💣 VICTIME D’UNE CYBERATTAQUE : COMPRENDRE ET RÉAGIR

Selon le SPF Économie, en 2022 plus d’un quart (31,8%) des PME belges de taille moyenne (50+ employés) ont rencontré un incident de sécurité informatique ou une cyberattaque ayant entraîné, selon les cas, une indisponibilité des services informatiques (29,7%), la destruction ou la corruption de données (3,6%) ou encore la divulgation de données confidentielles (2,4%). Les micro-entreprises (- de 10 employés) ne sont pas épargnées : 11% d’entre elles ont également subi ce genre d’incident¹. 

Selon une enquête de Proximus réalisée en 2022², près de la moitié des incidents de cybersécurité ont un impact financier. Pour 37% des entreprises, l’impact s’élève à plus de 10 000€ et pour 11% à plus de 100 000€. 

Toute entreprise doit donc prendre un certain nombre de mesures préventives afin de se protéger contre de potentielles cyberattaques. Certaines de ces mesures sont même relativement simples à mettre en place, notamment³ : mettre à jour vos logiciels et systèmes d’exploitation ; effectuer des sauvegardes régulières de vos données ; utiliser des méthodes d’authentification à double facteur. Cependant, il se peut que, malgré toutes vos précautions, votre entreprise se retrouve victime d’une cyberattaque. Dans ce cas, il peut vous être difficile de comprendre ce qu’il vous arrive, de savoir que faire. 

Qu’en est-il d’un point de vue juridique ?

• Identifier le type d’attaque subie.
• Zoom sur le phishing et les ransomwares
• Comment réagir face à une cyberattaque ?
• Porter plainte à la police

🔎 Identifier le type de cyberattaque subie

La première étape est de juridiquement qualifier l’infraction dont vous êtes victime. Pour cela, il convient d’apporter certaines précisions juridiques.
En 2001, notre législateur a inséré une nouvelle loi⁴ dans notre arsenal juridique pour lutter efficacement contre la cybercriminalité.

Assez complète, cette loi se veut technologiquement neutre. Cette notion signifie que les termes utilisés sont suffisamment larges et neutres pour lui permettre de survivre aux évolutions technologiques, de pouvoir s’appliquer à de nouvelles situations sans pour autant devoir l’amender.

En première lecture, le lexique employé par cette loi peut paraître complexe. Par exemple, les termes de phishing, virus et ransomware (rançongiciel en français) ne sont pas présents dans le texte. Pas de panique, leur absence n’est pas synonyme d’impunité, ces cyberattaques sont simplement couvertes sous des termes « parapluies ».

Ainsi, quatre infractions pénales sont principalement utilisées⁵ pour qualifier juridiquement une cyberattaque et ont été spécifiquement ajoutées par la loi de 2001 précédemment évoquée.

– Quelles sont-elles ? –

– Le faux en informatique –

En premier lieu, on retrouve l’infraction de faux en informatique⁶, bien qu’il ne s’agisse pas à proprement parler d’une attaque. Le faux en informatique vise une altération de la vérité par la falsification (en ce compris l’introduction, la modification, l’effacement, etc.) de données stockées, traitées ou transmises par un système informatique. Il faut que ces données aient une portée juridique et que cette portée soit altérée par l’acte posé⁷. 

A titre d’exemple, sont des faux en informatique des infractions telles que la contrefaçon de cartes de crédit ou la modification de dispositions dans un contrat numérique (par exemple : le montant dû pour une prestation ou l’effacement d’une clause pénale)⁸. 

– La fraude informatique –

En second lieu, on retrouve la fraude informatique⁹ qui est l’infraction qui vise toute manipulation de données informatiques en vue de chercher à se procurer pour soi-même ou pour autrui un avantage économique illégal. 

