Pouvez-vous être tenu responsable si votre site Web est piraté?

Article écrit par:
  • D'affaires en ligne
  • Mis à jour: Jul 03, 2017

Les crimes contre les entreprises, les services et les détaillants n’impliquent généralement pas autant que les entreprises physiques. Au lieu de cela, nous constatons une augmentation de la cybercriminalité de la part des «pigistes» et des syndicats de piratage. Ils veulent que les informations utilisateur sensibles soient vendues aux voleurs d'identité (ou s'utilisent elles-mêmes).

Mais qu'en est-il des conséquences juridiques pour les entreprises victimes de ces attaques? Ont-ils la responsabilité de protéger les informations? Et quelle est l'étendue de cette responsabilité?

La réponse courte, ça dépend. Dans la plupart des sociétés modernes, il existe très peu de situations délicates en matière de responsabilité. Il y a des degrés de raisonnabilité, de culpabilité et des problèmes d'échelle à prendre en compte. Étant donné que les sites Web peuvent traiter avec des millions d'utilisateurs et un beaucoup d'argent régulièrement, et donc des millions d’informations potentiellement privées, une réponse claire est impossible.

Il est à noter que la plupart des événements concernent principalement les grandes entreprises. Toutefois, si vous exploitez une petite entreprise (basée sur le Web ou non), la plupart des mêmes lois s’appliqueraient si votre site Web subissait une violation.

Examinons quelques cas précédents et violations pour mieux déterminer votre risque:

Pertes de données: échelle et types

La réalité de la violation de données (statistiques 2016, source: Indice de niveau de violation).

Supposons que votre entreprise a été victime d’une violation de données. Avant de vous occuper des dégâts, vous devez déterminer l’ampleur de l’attaque. Comment est-que quelqu'un peut faire ça?

D'abord, considérons les données volées:

  • Votre entreprise ne rencontrera pas beaucoup de problèmes juridiques liés au vol d'une adresse électronique. La victime pourrait même ne pas s'en rendre compte. Les adresses électroniques sont peu coûteuses et courantes, et une petite violation ou un piratage de vos listes d'abonnés est souvent la cause de ce type de violation.
  • Les informations de compte sont une autre affaire. Si des comptes sont volés sur votre site Web, la fraude est possible et, par conséquent, les dommages sont possibles.
  • Si une violation de données survient et que les informations financières et d’identification de vos clients sont volées, en particulier en masse, ce sera un problème si vous pouvez être trouvé (e) négligent. Le vol d'identité se produira et d'autres problèmes potentiels peuvent survenir (réfléchissez à ce qu'un criminel peut faire avec l'adresse de quelqu'un).

La balance peut aussi avoir une grande importance. De nombreux règlements et amendes sont imposés par personne touchée (tout comme la nature d'un recours collectif). Votre entreprise peut probablement se permettre de perdre des enregistrements 10 car il est très peu probable qu'une violation de cette taille se rende devant les tribunaux. Cependant, il ne peut pas gérer la perte des enregistrements financiers 100,000. Par exemple, cible a récemment versé un règlement en millions de 18.5 à divers gouvernements d’États pour une violation de données 2013 impliquant des millions d’enregistrements de carte de crédit.

Quels précédents ont été définis?

Fondamentalement, la loi crée autant de précédent que de contenu dans les livres. Voyons donc ce que nous savons des infractions et des affaires précédentes:

1 - Les entreprises peuvent être tenues responsables (ou le seront bientôt)

Les entreprises et les sites Web ont une responsabilité vis-à-vis de leurs clients. C'est notamment le cas dans certains domaines, tels que les soins de santé et le droit, où la mauvaise gestion des enregistrements et la confidentialité ont eu des conséquences bien avant l'ère d'Internet. Ces règles s'appliquent toujours et si votre site Web fonctionne dans des domaines sensibles, vous devez savoir ce que vous pouvez et ne pouvez pas faire. La loi est claire.

Pour tous les autres, cependant, les limites de la responsabilité restent incertaines, ne serait-ce que pour le moment. Au Royaume-Uni, les règlements et les amendes sont en augmentation. La nouvelle législation dans l'UE, une fois entrée en vigueur, va descendre dur sur les entreprises, pouvant potentiellement imposer des amendes de plusieurs milliards de dollars à des entreprises qui ne protègent pas suffisamment leurs informations et se retrouvent du mauvais côté d'une violation de données.

