Il est intéressant de savoir que des entités étrangères ont parfois la possibilité de récupérer des dossiers et des données, par le biais des procédures judiciaires ou administratives ad hoc. Ces démarches peuvent fragiliser les entreprises visées par ces entités.

Cette technique d’appropriation avait conduit à l’adoption d’une loi n° 68-678 du 26 juillet 1968 dite « Loi de blocage » dont l’objectif est d’encadrer la communication de documents, de renseignements et de données d’ordre économique, industriel et financier, … etc., à destination des entités étrangères.

C’est dans ce contexte qu’une grande réforme de modernisation a été lancée en 2022, ayant pour but de réaliser l’adéquation de la réglementation aux récentes évolutions du marché numérique actuel.

Un décret du 18 février et un arrêté du 7 mars 2022 sont en effet venus allonger la liste des informations qui ne peuvent pas être communiquées en cas de requête venant d’entités étrangères.

Il a été ajouté par exemple, le détail des couvertures d’assurance principalement en matière de cybersécurité ou encore les avis juridiques en matière de conformité et d’audits internes dans le domaine de la sécurité des systèmes d’information.

Au-delà de ces réformes, le ministère de l’Economie a mis en place un mécanisme d’accompagnement des entreprises en créant le « Service de l’Information Stratégique et de la Sécurité Economique » (SISSE). Ce dernier joue le rôle de point de contact centralisé, s’assure de la mise à disposition des bonnes informations sollicitées par des organes étrangers et protège avant tout les intérêts stratégiques de la France.

Ce service est joignable à l’adresse suivante :

loi.deblocage@finances.gouv.fr.

Dans cette perspective, il a été publié un guide co-rédigé par le Medef et l’Association Française des Entreprises Privées, en mars 2022 qui évalue et estime le niveau de criticité des informations pouvant faire l’objet des sollicitations.

Consultez ici le décret, l’arrêté et le guide co-rédigé : Décret du 18 février 2022 ; Arrêté du 7 mars 2022 ; Guide à usage des entreprises d’identification des données sensibles

L’année passée fut marquée par une hausse continue du niveau de risque informatique et une professionnalisation accrue des acteurs malveillants.

Dans son panorama sur la menace informatique, l’ANSSI revient en effet sur les grandes tendances ayant marqué le paysage cyber sur l’année 2020-2021 et en propose des perspectives d’évolution à court terme. Ce panorama met ainsi le point sur les éléments suivants :

• Le maintien du niveau élevé des cyberattaques aux finalités diverses. En effet, l’intention d’espionnage demeure la finalité première. Le ciblage d’infrastructures critiques à des fins de stockage et les attaques informatiques à des fins de déstabilisations constituent également une menace constante ;
• L’augmentation constante des capacités des acteurs offensifs. Cette montée en professionnalisation et en spécialisation est due notamment aux gains financiers accumulées et à l’amélioration des capacités privées des cyberattaquant ;
• L’exploitation massive par les attaquants des différentes failles informatiques. Il s’agit notamment des vulnérabilités signalées par l’ANSSI et demeurées sans mesures correctives, des nouveaux usages numériques et de la divulgation massive et non prudente des données personnelles.

Pour toutes ces raisons, l’ANSSI a constaté une augmentation du nombre d’intrusions avérées dans les systèmes d’information de 37 % entre 2020 et 2021 (soit 1082 en 2021 contre 786 en 2020). 

Consultez ici l’intégralité du document : Panorama de la menace informatique 2021 (ANSSI, 8 mars 2021)

La Caisse Nationale d’Assurance Maladie (CNAM) a été, très récemment, victime d’une cyber-attaque. Les cyberattaquants ont, en effet, réussi à entrer sur des comptes « amelipro » réservés aux professionnels de santé, grâce à des adresses e-mail compromises. La CNAM a annoncé que 19 comptes ont été ainsi piratés.

Une fois entrés, les cyberattaquants ont « interrogés en chaine » le service « Infopatient » qui permet d’accéder à certaines informations administratives des assurés grâce à leur numéro de sécurité sociale testés en masse par leur robot.

Ils ont ainsi pu avoir accès aux données d’identité (nom, prénom, date de naissance, sexe), numéro de sécurité sociale ainsi que des données relatives aux droits (déclaration de médecin traitant, attribution de la complémentaire santé solidaire, …).

En revanche, la CNAM a annoncé que les coordonnées de contact (email, adresse postale, téléphone), les coordonnées bancaires et les informations pathologiques et de consommation de soins n’ont pas été violées.

La CNAM a agi au plus vite lors de la découverte de la cyber-attaque. Dans son communiqué de presse datant du 17 mars dernier, elle comptabilisait 510 000 assurés concernés et précise qu’ils seront informés. Une sensibilisation contre l’hameçonnage est prévue à destination des personnes concernées. De même, un rappel sur la sécurisation des comptes « amelipro » sera adressé aux professionnels de santé.

Dans une mise en garde communiquée le 21 mars, la CNAM rappelle les réflexes importants à avoir lors de la réception de messages électroniques. Elle recommande également le changement régulier de mots de passe des services sur internet et de ne jamais répondre par téléphone, sms ou par courriels à des demandes de données personnelles ou bancaires.

La CNAM a notifié cette violation de donnée à la CNIL le 16 mars et a déposé une plainte pénale.  

Consultez ici les communiqués de presse de la CNAM : CNAM-communique-presse-17032022 ; CNAM-communique-presse-21032022