À la différence de l’escroquerie¹⁰ qui vise la tromperie d’une personne, la fraude informatique vise quant à elle la tromperie d’une machine¹¹. Ainsi, les cas de  fraude commis lors de ventes en ligne (par exemple via un faux site de vente ou via une fausse annonce sur un site tel qu’Ebay, Immoweb, Autoscout, etc.) constituent des cas d’escroquerie et non de fraude informatique¹².  

Qu’entend-on par la tromperie d’une machine?

Pour y voir plus clair, voici une liste de cas issus de la jurisprudence :

• la copie illégale de données enregistrées sur la bande magnétique d’une carte de paiement (le skimming)¹³ ;
• l’utilisation d’une carte de banque falsifiée afin d’effectuer des retraits et paiements électroniques indus¹⁴ ;
• l’utilisation abusive d’une carte de crédit professionnelle à des fins privées¹⁵ ;
• la modification par un fonctionnaire, grâce à son accès au système informatique, de données fiscales pour obtenir un remboursement de la part de l’État¹⁶.

– Le Hacking –

En troisième lieu, on retrouve l’infraction qui est probablement la plus connue : l’accès non-autorisé à un système informatique¹⁷ (le hacking). Le hacking peut se définir comme étant « le fait de s’introduire ou de se maintenir dans un système informatique sans disposer de l’habilitation nécessaire à cette fin »¹⁸. 

Il peut y avoir hacking sans qu’il y ait pour autant un dommage. De même, il n’y a pas de condition d’entrée par effraction ou de contournement du système de sécurité. Le simple accès au système, sans autorisation et en connaissance de cause, suffit pour être incriminé¹⁹. Il n’est pas non plus nécessaire que la cible soit un ordinateur. Un smartphone, un GPS, une carte à puce, un agenda électronique sont des systèmes informatiques au sens de la loi²⁰.

Pour citer quelques exemples, la jurisprudence considère comme du hacking :

• le piratage d’un compte de messagerie électronique et la modification du mot de passe lié, ainsi que la modification du C.V. de la personne sur des sites de recherches d’emploi²¹ ; 
• la connexion à un réseau sans fil non protégé appartenant à autrui, sans son autorisation²² ; 
• l’intrusion dans l’ordinateur d’un employé pour y placer un key-logger et enregistrer l’activité du clavier de ce dernier²³.

– Le sabotage informatique –

En dernier lieu, on retrouve le sabotage informatique²⁴ qui est l’infraction qui incrimine « celui qui, sachant qu’il n’y est pas autorisé, directement ou indirectement, introduit dans le système, modifie ou efface des données, ou qui modifie par tout moyen technologique l’utilisation normale de données dans un système informatique »²⁵. Par cette disposition, ce sont les données intangibles contenues sur du matériel informatique que le législateur souhaite protéger.

Concrètement, le sabotage vise l’effacement de fichiers²⁶, la modification d’un mot de passe sur un site web²⁷ mais vise également tant le concepteur d’un virus que la personne qui le diffuse ou le commercialise²⁸. Précisons tout de même qu’un dol spécial est requis, c’est-à-dire qu’il doit y avoir la volonté du résultat²⁹. C’est ce caractère intentionnel qui évite à celui qui partage à son insu un virus par e-mail d’être condamné³⁰.

⚠️ Zoom sur le phishing et les ransomwares

Maintenant que nous avons développé les principales notions juridiques relatives aux cyber-infractions, revenons sur deux cyberattaques évoquées plus tôt : le phishing et les ransomwares. 

– Le phishing –

Egalement appelé hameçonnage en français, le phishing consiste à tromper l’internaute « en vue de lui faire communiquer des données personnelles et confidentielles (numéro de carte de crédit, numéro de carte d’identité ou de registre national, mot de passe, etc.), le plus souvent par l’envoi d’un courrier électronique usurpant l’identité de banques, fournisseurs de services en ligne ou sites marchands »³¹.