Que pouvons-nous attendre des États-Unis à ce sujet? C’est peu ou pas de législation explicite à ce sujet. Les poursuites sont intentées presque automatiquement en cas de violation de données à grande échelle, mais il faut s'y attendre lorsque les avocats voient des signes de dollar et la possibilité de faire de la publicité. Au lieu de cela, cela fonctionne au cas par cas, ce qui nous amène à regarder d'autres exemples.

2 - Les dommages doivent être évidents

Les violations de données surviennent fréquemment et semblent souvent avoir très peu de signification.

De nombreuses poursuites intentées par les consommateurs ne donneraient probablement pas trop de résultats, car le risque de subir un vol d’identité ne constituera pas un argument de poids. Il faudrait qu'il existe des preuves d'un préjudice réel ou imminent, qu'il est difficile de fournir immédiatement après une violation de données. Cela peut changer, mais cela semble être le cas jusqu'à présent.

La plupart des pirates informatiques et des cybercriminels savent qu'il vaut mieux que d'essayer des données nouvellement acquises, et beaucoup d'autres cherchent simplement quelqu'un qui les achètera pour des réseaux d'usurpation d'identité (un pirate informatique n'utilisera probablement pas des millions de numéros de cartes de crédit). Même dans ce cas, la plupart des usurpations d'identité ne seraient pas volées simultanément, ce qui signifie qu'il est plus difficile d'organiser un recours collectif.

Wendy's, par exemple, a eu un recours collectif intenté contre eux, mais le l'affaire a finalement été classée. Le tribunal a déclaré que les dommages-intérêts n'étaient pas suffisants et que, ces dommages ayant été remboursés, l'affaire ne s'est pas tenue devant la loi. Plus intéressant encore, les tribunaux ont conclu que de simples accusations frauduleuses sur une carte de crédit ne suffisaient pas à justifier des dommages et intérêts.

3- Négligence et protocole approprié

À titre d'exemple d'un recours collectif qui a fonctionné, Les clients de Neiman Marcus ont remporté un costume d'un million de dollars 1.6 contre la société après confirmation du détaillant, le fournisseur n’a pas fourni la protection adéquate. Bien que ce soit une grande entreprise et pas seulement un site Web, si vous exploitez une entreprise, le message clair est que la négligence peut ne pas être tolérée.

Le gouvernement s’est déjà attaqué à des entreprises telles que Wyndham et TerraCom pour ne pas protéger correctement les informations. Voici quelques exemples d'infractions:

  • Stockage des informations de carte sans protection ni cryptage.
  • Ne pas utiliser de pare-feu ou d’autres mesures de sécurité sur des sites physiques.
  • Utiliser des mots de passe faciles à deviner.
  • A défaut de restreindre les connexions extérieures.
  • Stockage d'informations sur des serveurs clairement non protégés.

En outre, le gouvernement a demandé aux entreprises de mettre en œuvre de meilleures mesures de sécurité, en ajoutant des coûts supplémentaires aux amendes.

4 - Certains disques importent davantage

Comme mentionné précédemment en ce qui concerne les dossiers de santé, HIPAA (ou un équivalent) sera appliqué s'il est avéré avoir été violé.

Récemment, il y a eu une série de violations de données de santé très médiatisées aux États-Unis et à l'étranger, et il serait insensé de penser qu'il n'y aura plus de pression pour imposer une application plus stricte et des sanctions plus sévères à l'ère numérique. Si votre site Web est lié aux soins de santé, vous devriez envisager une aide professionnelle en cybersécurité.

Les documents liés à la gestion financière directe ou à d'autres informations confidentielles seront également tenus à un niveau élevé. Morgan Stanley n'a pas réussi à protéger les informations client et perdu des millions de dollars 1 pour cela.

En outre, il convient de noter que les stipulations contractuelles ou d'autres circonstances juridiquement contraignantes auront leur propre poids devant un tribunal. Si votre entreprise accepte de préserver la sécurité de certaines informations, vous êtes légalement responsable de la sécurité de ces informations, quels que soient les précédents.

5 - Cela pourrait différer par région

Aux États-Unis, les lois diffèrent d'un État à l'autre en ce qui concerne l'utilisation de la technologie et la responsabilité de l'utilisation du site Web et de la confidentialité. Chaque État a des lois en vigueur concernant la cybercriminalité, même s'il existe des différences dans les sanctions et les normes.

