Support technique
Documentation
Connexion
Nous contacter
De mauvaises pratiques en matière de cybersécurité peuvent engager la responsabilité pénale personnelle des chefs d'entreprise
Joao Correia
26 avril 2023 - Évangéliste technique
Que voulez-vous dire par "une mauvaise cybersécurité peut me conduire en prison" ? ... voilà ce qui a probablement traversé l'esprit de l'ex-PDG d'une clinique de psychothérapie en Finlande. C'est exactement ce qu'un tribunal finlandais a décidé de faire dans cette situation, à la suite de mauvaises pratiques de cybersécurité et de la violation, du vol et de la diffusion publique d'enregistrements confidentiels de séances de patients qui en ont résulté. Ce n'est vraiment pas une bonne stratégie que d'ignorer les risques, et toute cette histoire montre exactement pourquoi.
Attendez, l'entreprise n'était-elle pas la victime dans ce cas ?
Dans ce qui pourrait être perçu à première vue comme une situation de "blâme de la victime pour le crime", il y a quelques nuances dans toute cette situation qui ont conduit à ce résultat et qui rendent la peine d'emprisonnement qui en résulte plus justifiable.
En effet, à première vue, il peut sembler que l'entreprise ait été victime d'une cyberattaque. Cependant, la décision du tribunal de tenir l'ex-PDG pour responsable va au-delà de ce point de vue simpliste. Les détails de cette affaire révèlent plusieurs facteurs clés qui ont contribué à l'inculpation et à la condamnation à une peine de prison avec sursis.
Tout d'abord, l'entreprise n'a pas respecté les exigences du GDPR concernant la pseudonymisation et le cryptage des données des patients. Cette omission a rendu les informations sensibles de dizaines de milliers de patients vulnérables au vol et à l'accès non autorisé. La base de données du centre thérapeutique stockait les informations personnelles des patients et les notes de séance en langage clair, sans aucune forme de cryptage adéquat. Par conséquent, le pirate pouvait facilement faire correspondre les notes des thérapeutes et les dossiers médicaux avec les données personnelles des patients.
En outre, le tribunal a estimé que les actes de l'ex-PDG étaient particulièrement répréhensibles en raison de l'ampleur de la violation de données et de la nature sensible des informations concernées. Le tribunal a estimé que la gravité du délit justifiait une peine d'emprisonnement sans sursis. Toutefois, compte tenu du casier judiciaire vierge de l'ex-CEO de l'ex-PDG et d'autres circonstances, le tribunal a finalement opté pour une peine de prison avec sursis.le tribunal a finalement opté pour une peine avec sursis.
En outre, l'enquête a révélé que le PDG et les responsables informatiques étaient au courant des problèmes de sécurité, de la violation des données et des demandes de chantage qui s'ensuivaient. Au lieu de signaler l'incident aux autorités, le PDG a ordonné la dissimulation de toute preuve liée aux violations et aux tentatives de chantage. Cette Cette inaction et la tentative de dissimulation des incidents ont été des facteurs importants dans la décision du tribunal de tenir l'ex-PDG pour responsable. Si la condamnation du PDG est la plus pertinente, il n'est pas le seul à avoir fait l'objet d'une enquête pour négligence dans cette situation, et d'autres cadres supérieurs de l'entreprise ont également fait l'objet d'une enquête pour négligence. d'autres cadres supérieurs de l'entreprise ont également fait l'objet d'un examen minutieux pour leurs actions, ou leur absence d'actions, visant à garantir la mise en place de mesures de sécurité adéquates.
L'impact du hack
Le piratage du centre de psychothérapie Vastaamo a constitué une violation massive de données qui a eu des conséquences considérables tant pour les victimes que pour l'entreprise. Les pirates ont réussi à voler des informations très sensibles concernant des dizaines de milliers de patients, notamment des dossiers de patients, des notes de séances de thérapie, des journaux intimes, des diagnostics et des informations de contact. Pour ne rien arranger, certains de ces fichiers ont été publiés sur le dark web, exposant au public les informations les plus personnelles et confidentielles des victimes.
L'impact sur les victimes a été dévastateur. Leurs informations sensibles ayant été compromises, de nombreux patients risquaient de voir leur santé mentale, leurs relations personnelles et leur vie professionnelle affectées. Pour tenter de limiter les dégâts, les attaquants ont exigé des rançons de la part de l'entreprise, des patients et des membres du personnel. Ils ont menacé de divulguer d'autres informations si leurs demandes n'étaient pas satisfaites. L'entreprise et les personnes concernées ont toutefois refusé de payer les rançons.