Le phishing est l’attaque la plus répandue en ligne et la première source de cyberattaque réussie dans le monde³². Durant le premier semestre de 2023, ce sont près de 4,4 millions de messages qui ont été reportés à l’agence Safeonweb.be via la boite mail suspect@safeonweb.be, permettant de bloquer plus de 320 000 liens suspects³³. Si son volume impressionne, son coût également. En 2022, ce sont 39,8 millions d’euros qui ont été dérobés par cette méthode³⁴. 

Pénalement, le phishing relève plutôt de l’escroquerie³⁵ et de l’abus de confiance³⁶ que de la fraude informatique.

En effet, comme précisé plus haut, c’est un individu qui est la cible de la tromperie, et non une machine³⁷. C’est d’ailleurs ce qui rend la lutte si compliquée. Malgré les campagnes de sensibilisation, personne n’est à l’abri d’un instant de crédulité.

– Les ransomwares –

Aux côtés du phishing, il nous paraît utile de porter une attention particulière aux ransomwares ou rançongiciels en français. Bien que moins fréquents, leurs effets peuvent être dévastateurs. On peut les définir comme étant « un type de programme malveillant conçu pour pirater les ordinateurs et forcer les victimes à payer une rançon pour que leurs fichiers soient déchiffrés »³⁸. La contamination peut avoir lieu par spear phishing, c’est-à-dire en téléchargeant la pièce jointe infectée d’un e-mail ou même en visitant une page web contaminée, lançant le téléchargement automatique³⁹. 

On garde en tête le souvenir du ransomware Wannacry qui avait, en quelques jours seulement, contaminé plus de 220 000 ordinateurs dans 150 pays à travers le monde en 2017. Ce ransomware bloquait les fichiers des appareils infectés et menaçait de les supprimer si le versement d’une rançon en bitcoin n’intervenait pas dans les 7 jours. Bien que peu de victimes aient payé,  il eut de lourdes conséquences, notamment au Royaume-Uni. L’Etat a estimé à 92 millions de livres les pertes engendrées par la contamination et la paralysation d’un tiers des centres hospitaliers du NHS au Royaume-Uni. A l’échelle mondiale, ce chiffre grimpe à 4 milliards de dollars⁴⁰. Encore à ce jour, les coupables sont inconnus.

Pénalement, le ransomware relève de plusieurs infractions⁴¹ telles que l’extorsion⁴², la fraude informatique⁴³, le hacking⁴⁴ et le sabotage informatique⁴⁵.

👮‍♀️Comment réagir face à une cyberattaque ?

Imaginons que malgré toutes vos précautions, vous soyez victime d’une cyberattaque. Il vous faut désormais agir, mais sans précipitation. Chaque cyberattaque est différente et les réponses concrètes à  y apporter sont complexes et variées. Ainsi, n’hésitez pas à vous entourer tant d’avocats que d’experts en informatique pour bénéficier de leurs précieux conseils. 

Néanmoins, certaines démarches relativement simples sont possibles et nécessaires. 

Si vous êtes victime de phishing et que vous avez communiqué vos données bancaires, un premier bon réflexe est de bloquer votre carte de paiement en appelant Card Stop au 078 170 170. Vous pouvez également signaler le message reçu à l’adresse suspect@safeonweb.be pour aider les autorités à identifier et bloquer les messages du même type. 

Si vous êtes victime d’un ransomware, suivez les conseils d’Europol ; ne payez pas la rançon demandée ! Outre le fait de n’avoir aucune certitude de récupérer réellement vos données après le paiement, vous encouragez les criminels à continuer leurs activités et leur offrez davantage de moyens financiers. Europol conseille également de déconnecter le plus rapidement possible votre appareil infecté de votre réseau pour éviter la propagation du virus⁴⁶. Enfin, sachez qu’Europol a mis en place une bibliothèque d’outils de déchiffrement sur le site www.nomoreransom.org. Vous y trouverez peut-être « l’antidote » qu’il vous faut. 

– Porter plainte à la police –

C’est la première démarche essentielle à effectuer. Il faut déposer plainte auprès de la police locale du siège de votre entreprise, et ce, le plus tôt possible. Plus vous vous y rendrez tôt, plus vous augmenterez vos chances que les poursuites aboutissent. 

