Piratage d’un système téléphonique communal : la responsabilité des prestataires peut-elle être engagée, y compris après la fin du contrat ?
À la suite d’une expertise judiciaire, la collectivité engage la responsabilité contractuelle des deux prestataires.
La première société (ancien titulaire du marché) fait valoir que son contrat avait pris fin avant la survenance du piratage et qu’aucun incident n’était survenu durant son intervention. Elle conteste donc tout lien de causalité.
La seconde société (nouveau titulaire du marché), en liquidation judiciaire au moment du litige, contestait également sa responsabilité en soutenant notamment qu’elle n’était intervenue que sur une période très courte et que la preuve de ses manquements n’était pas rapportée.
Le tribunal écarte ces arguments et retient la responsabilité des deux sociétés.
D’une part, le premier prestataire a manqué à son devoir de conseil et de sécurité. L’expertise met en évidence une gestion défaillante des mots de passe du système (mots de passe faibles, absence de renouvellement), ainsi que l’absence de préconisations en matière de sécurisation. Ces manquements ont laissé persister une vulnérabilité structurelle du système. Le juge en déduit l’existence d’un lien de causalité direct entre ces carences et la possibilité du piratage, peu important que celui-ci se soit produit après la fin du contrat :
Si la faiblesse des mots de passe a permis, en l’espèce, à la collectivité d’engager la responsabilité de ses prestataires, elle pourrait, dans d’autres configurations, être analysée comme une négligence imputable à la collectivité elle-même.
Ainsi, en février 2021, une cyberattaque survenue en Floride (États-Unis) a conduit à la manipulation de la composition chimique de l’eau distribuée. Le pirate est parvenu à augmenter de manière significative le taux de soude caustique, multipliant par dix sa concentration. Les conséquences auraient pu être particulièrement graves en l’absence de réaction rapide des agents de la station de traitement.
Or, cette attaque reposait sur des failles élémentaires plutôt que sur des procédés sophistiqués. L’enquête a mis en évidence plusieurs défaillances majeures :
– l’utilisation d’un mot de passe unique et partagé sur l’ensemble des postes ;
– l’absence de pare-feu entre Internet et le système d’information ;
– le maintien d’un système d’exploitation obsolète (Windows 7), dont les mises à jour de sécurité avaient cessé depuis janvier 2020, en dépit des alertes des autorités.
Transposée au contexte français, une telle accumulation de manquements pourrait caractériser une faute de la collectivité en cas de dommage, notamment si celle-ci n’a pas pris les mesures élémentaires de sécurisation pourtant connues et recommandées. Une action en responsabilité pourrait alors être engagée contre la collectivité, voire, dans certaines hypothèses, conduire à rechercher la responsabilité personnelle des décideurs (élus et/ou responsables des systèmes d’information) en cas de carence manifeste face à un risque prévisible.
Le tribunal retient ainsi que les fautes respectives des deux sociétés ont concouru à la réalisation du dommage et engage leur responsabilité solidaire.
Cybersécurité : une formation en ligne proposée pour préparer les élus et leurs agents aux crises cyber
C’est dans ce contexte préoccupant que l’AMF et le Commandement du ministère de l’Intérieur dans le cyberespace ont lancé « CapCyber : crises & collectivités », un exercice de simulation en ligne innovant pour accompagner les élus locaux et leurs agents dans la prévention et la gestion du risque cyber. Conçu pour anticiper les crises avant qu’elles ne surviennent, ce programme propose une immersion pédagogique dans une situation de cyberattaque simulée, afin de mieux comprendre les enjeux et adopter les bons réflexes.
Sur le plan indemnitaire, le juge opère une appréciation stricte des chefs de préjudice :