Ce serait peut-être beaucoup plus compliqué s'il s'agissait d'un incident international. Les locataires du droit international ne sont pas très faciles à comprendre. C'est notamment le cas des lois sur la responsabilité des entreprises, et encore plus lorsque des lois relativement nouvelles sur la technologie sont impliquées.

Comme indiqué plus haut, les systèmes juridiques fonctionnent autant par la jurisprudence que par la législation, et il n’ya pas eu beaucoup de précédents établis dans ce domaine du droit. Vous ne voulez pas non plus être un cas test, car les gens viendront associer votre site à une violation de données, que vous soyez responsable ou non. Il est presque impossible de récupérer de ce type de dommage à votre image.

Incidents de violation dans 2016 par région.

Réduire votre risque de responsabilité

Votre risque de responsabilité peut toutefois être atténué, même si vous vous trouvez au mauvais bout d'une violation. Si vous êtes responsable et ouvert à propos de ce qui s'est passé et qu'il n'existe aucun moyen raisonnable d'empêcher la violation, vous aurez probablement raison et pourrez vous concentrer sur la reconstruction de la marque et de l'audience de votre site Web. Comme toujours, la diligence raisonnable porte ses fruits.

En résumé, procédez comme suit dès que vous le pouvez:

  • Dans la mesure du possible, placez sur votre site Web des protections qui protégeront vos visiteurs. Activez HTTPS sur votre site Web, assurez-vous que vos commentaires sont automatiquement modérés (ou désactivez-les, en fonction de votre site Web), maintenez vos plugins à jour et supprimez ceux qui sont obsolètes.
  • Protégez vos appareils de la même manière et prenez des précautions contre les erreurs humaines. Une personne qui ne respecte pas la procédure ou les lois en vigueur est beaucoup plus susceptible de vous engager que le supervirus qui n’a aucune défense.
  • Renseignez-vous sur les lois de votre état en la matière. Si votre organisation en a les moyens, demandez à un conseil juridique de déterminer le risque de responsabilité en cas de fuite d'informations. Sachez que ce domaine évolue constamment et que les lois et précédents précédents pourraient ne plus être applicables.
  • Essayez de sécuriser autant que possible la sécurité de votre site Web. Bien qu'il n'y ait aucun moyen de le faire parfaitement, essayez d'imaginer les stratégies potentielles qu'un pirate informatique qualifié pourrait utiliser.
  • Si vous constatez une violation de votre site Web, répondez rapidement et de manière décisive. Veillez à ne pas dissimuler la fuite ni dissimuler l’ampleur des dégâts. Cela ne fera que rendre votre enquête encore plus difficile et donnera l’impression que vous êtes à blâmer (les utilisateurs de votre site Web ont le droit de se protéger et de se défendre). Ne vous impliquez pas et n'acceptez pas le blâme (même dans un article de blog), mais plutôt reconnaissez la situation et dites à l'utilisateur ce que vous faites pour atténuer les dommages et éviter qu'ils ne se reproduisent.

Il y a probablement d'autres mesures que vous pouvez prendre pour vous protéger, mais ils sont beaucoup trop situationnels pour pouvoir offrir un aperçu réel de cette question de la responsabilité. Des éléments tels que les scripts que vous utilisez sur votre site Web vous rendent vulnérable (faites attention aux méthodes que vous utilisez pour collecter des données), les données exactes que vous collectez et le niveau d'interaction que vous avez avec votre public (les pirates informatiques peuvent afficher les communications et extrapoler des informations à partir de là) importe quand il s’agit de la question de la responsabilité de la cybersécurité.

Indépendamment de ce que vous pensez de votre responsabilité potentielle, vous en bénéficierez mieux si vous vous protégez et utilisez les connaissances que vous avez découvertes. Cette situation va continuer à changer, alors restez vigilant pour vous tenir au courant de tous les risques, qu'ils soient juridiques ou liés à la cybersécurité. Avec les bonnes idées et le dévouement, vous ne devriez pas avoir à vous soucier de ce problème.

A propos de l'auteur: Cassie Phillips

Cassie est une blogueuse sur la technologie et la cybersécurité qui écrit régulièrement pour Pensées sécurisées. Vous pouvez généralement la trouver en train de rechercher de nouvelles tendances et d’essayer de développer son auditoire. Elle espère que ces informations vous aideront à rester à l’écart des menaces en ligne lorsque vous développerez votre entreprise.

À propos de l'invité WHSR

Cet article a été écrit par un contributeur invité. Les opinions de l'auteur ci-dessous sont entièrement les siennes et peuvent ne pas refléter les vues de WHSR.