N’hésitez pas, lors du dépôt de la plainte, à vous déclarer personne lésée. Cela vous garantit de connaitre l’état d’avancement de votre plainte, ce qui n’est pas automatique. Comme par exemple l’ouverture d’une instruction ou un éventuel classement sans suite. Vous pourrez également joindre à votre dossier tout document que vous jugez utile⁴⁷, tel qu’un document qui apporte la preuve de votre dommage ou qui peut contribuer à identifier l’auteur de l’infraction.

Il est très important de ne pas corrompre les preuves que les enquêteurs pourraient vous demander au cours de l’enquête. Tentez de conserver le plus de traces possibles de l’attaque⁴⁸. Pour les aider, vous pouvez, par exemple, prendre des captures d’écrans, conserver l’e-mail infecté, les fichiers encryptés, les messages qui vont été communiqués⁴⁹, etc.

Au commissariat, un inspecteur de police vous entendra. Bien que le domaine de la cybercriminalité puisse sembler complexe, ne soyez pas inquiet. Dans un premier temps, si vous avez la moindre question ou si certaines craintes vous habitent, contactez un avocat. Celui-ci apportera les réponses à vos questions et sera un soutien pertinent pour la suite de la procédure. Ensuite, depuis quelques années, les agents de police disposent d’un nouvel instrument, CyberAid, qui les aide à répondre efficacement à ce type d’incidents et qui leur permet de fournir des conseils pratiques⁵⁰.  

Pour les cas complexes, ils peuvent même être assistés de deux cellules spécialisées : la Federal Computer Crime Unit au niveau national ainsi que les Computer Crime Unit régionaux⁵¹. 

– Indemnisation –

Si vous souhaitez une indemnisation financière suite à un préjudice pécunier, il est nécessaire que vous vous constituiez partie civile. Dans le cas où l’action publique est déjà engagée, vous pouvez le faire dès la phase d’enquête jusqu’à la clôture des débats devant le tribunal⁵². 

Si l’action publique n’est pas encore engagée, c’est-à-dire qu’un juge d’instruction n’est pas encore saisi, vous pouvez saisir ce dernier par vous-même⁵³. En vous constituant partie civile, vous forcez la mise en œuvre de l’action publique. Mais cela à un coût. Effectivement, on vous demandera de verser une caution, fixée par le juge d’instruction. Elle sert à couvrir les futurs frais de procédure (entre 500 et 1000€ pour une personne morale). Elle vous sera restituée en cas de condamnation du suspect mais dans le cas inverse, vous pourriez, en plus de perdre votre caution, être condamné à payer les frais exposés par l’État⁵⁴. 

– Y’a-t-il des organismes à contacter ?⁵⁵ –

En cas de fuite de données, il est obligatoire, dans certaines hypothèses définies par le RGPD, de contacter l’APD. Et ce, dans les 72 heures après la prise de connaissance de l’incident. Vous pouvez obtenir le formulaire de contact à l’adresse suivante : 

https://www.autoriteprotectiondonnees.be/professionnel/actions/fuites-de-donnees-personnelles.

Vous pouvez également contacter la Cyber Emergency Response Team (CERT) pour leur signaler l’incident et recevoir de l’aide de leur part. La CERT est un département du Centre pour la Cybersécurité Belgique (CCB) qui est « l’administration fédérale sous l’autorité du Premier Ministre et qui est chargée du suivi des incidents liés à la sécurité des réseaux et des systèmes d’information »⁵⁶. Leur rôle est de fournir des conseils techniques et organisationnels aux entreprises pour maîtriser les cyber-incidents. Concrètement, ils peuvent vous guider dans les démarches à entreprendre à votre niveau. Ils peuvent faire la liaison avec la police en cas d’infraction pénale et vous aider à réagir face à l’incident. 
Pour contacter la Cyber Emergency Response Team, vous pouvez vous rendre à l’adresse : https://cert.be/fr/signaler-un-incident ou appeler le +32 (0)2 501.05.60.