Outre les conséquences personnelles pour les victimes, la violation de données a eu de graves répercussions pour Vastaamo en tant qu'entreprise. L'exposition publique des informations sensibles et l'incapacité de l'entreprise à sécuriser et à protéger les données ont entraîné une perte de confiance dans l'organisation. Vastaamo, qui avait traité plus de 30 000 patients et servait de sous-traitant à plusieurs grands districts hospitaliers du secteur public, a déposé son bilan en février 2021, quelques mois seulement après la révélation de la violation.
Le pirate informatique et ses activités
Le(s) Le(s) pirate(s) informatique(s) à l'origine de la violation de données de Vastaamo ont fait preuve d'un haut niveau de sophistication dans leurs activités. Ils ont réussi à infiltrer les systèmes de l'entreprise et à voler les informations sensibles de dizaines de milliers de patients. Au fil de l'enquête, il a été révélé que le pirate avait ciblé Vastaamo lors de deux violations de données distinctes, en novembre 2018 et en mars 2019. Cependant, en raison de l'écart de temps entre les violations et les tentatives d'extorsion, il est possible que les auteurs de chaque crime n'aient pas été les mêmes.
À la suite de ces violations, les pirates ont recouru au chantage, exigeant des rançons de la part de l'entreprise et de certains patients et membres du personnel. Il a menacé de divulguer des informations plus sensibles si ses demandes n'étaient pas satisfaites. Le pirate a ensuite publié certains des fichiers volés sur le dark web.
Au fur et à mesure que l'enquête progressait, les autorités ont découvert que la principale piste d'investigation se situait en dehors de l'Europe. Il y a également eu une extradition de la France vers la Finlande qui semble être directement liée à cet incident.
Responsabilité personnelle
L'ex-PDG de Vastaamo, Ville Tapio, est devenu personnellement responsable parce qu'il n'a pas respecté les exigences du GDPR concernant la pseudonymisation et le cryptage des données des patients. Ce manquement à la protection des données a rendu les informations sensibles vulnérables et a directement contribué à la violation de données. Les actions (ou l'absence d'actions) de M. Tapio ont joué un rôle important dans la décision du tribunal de le tenir pour responsable du délit de protection des données. Il a été rapporté qu'il était conscient des lacunes en matière de cybersécurité au sein de l'entreprise deux ans avant les incidents, et qu'il n'avait pas agi pour combler ces lacunes, manquant ainsi à son devoir de maintenir la sécurité des informations confidentielles relatives aux clients de l'entreprise.
M. Tapio a été démis de ses fonctions de PDG à l'automne 2020, après la révélation de la violation de données. Son éviction de la direction de l'entreprise a démontré la gravité de la situation et l'impact de ses mauvaises pratiques en matière de cybersécurité. M. Tapio a ensuite été accusé d'infractions à la législation sur la protection des données et traduit en justice.
Au cours du procès, le tribunal a qualifié les actes de Tapio de particulièrement répréhensibles en raison de l'ampleur de la violation et de la nature sensible des informations concernées. Le tribunal a estimé que la gravité du crime justifiait une peine d'emprisonnement sans sursis. Toutefois, après avoir examiné l'affaire dans son ensemble et pris en compte le casier judiciaire vierge de Tapio, le tribunal a décidé d'imposer une peine de trois mois avec sursis.
Bien que Tapio ait évité une peine de prison effective, il est important de noter qu'il n'a pas été acquitté. La condamnation avec sursis reste une sanction pénale et a des conséquences importantes pour sa réputation personnelle et professionnelle. La condamnation peut entraver sa capacité à trouver un emploi à l'avenir, en particulier dans des postes de confiance ou d'autorité, et pourrait avoir des conséquences durables sur sa vie personnelle.
Cela pourrait se produire ailleurs
En tant que praticiens de la cybersécurité, RSSI et professionnels de l'informatique, cette affaire nous rappelle brutalement que de mauvaises pratiques en matière de cybersécurité peuvent avoir de graves conséquences, y compris des accusations criminelles et des peines d'emprisonnement potentielles. Il est essentiel de mettre en œuvre et de maintenir des mesures de sécurité solides, de respecter les exigences réglementaires et de signaler et de traiter rapidement tout incident qui pourrait survenir. Ignorer les risques et ne pas prendre les mesures qui s'imposent peut non seulement nuire considérablement à la réputation et à la situation financière de votre entreprise, mais aussi avoir des répercussions juridiques personnelles. N'attendez donc pas qu'il soit trop tard - investissez dès maintenant dans la cybersécurité de votre organisation et protégez vos clients, votre entreprise et vous-même.
