Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 405

le Trading with the Enemy Act (TWEA)
de 1917, qui prohibe le commerce avec
l'ennemi.
Dans ce cadre, l'Ofac a imposé ses
premières sanctions contre des
personnes étrangères se livrant
à des activités cybercriminelles
en décembre 2016. Il s'agissait
d'Evgeniy Bogachev, développeur et
distributeur du malware bancaire Zeus
et du ransomware Cryptolocker, et
d'Aleksey Belan soupçonnés pour leurs
rôles respectifs dans la soustraction et
la vente illégale de données d'utilisateurs provenant d'environ 200 millions
de comptes en ligne dans le monde.
Fin 2018, deux Iraniens impliqués
dans la diffusion du ransomware
SamSam ont été sanctionnés. En 2019,
l'Ofac s'est attaqué au groupe Lazarus
soutenu par la Corée du Nord pour le
ransomware WannaCry, Evil Copr à
l'origine du malware Dridex Evil Corp,
ainsi que leur chef Maksim Yakubets.
En octobre 2020, le Trésor a inquiété
des Russes du GRU pour, entre autres,
leur rôle dans NotPetya et le TsNIIKhM,
censé être à l'origine du malware
industriel Triton.
EFFET EXTRATERRITORIAL
Que ce soit aux Etats-Unis ou en France,
verser une rançon n'a rien d'illégal,
même si le chiffrement des données
d'un tiers sans son consentement et
la demande de rançon constituent
des infractions pénales. Mais l'avis
du 1er octobre 2020 qui ne modifie
aucune loi, réglementation ou directive
applicable en matière de paiement
de rançon, met en garde contre les
paiements à des personnes physiques
ou morales figurant sur une liste des
ressortissants spécialement désignés
et des personnes bloquées (liste SDN), à
d'autres personnes bloquées et à celles
couvertes par des embargos globaux
de pays ou de région. Il ne s'agit en
aucun cas d'une liste exhaustive de
personnes litigieuses  : les groupes
cybercriminels étant des nébuleuses
aux contours très flous, de simples
indices pointant vers telle ou telle entité
suffiraient à engager la responsabilité
des entreprises concernées.
Quiconque
traiterait
avec
une
personne de cette liste s'expose donc à
des sanctions de l'Ofac. L'avis précise,

en outre, qu'une violation par une
personne non américaine qui amène
une personne américaine à violer
des sanctions, ou des personnes
américaines facilitant les actions de
personnes non américaines dans
le but d'éviter les réglementations
américaines sur les sanctions, sont
également interdites. Les organisations
américaines ou non sont susceptibles
de se voir infliger des sanctions civiles
pour ces violations, même si la victime
ne savait pas ou n'avait pas de raison de
savoir qu'elle effectuait une transaction
avec une personne qui est interdite
en vertu des lois et règlements sur les
sanctions administrées par l'Ofac.
En dehors des victimes directes, l'avis
américain vise tout tiers pouvant
être impliqué dans la facilitation
d'un paiement par ransomware. Sont
d'abord concernées les institutions
financières qui ont traité le paiement
de la rançon mais aussi les assureurs
qui peuvent rembourser les rançons.
Deux catégories de contrats cyber
existent. D'un côté, certains assureurs
garantissent les frais et pertes autour
d'une tentative de cyber extorsion de
fonds. D'un autre, des cyber-assureurs, plutôt d'origine anglo-saxonne,
s'engagent à accompagner l'assuré
jusqu'à la prise en charge de la rançon
elle-même (voir Le ransomware est-il
assurable  ? par Lean-Laurent Santoni,
Exp., n° 414). Ainsi des contrats d'assurance en matière de cyber délinquance
prévoient le remboursement du
paiement des frais de rançon et des
dépenses connexes. Avec, le développement de produits d'assurance cyber
qui vont jusqu'à payer la rançon,
le Cert-fr y voit un «  phénomène
inquiétant ».
Sont également visées les personnes
qui officient entre la victime et le
rançonneur. Le Cert.fr dénonce ce
business de l'aide à la négociation
de la rançon de certaines sociétés
qui se sont «  également développées
autour de ce paiement des rançons en
proposant des services de négociations et de médiation entre la victime
et l'attaquant  ». Il évoque le cas de la
société américaine Coveware, dont
c'est officiellement la spécialité, mais
aussi d'autres qui « auraient développé
des liens parfois étroits avec des
groupes cybercriminels, notamment,