📄 En résumé

• La législation belge offre un encadrement global des incidents de cybercriminalité
• Les cas de phishing sont très fréquents mais évitables en adoptant de bons réflexes
• Dénoncez les cas de phishing à : suspect@safeoneweb.be
• En cas de ransomware, ne payez pas la rançon et consultez www.nomoreransom.be
• Allez porter plainte au commissariat le plus proche, le plus tôt possible
• S’entourer d’experts informatiques et d’avocats

Article rédigé par François JULY et Frédéric DECHAMPS

1. Données disponibles sur le du SPF Économie, sur base d’une enquête menée par Statbel : https://economie.fgov.be/fr/themes/entreprises/pme-et-independants-en/digitalisation-des-pme/la-cybersecurite-au-sein-des ↩︎
2. https://cybersecurity.proximus.be/rapport-d-enquete-2022/des-resultats ↩︎
3. https://lex4u.com/sensibilisation-a-la-cybersecurite-pme/ ↩︎
4. Loi du 28 novembre 2000 relative à la criminalité informatique, M.B., 03 février 2001, p. 2909. ↩︎
5. Bien que d’autres infractions pénales puissent être relevées pour la qualification juridique d’une cyberattaque, notamment l’escroquerie (art. 496 CP), l’abus de confiance (art. 491 CP) ou l’extorsion (art. 470 CP), seules les infractions ajoutées par la loi de 2001 sur la criminalité informatique font l’objet d’une analyse approfondie dans cet article, en raison de leur spécificité en la matière. ↩︎
6. Article 410bis du Code pénal. ↩︎
7. I. Delbrouck, « Criminalité informatique », in Droit pénal et procédure pénale, Bruxelles, Kluwer, 2022, suppl. 55, p. 55. ↩︎
8. O. Leroux, « Criminalité informatique », in Les infractions contre les biens,  Vol. 1, 2e éd., Bruxelles, Larcier, 2016, p. 453. ↩︎
9. Article 504quater du Code pénal. ↩︎
10. Article 496 du Code pénal. ↩︎
11. O. Leroux, « Arnaques, fraudes et escroqueries sur internet : moyens concrets d’investigation – Point sur l’affaire dite Yahoo! à la suite du second arrêt de la Cour de cassation », J.T., 2012/40-41, n° 6500, p. 839. ↩︎
12. O. Leroux « Criminalité informatique », op. cit., p. 468. ↩︎
13. Corr. Termonde, 14 mai 2007, T. Strafr., 2007, p. 403, obs. E. Baeyens. ↩︎
14. Anvers, 10 septembre 2008, N.C., 2009, liv. 5, p. 328, note P. Van Eecke. ↩︎
15. Anvers, 28 mai 2008, T. Straft., 2008, p. 406. ↩︎
16. Corr. Termonde, 15 janvier 2010, cité par J. Kerkhofs et P. Van Linthout, « cybercriminaliteit doorgelicht », T. Strafr., 2010/4, pp. 182 et s. ↩︎
17. Article 550bis du Code pénal. ↩︎
18. O. Leroux, « Arnaques, fraudes et escroqueries sur internet […] », op. cit., p. 840. ↩︎
19. F. De Villenfagne et S. Dusollier, « La Belgique sort enfin ses armes contre la cybercriminalité: à propos de la loi du 28 novembre 2000 sur la criminalité informatique », A&M, 2001/1, pp. 69-70. ↩︎
20. O. Leroux,  « Criminalité informatique », op. cit., p. 482. ↩︎
21. Corr. Termonde, 29 septembre 2008, T. Straf.,2009/2, p. 111. ↩︎
22. Corr. Termonde, 14 novembre 2008, T. Straf., 2009, p. 114. ↩︎
23. Corr. Bruxelles, 8 janvier 2008, J.T., 2008, p. 337. ↩︎
