Les fédérations, ligues, clubs et grands évènements sont confrontés, au même titre que les autres acteurs économiques, à des risques de cybercriminalité et notamment à des risques liés aux rançongiciels.
La prévention des cyberattaques passe par la sécurisation des systèmes informatiques, la sauvegarde des données, la formation du personnel et la mise en place de procédures de gestion de crises.
L’instauration d’une protection via une assurance doit être envisagée par les acteurs sportifs mais une loi récente conditionne le remboursement des rançons par les assureurs au dépôt d’une plainte rapide de la victime.
Les acteurs sportifs et les évènements sportifs sont de plus en plus connectés et traitent davantage de données, à l’instar de tous les autres acteurs économiques. Ils doivent ainsi prendre en compte, au même titre que les problèmes de sécurité traditionnelle, les questions de cybersécurité. Cela peut être fait en cinq étapes à savoir la connaissance, l’anticipation, la protection, la détection et la réaction.
La digitalisation des fédérations, ligues, clubs et entreprises évènementielles, ainsi que le recours au télétravail, entraînent une augmentation des cyberattaques, ce qui impacte non seulement leurs membres, mais aussi les manifestations et compétitions sportives. Si par le passé, les réseaux et les postes de travail étaient principalement ciblés, aujourd'hui, il peut également s'agir des réseaux opérationnels, notamment des stades et des caméras.
Les grands événements sportifs sont particulièrement visés par les attaques, et la menace ne cesse de croître. Pendant les Jeux Olympiques de Tokyo, par exemple, 450 millions de tentatives d'intrusion ont été signalées, soit 2,5 fois plus qu'aux Jeux Olympiques de Londres. Par conséquent, il existe une crainte pour la Coupe du Monde de Rugby en 2023 et les Jeux Olympiques de Paris en 2024.
Cette crainte est d’autant plus grande que les fédérations, ligues et clubs sont désormais des cibles prioritaires de cyberattaques, à l’instar de la Fédération Française de Rugby qui subit actuellement une attaque par rançongiciel sur son service de messagerie interne. La FFR a pour l’heure refusé de payer une rançon mais les pirates ayant chiffré une partie des historiques des activités de boîtes emails internes, elle recommande à ses adhérents de modifier l’ensemble de leurs mots de passe.
Le rançongiciel (ou ransomware) est une méthode d'attaque utilisée par les cybercriminels. Elle consiste à envoyer un logiciel malveillant à la victime via un e-mail d'hameçonnage, un lien vers un site web compromis, un téléchargement ou une mise à jour de logiciel compromis, ou encore une intrusion directe dans le réseau de l'entreprise.
Ce logiciel malveillant chiffre toutes les données de l'entreprise et affiche une demande de rançon, généralement en cryptomonnaie. Lorsque l'entreprise paie, elle reçoit normalement un mot de passe ou une clé de déchiffrement en échange de la rançon.
Ces attaques pourraient être qualifiées d'extorsion [1], d'atteintes aux systèmes de traitement automatisé de données [2], voire de sabotage lorsqu'elles touchent les systèmes de l'État [3]. La qualification d'extorsion est privilégiée lorsque l'utilisation d'un rançongiciel peut être perçue comme une contrainte morale ayant pour but d'inciter la victime à remettre des fonds ou des cryptomonnaies. Si la victime ne paie pas, il est possible de poursuivre le pirate informatique pour tentative d'extorsion [4].
L'utilisation d'une méthode de cryptologie [5] ou l'implication d'une bande organisée [6] sont des circonstances aggravantes qui pourraient être appliquées.
La cyber-assurance, liée aux cyberattaques, devient de plus en plus importante pour les acteurs sportifs et tous les acteurs économiques. Cependant, seulement 3% des cotisations d'assurance contre les dommages professionnels sont consacrées à l'assurance contre les risques cyber, et ce sont principalement les grandes structures qui y souscrivent.
Bien que souscrire une assurance puisse garantir une indemnisation en cas d'attaque et de paiement de la rançon, il est également essentiel d'adopter une approche préventive pour éviter les attaques ou en réduire les conséquences.
La prévention des cyberattaques passe par la sécurisation des systèmes informatiques, la sauvegarde des données, la formation du personnel et la réalisation de tests pratiques réguliers. Il est également nécessaire de prévoir une procédure de gestion de crise en cas d'attaque pour améliorer la réactivité et réduire l'impact de l'intrusion.
En cas d'attaque, il est important de préserver les données qui n'ont pas encore été touchées, de recueillir autant d'informations que possible sur l'attaque, de signaler les risques liés aux données personnelles à la CNIL, et d'alerter le service informatique ou de contacter la plateforme cybermalveillance.gouv.fr si l'entreprise ne dispose pas d'un service compétent.
En principe, l'ANSSI recommande de ne pas payer les rançons, mais en raison de l'importance des données en jeu, le paiement de la rançon peut être la seule solution pour l'entreprise, ce qui n'est pas illégal.
Une fois les données récupérées, il est nécessaire de prendre les mesures nécessaires pour éviter une récidive de l'attaque et de porter plainte auprès de la gendarmerie ou du commissariat, voire d'envoyer une lettre recommandée avec accusé de réception au Procureur de la République en fournissant tous les éléments à la disposition de l'entreprise.
Une nouvelle loi relative aux rançongiciels et à l'indemnisation a été promulguée le 24 janvier 2023. Il s'agit de la loi n° 2023-22 d'orientation et de programmation du ministère de l'Intérieur. Cette loi renforce la lutte contre la cybercriminalité et aborde spécifiquement la question des rançongiciels.
L'article 5 de la loi encadre les clauses de remboursement des rançongiciels par les assurances. Il conditionne le remboursement au dépôt rapide d'une plainte par la victime, afin d'améliorer l'information des forces de sécurité et de l'autorité judiciaire, et de perturber le modèle de rentabilité des cyber-attaquants.
En d'autres termes, la loi autorise les assureurs des victimes à effectuer le paiement des rançons à condition que celles-ci déposent une plainte, afin de renforcer leur accompagnement et d'améliorer les opérations d'investigation des autorités de police, de justice et de gendarmerie.
L'article 8 de la loi simplifie le dépôt de plainte dans le cas d'une cyberattaque accompagnée d'une demande de rançon, en permettant aux victimes de le faire par voie de télécommunication audiovisuelle.
En outre, le dépôt d'une plainte est une condition indispensable pour récupérer la somme d'argent correspondant à la rançon. La loi a introduit un nouvel article L.12-10-1 dans le Chapitre X du code des assurances, selon lequel le versement d'une somme prévue par une clause d'assurance visant à couvrir le paiement d'une rançon est subordonné au dépôt d'une plainte.
Dès lors, la possibilité d’être indemnisé par son assurance dans ce cadre précis est subordonnée à cette condition. Selon la presse, beaucoup de victimes de rançongiciels ne sont malheureusement pas au courant de cette obligation de dépôt de plainte d’espérer être indemnisé, ce qui démontre également la nécessité d’informer sur ce point.
[1] Article 312-1 du code pénal
[2] Articles 323-1, 323-2 et 323-3 du code pénal
[3] Article 411-9 du code pénal
[4] La lettre juridique n° 855 du 25 février 2021, Droit pénal spécial, Cybercriminalité : la qualification pénale de l’utilisation d’un rançongiciel, Eliaz Le Moulec
[5] Article 132-79 du code pénal
[6] Article 312-6 du code pénal