EXPERTISES Décembre 2020

afin d'accéder à des réductions des
rançons  », explique-t-il. «  L'incitation
à payer valide le modèle économique
des cybercriminels et les amène déjà à
augmenter les rançons et à multiplier
leurs attaques », rappelle le Cert-fr.
Une fois ces règles énoncées, l'avis
encourage les victimes de ransomware
et les tiers impliqués dans la lutte
contre ces attaques à contacter l'Ofac
s'ils estiment qu'une demande de
paiement de ransomware pourrait
impliquer des sanctions. Car ces
sanctions pourraient être limitées en
cas de coopération avec les services
de répression, tant pendant qu'après
une attaque de ransomware. Selon
l'Office, « le rapport complet, opportun
et spontané d'une entreprise sur une
attaque de ransomware à l'intention
des forces de l'ordre est un facteur
atténuant important pour déterminer un résultat approprié en matière
d'application si la situation est ensuite
déterminée comme ayant un lien avec
les sanctions ».
Pour Guillaume Tissier, président de la
CEIS (Compagnie européenne d'intelligence stratégique et co-organisateur
du Forum international de la cybersécurité (FIC), cette politique « représente
un vrai risque pour les entreprises
non américaines et notamment
européennes,
qui
pourraient
se
voir sanctionnées par les autorités
américaines pour des paiements de
rançon passés ou futurs. C'est encore
une fois la politique extraterritoriale
agressive des autorités américaines
qui est en cause. D'autant que l'Ofac
recommande en même temps aux
entreprises concernées par ces cas
de figure de prendre contact avec ses
services pour examiner la situation
avant paiement de toute rançon, ce qui
reviendrait potentiellement à signaler
toute négociation à l'administration
américaine ».

Sylvie ROZENFELD

405


http://www.Cert.fr

Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
FOCUS - CYBERCRIMINALITÉ : PAYER UNE RANÇON, UN RISQUE DE SANCTION AMÉRICAINE
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - MATCHING PRÉDICTIF : UN RECRUTEMENT BIAISÉ
DOCTRINE
DONNÉES PERSONNELLES - QUATRE MOIS APRÈS SCHREMS 2, L’IMPASSE DEMEURE
CONTENTIEUX - L’ARME CONTRACTUELLE POUR ÉVITER L’EXPERTISE JUDICIAIRE A L’ISSUE INCERTAINES
DONNÉES PERSONNELLES - HEALTH DATA HUB ET TRANSFERTS DE DONNÉES : PORTÉE ET LIMITES DE L’ARRÊT SCHREMS II
DONNÉES PERSONNELLES - MICROSOFT ET HEALTH DATA HUB, RETOUR SUR LA CERTIFICATION HDS
DONNÉES PERSONNELLES - CONSERVATION DES DONNÉES DE CONNEXION : LA CJUE RAPPELLE LES LIMITES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 403
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - CYBERCRIMINALITÉ : PAYER UNE RANÇON, UN RISQUE DE SANCTION AMÉRICAINE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 405
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 407
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 408
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 409
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 410
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 412
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 413
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 414
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - MATCHING PRÉDICTIF : UN RECRUTEMENT BIAISÉ
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 416
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 417
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 418
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 419
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - QUATRE MOIS APRÈS SCHREMS 2, L’IMPASSE DEMEURE
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 421
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 422
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 423
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 424
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - CONTENTIEUX - L’ARME CONTRACTUELLE POUR ÉVITER L’EXPERTISE JUDICIAIRE A L’ISSUE INCERTAINES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 426
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 427
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - HEALTH DATA HUB ET TRANSFERTS DE DONNÉES : PORTÉE ET LIMITES DE L’ARRÊT SCHREMS II
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 429
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 430
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 431
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - MICROSOFT ET HEALTH DATA HUB, RETOUR SUR LA CERTIFICATION HDS
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 433
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - CONSERVATION DES DONNÉES DE CONNEXION : LA CJUE RAPPELLE LES LIMITES
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 435
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 436
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 437
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 438
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 439
Expertises des Systèmes d'information - Décembre 2020 - N°463 - Le mensuel du droit de l'informatique et du multimédia - 440
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com