Points clés
- L'absence de preuves digitales lors d'un incident crée des conséquences multiples : impossibilité de démontrer la diligence aux régulateurs, difficulté à notifier avec précision les personnes concernées, limitation de la capacité à poursuivre les attaquants en justice.
- Lorsqu'une organisation ne peut pas démontrer l'étendue précise d'une violation de données, les régulateurs RGPD tendent à adopter une approche conservatrice qui aggrave les obligations de notification et augmente le risque de sanction.
- L'admissibilité des preuves digitales en procédure judiciaire nécessite une chaîne de custody documentée et une intégrité cryptographiquement prouvée — des standards qui doivent être préparés avant l'incident.
- ISO 27001:2022 A.5.28 (Collection of evidence) et NIST SP 800-86 définissent les standards de collecte et de gestion des preuves digitales applicables lors des incidents.
L'absence de preuves digitales lors d'un incident de sécurité a des conséquences qui vont bien au-delà de la difficulté d'investigation. Elles affectent la capacité de l'organisation à remplir ses obligations légales et réglementaires, à exercer ses recours judiciaires, et à démontrer sa bonne foi et sa diligence aux différentes parties prenantes. Ces conséquences sont souvent beaucoup plus coûteuses que l'investissement qui aurait été nécessaire pour maintenir des preuves suffisantes.
La direction générale doit comprendre que l'investissement dans la traçabilité et la supervision n'est pas seulement un investissement en sécurité opérationnelle — c'est aussi un investissement en capacité de défense légale et réglementaire lors des inévitables incidents.
Conséquences sur les obligations réglementaires
RGPD Article 33 impose la notification d'une violation de données à l'autorité de contrôle dans les 72 heures, avec une description "dans la mesure du possible" de la nature de la violation, des catégories de données concernées, du nombre approximatif de personnes affectées et des conséquences probables. Sans journaux d'activité permettant de déterminer quelles données ont été accédées, la notification ne peut être que vague et approximative.
Les autorités de contrôle RGPD (CNIL, ICO, DPC...) évaluent la qualité de la notification dans leur appréciation des mesures de diligence de l'organisation. Une notification imprécise — "nous pensons que des données ont été exposées, mais nous ne pouvons pas déterminer lesquelles" — est associée à une évaluation négative de la capacité de l'organisation à maîtriser ses traitements. Cette évaluation influence directement le niveau des sanctions imposées.
La CNIL française et l'ICO britannique ont toutes deux publié des décisions dans lesquelles l'impossibilité d'une organisation à déterminer précisément l'étendue d'une violation, faute de logs suffisants, a été retenue comme aggravant dans le calcul de la sanction. Le message est clair : ne pas avoir les moyens de savoir ce qui s'est passé est en soi une violation des obligations de sécurité du RGPD.
Conséquences sur les recours judiciaires
Lorsqu'une organisation est victime d'une cyberattaque causée par un tiers identifiable (un prestataire négligent, un fournisseur de logiciel vulnérable), elle peut chercher à obtenir réparation auprès de ce tiers. Cette démarche nécessite de prouver le lien causal entre la négligence du tiers et le préjudice subi — ce qui requiert des preuves digitales admissibles : logs démontrant que l'intrusion a transité par les systèmes du prestataire, journaux prouvant les actions de l'attaquant, horodatages certifiés démontrant la chronologie.
L'admissibilité des preuves digitales en procédure judiciaire est soumise à des exigences strictes dans la plupart des juridictions : la preuve doit être obtenue sans modification de l'original (bit-for-bit copy), la chaîne de custody doit être documentée (qui a eu accès à la preuve, quand, pour quelle raison), et l'intégrité doit être prouvée cryptographiquement (hachage SHA-256 de la preuve avant et après chaque accès). Ces exigences doivent être intégrées dans les procédures de réponse à incident bien avant qu'un incident judiciaire ne survienne.
Les assureurs cyber exigent également des preuves pour indemniser les sinistres. Une réclamation d'assurance cyber sans documentation précise de l'incident (chronologie, systèmes affectés, données compromises, coûts de remédiation) sera difficile à traiter et peut conduire à une indemnisation réduite ou refusée. La documentation de l'incident, basée sur les journaux d'activité disponibles, est indispensable pour constituer un dossier de sinistre complet.
Préparer les preuves avant l'incident
La préparation des preuves passe par plusieurs mesures préventives : maintenir des journaux d'activité complets dans un stockage immuable, documenter les procédures de collecte de preuves conformes aux standards légaux (NIST SP 800-86, RFC 3227 — Evidence Collection and Archiving), former les équipes de réponse à incident aux procédures de collecte de preuves, et définir des relations avec des prestataires forensiques spécialisés qui peuvent intervenir rapidement lors d'un incident.
Les notaires numériques et les services de timestamping qualifié (RFC 3161) permettent d'apposer des horodatages légalement opposables sur des preuves digitales — renforçant leur admissibilité en procédure judiciaire. Ces services sont peu coûteux et peuvent significativement renforcer la valeur légale des preuves constituées lors d'un incident.
Merck a subi lors de NotPetya en 2017 des pertes estimées à 870 millions USD. La compagnie pharmaceutique a réclamé l'indemnisation de ces pertes à ses assureurs, dont Chubb. Les assureurs ont tenté d'invoquer une clause d'exclusion de guerre pour refuser l'indemnisation (NotPetya ayant été attribué à des acteurs russes). Merck a dû démontrer via ses journaux d'activité que l'attaque était une cyberattaque et non un acte de guerre au sens de la clause d'exclusion. En janvier 2023, le tribunal du New Jersey a statué en faveur de Merck. Ce litige illustre comment des preuves digitales robustes peuvent être déterminantes dans un contentieux lié à un cyberincident.
Lors de la notification RGPD de la violation Starwood à l'ICO britannique en 2018, Marriott a dû reconnaître qu'il lui était impossible de déterminer avec précision le nombre exact de personnes affectées et l'étendue des données exposées, en raison de l'insuffisance des journaux d'accès aux bases de données Starwood. L'ICO a retenu ce manque de traçabilité comme un élément dans sa décision d'amende (initialement 99 millions GBP, réduite à 18,4 millions GBP en appel). L'ICO a explicitement mentionné que Marriott n'avait pas pris les mesures techniques et organisationnelles appropriées pour maintenir une traçabilité suffisante permettant de répondre à une violation de données.
Suite à la compromission de Tokopedia en 2020, qui a exposé les données de 91 millions d'utilisateurs, la Kominfo (ministère indonésien de l'information) a ouvert une investigation. Tokopedia a eu des difficultés à démontrer précisément l'étendue de la compromission et les mesures de sécurité qui avaient été en place, en raison d'une documentation et de journaux insuffisants dans certains systèmes affectés. Cette difficulté a compliqué les relations avec les autorités et a alimenté les discussions publiques sur la loi de protection des données en Indonésie (UU PDP), finalement promulguée en 2022 avec des exigences de traçabilité et de notification des violations.