La cour d'appel de Reims a condamné un prestataire informatique à indemniser son client, victime d'un ransomware. En cause, selon les juges, un déploiement de Windows Server aux paramètres de sécurité défaillants.

Un prestataire informatique vient d'être condamné pour avoir livré un déploiement Windows Server non sécurisé. © Alexandre Boero / Clubic
Un prestataire informatique vient d'être condamné pour avoir livré un déploiement Windows Server non sécurisé. © Alexandre Boero / Clubic

L'arrêt de la cour d'appel de Reims a été rendu tout récemment, le 28 avril 2026, mais l'affaire remonte à l'année 2020, lorsque la société MISA a décidé de confier à 3 Services Informatiques la refonte complète de son parc informatique. À peine quelques semaines après la mise en service, une attaque de type ransomware (ou rançongiciel, en français) a paralysé et chiffré l'intégralité de ses données. La cour a décidé de retenir la responsabilité du prestataire, mais aussi, en partie, celle du client. Nous revenons, sur Clubic, sur ce dossier.

Un ransomware frappe l'entreprise qui venait juste de faire intervenir un prestataire informatique

En février 2020, la société MISA, spécialisée dans l'installation d'équipements mécaniques, mandate 3 Services Informatiques pour moderniser son outil informatique, avec un nouveau serveur, un logiciel de gestion, et un accès à distance pour les salariés à la clé. Deux devis sont proposés. L'entreprise choisit le moins cher, à 3 764 euros HT, contre 4 250 euros pour le second, quelques centaines d'euros d'écart qui, vous allez le voir, vont peser lourd.

Les travaux débutent peu de temps après, le 6 mars 2020, mais le premier confinement les stoppe onze jours plus tard. Le 16 avril, 3 Services Informatiques revient sur site, car le système tourne au ralenti et la sauvegarde des données n'est toujours pas finalisée. Deux jours plus tard, c'est le coup de massue, un ransomware frappe l'entreprise, s'introduit à distance, verrouille tous les fichiers de MISA et le cybercriminel exige 2 755 euros pour en redonner l'accès.

Après l'attaque, 3 Services Informatiques revient quatre jours de suite pour tenter de remettre le serveur sur pied. MISA, elle, fait appel à deux sociétés indépendantes pour auditer son installation et comprendre ce qui a cloché. Les conclusions vont être accablantes. En août 2021, elle met officiellement en cause son prestataire, qui sans surprise rejette toute responsabilité. La bataille judiciaire est alors lancée. Une expertise est ordonnée en 2022, le rapport est rendu en 2023.

L'expert judiciaire met les pieds dans le plat sur la cybersécurité de l'installation

Que dira l'expert judiciaire ? Pour lui, Windows Server 2019 a été installé avec les réglages d'usine, sans aucune des mesures de sécurité préconisées par l'ANSSI, l'agence française de cybersécurité. Pire, l'outil de sécurité RDS Knight, censé bloquer les connexions indésirables, n'est opérationnel qu'en complément du pare-feu Windows Server. Or, ce pare-feu était tout simplement absent. Résultat, la porte était grande ouverte.

Devant le rapport de l'expert, 3 Services Informatiques campe sur ses positions. La société assure avoir livré exactement ce qui était prévu au contrat, et pointe du doigt le choix de départ de MISA. Souvenez-vous, celle-ci avait refusé un devis plus complet à 4 250 euros, pour en prendre un moins cher à 486 euros de moins. Elle brandit aussi ses conditions générales de vente, un document qui, selon elle, la décharge de toute responsabilité en cas de perte de données.

La cour d'appel, de son côté, constate que ces conditions générales de vente n'étaient ni jointes au devis signé, ni paraphées par MISA. Un document non signé n'a aucune valeur juridique, et forcément, le prestataire ne peut pas s'en prévaloir. Mais les juges retournent aussi le miroir vers MISA. Pour les juges, l'entreprise n'a jamais rédigé de cahier des charges, c'est-à-dire qu'elle ne disposait pas de document qui listait précisément les besoins du client et permettait au technicien de savoir exactement quoi installer et comment.

La cour d'appel revient sur le jugement de première instance. © sorinamanar / Shutterstock
La cour d'appel revient sur le jugement de première instance. © sorinamanar / Shutterstock

50/50, les leçons d'une décision qui interpelle tout le secteur

La cour d'appel de Reims a renversé la décision du tribunal de commerce de Troyes, donc de première instance, qui avait donné entièrement tort à MISA. Cette fois, les juges partagent la responsabilité en deux parts égales. D'un côté, 3 Services Informatiques a failli à son obligation de conseil et livré un système mal sécurisé. De l'autre, MISA n'a pas fait sa part, puisque sans cahier des charges, le prestataire ne pouvait pas connaître précisément ses besoins, et cette lacune a contribué à sa propre vulnérabilité.

3 Services Informatiques est donc condamnée à verser 12 097 euros à MISA, la moitié exacte d'un préjudice global chiffré à 24 195 euros, qui couvre les revenus perdus pendant l'arrêt forcé de l'activité, les frais de remise en état du système et la rançon… finalement versée aux pirates (une bien mauvaise idée). En revanche, la cour refuse d'indemniser le préjudice moral, les audits commandés par MISA de sa propre initiative, ainsi que les heures passées par le gérant et la secrétaire à tenter de relancer la machine.

Cet arrêt parlera sans doute à tous les techniciens et prestataires informatiques, qui doivent savoir que respecter un contrat ne suffit pas. Un professionnel du secteur a l'obligation de conseiller son client, de l'alerter sur les risques et de sécuriser correctement ce qu'il installe, même si le client ne le demande pas explicitement. Ignorer les recommandations de l'ANSSI lors d'un déploiement, c'est aussi prendre le risque d'être tenu responsable en cas d'attaque.