveillance régulière des comptes bancaires et des transactions financières" est primordiale. "Toute activité inhabituelle doit être immédiatement signalée à l’établissement bancaire, qui pourra alors prendre des mesures telles que le blocage temporaire des moyens de paiement ou la refonte des données sensibles, numéros de cartes bancaires, RIB, etc.".

D’un point de vue légal, Me Bouiri recommande d’exercer son droit d’accès aux données auprès de l’organisme responsable du traitement des données personnelles, en vertu de l’article 7 de la loi 09-08. Sachant que "si les obligations de sécurité n’ont pas été respectées, la personne concernée peut déposer une plainte auprès de la CNDP, conformément à l’article 28 de la loi n° 09-08".

LIRE AUSSI : 

Arnaque en ligne. Que faire en tant que victime ? Que risquent les auteurs ?

À découvrir

Corral-Maroc : au CIRDI, le recours en annulation bientôt tranché

Socafix : l’équipementier automobile sous pression des créanciers

Settavex : une condamnation à 104 MDH, des actifs aux enchères