24. Article 550ter du Code pénal. ↩︎
25. Idem. ↩︎
26. Rapport fait au nom de la Commission de la Justice, Doc. parl., Ch. Repr., sess. ord., 1999-
    2000, n° 213/4, p. 7. ↩︎
27. Corr. Termonde, 29 septembre 2008, T. Strafr., 2009, p. 111. ↩︎
28. F. Dechamps et C. Lambilot, Cybercriminalité : État des lieux, Anthémis, 2016, p. 45. ↩︎
29. A. De Nauw, F. Kuty, « Les infractions contre la confidentialité, l’intégrité et la disponibilité des systèmes informatiques et des données qui sont stockées, traitées ou transmises par ces systèmes » in Manuel de droit pénal spécial, Liège, Wolters Kluwer, 2018, p. 1262. ↩︎
30. F. De Villenfagne et S. Dusollier, op. cit., p. 73. ↩︎
31. O. Leroux, « Criminalité informatique », op. cit., p. 453 (note 72). ↩︎
32. ENISA Threat Landscape Report 2017, 15 Top Cyber-Threats and Trends, 2018, p. 29. Disponible sur : https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017. ↩︎
33. https://www.safeonweb.be/fr/actualite/cette-annee-44-millions-de-messages-de-phishing-ont-deja-ete-transferes-safeonweb ↩︎
34. Données issues d’une enquête menée par Febelfin en collaboration avec Indiville, disponible sur https://www.febelfin.be/sites/default/files/2023-06/Dossier_dinformation_phishing.pdf ↩︎
35. Article 496 du Code pénal. ↩︎
36. Article 491 du Code pénal. ↩︎
37. O. Leroux, « Arnaques, fraudes et escroqueries sur internet […] », op. cit., p. 839. ↩︎
38. P. Clouner, « Approche du Centre pour la Cybersécurité Belgique en matière de protection des personnes (vulnérables) dans l’environnement numérique » in Vulnérabilités et droits dans l’environnement numérique (sous la dir. de H. Jacquemin, et M. Nihoul), 1^re éd., Bruxelles, Larcier, 2018, p. 217. ↩︎
39. J. Trullemans, « Phénomène des ransomware » in Post Memorialis. Lexique du droit pénal et des lois spéciales, C 380/420-447, Liège, Kluwer, 2020, p. 546. ↩︎
40. https://www.kaspersky.fr/resource-center/threats/ransomware-wannacry ↩︎
41. J. Trullemans, op. cit., pp. 546-549. ↩︎
42. Article 470 du Code pénal. ↩︎
43. Article 504quater du Code pénal. ↩︎
44. Article 550bis du Code pénal. ↩︎
45. Article 550ter du Code pénal. ↩︎
46. https://www.europol.europa.eu/cms/sites/default/files/documents/ransomware_infographic.pdf ↩︎
47. Titre préliminaire du C.i.cr., art. 5bis. ↩︎
48. https://ccb.belgium.be/sites/default/files/cybersecurity-incident-management-guide-FR.pdf, p. 33. ↩︎
49. J. Trullemans, op. cit., pp. 551. ↩︎
50. https://www.feb.be/globalassets/publicaties/cyber-incident-roadmap/feb-2024-cybercrime_fr_interactive_pages.pdf, p. 13. ↩︎
51. P. Clouner, op. cit., p. 209. ↩︎
52. https://victimes.cfwb.be/plainte-et-procedures/quels-sont-vos-droits/intervenir-dans-la-procedure-judiciaire/#c41852 ↩︎
53. C.i.cr., art. 63. ↩︎
54. C.i.cr., art. 162, §2. ↩︎
55. https://www.feb.be/globalassets/publicaties/cyber-incident-roadmap/feb-2024-cybercrime_fr_interactive_pages.pdf, p. 16-26 ↩︎
56. https://cert.be/fr/incident-handling-par-certbe-conditions-generales ↩︎