Cybercriminalité et responsabilité du chef d - MEDEF Lyon
Transcription
Cybercriminalité et responsabilité du chef d - MEDEF Lyon
Cybercriminalité et responsabilité du chef d’entreprise MEDEF LYON RHONE – 28 avril 2015 Xavier VAHRAMIAN, Avocat Associé Sommaire INTRODUCTION DELITS SUBIS PAR LES ENTREPRISES DELITS COMMIS PAR LES ENTREPRISES INTRODUCTION DEFINITION DE LA CYBERCRIMINALITE : Toutes les infractions pénales commises ou tentées à l’encontre ou au moyen d’un système d’information et de communication : Des infractions totalement spécifiques comme celles qui sont dirigées contre le système d’information lui-même; Des infractions de droit commun, commises au moyen de ces nouvelles technologies de l’information et de la communication. Là aussi le domaine est particulièrement large : dénigrement de l’entreprise, cyber escroqueries telle que l’usurpation d’identité en ligne, l’atteinte à la propriété intellectuelle, au secret professionnel, aux droits d’auteur. 3 INTRODUCTION Selon une étude de 2013 réalisée par la société KAPERSKY, plus d’un tiers des entreprises françaises de moins de 250 salariés auraient été victimes de cyber-attaques cette année là, soit une augmentation de plus 42% par rapport à 2012. 2014 et 2015 ont vu une « explosion » de la cybercriminalité touchant tout type d’entreprise. INFRACTIONS LES PLUS COURANTES : - Escroquerie au paiement via usurpation ou pas d’identité, - Vols de données de l’extérieur, - Vol de données de l’intérieur de l’entreprise, - Atteinte à la réputation. 4 DELITS SUBIS PAR LES ENTREPRISES 1- ATTEINTE AUX DONNEES ET SYSTEMES - Accès ou maintien dans un STAD : Article 323-1 du Code Pénal : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende. Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende. » 5 DELITS SUBIS PAR LES ENTREPRISES Qu’est-ce qu’un système ? Tout ensemble composé d’une ou plusieurs unités de traitement, de mémoire, de logiciels, de données, d’organes ENTRÉE-SORTIE et de liaisons qui concourent à un résultat déterminé. - Entrave ou faussement du fonctionnement d’un STAD : Article 323-2 « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende. Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 100 000 € d'amende. » DELITS SUBIS PAR LES ENTREPRISES - Introduction frauduleuse de données dans un STAD ou suppression ou modification de données dans un STAD :Article 323-3 « Le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende. Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 100 000 € d'amende. » 7 DELITS SUBIS PAR LES ENTREPRISES 2- ESCROQUERIES Article 313-1 du Code Pénal : « L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L'escroquerie est punie de cinq ans d'emprisonnement et de 375 000 euros d'amende. » L’utilisation de l’ordinateur comme simulateur ou comme intimidateur constitue les manœuvres frauduleuses. Nombreuses illustrations citées dans le 2 première interventions. 8 DELITS SUBIS PAR LES ENTREPRISES 3- ABUS DE CONFIANCE PAR USAGE DE BIENS INFORMATIQUES Article 314-1 du Code Pénal : « L'abus de confiance est le fait par une personne de détourner, au préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou d'en faire un usage déterminé. L'abus de confiance est puni de trois ans d'emprisonnement et de 375 000 euros d'amende. » ILLUSTRATIONS JUDICIAIRES : Cour d’Appel de PARIS 9ème Chambre - 25 avril 2003 : Abus de confiance dans une affaire où le salarié utilisait le matériel informatique mis à sa disposition pour accéder à un site érotique et échangiste et stocker sur le disque dur de l’ordinateur les photographies pornographiques ainsi obtenues. 9 DELITS SUBIS PAR LES ENTREPRISES Cour d’Appel de PARIS 9ème Chambre - 25 février 2005 : Abus de confiance par l’envoi par un salarié de fichiers vers l’ordinateur utilisé dans le cadre de son nouvel emploi, comme un détournement de documents au sens du texte pénal. Cour de Cassation Chambre Criminelle - 19 juin 2013 L’utilisation par un salarié de son temps de travail et des moyens mis à sa disposition par son employeur à des fins autres que celles pour lesquelles elle perçoit une rémunération constitue un abus de confiance. 10 DELITS SUBIS PAR LES ENTREPRISES 4- VOL DE DONNES INFORMATIQUES : PROBLEMATIQUE Le vol de données par un salarié est une question qui a longtemps été jugée problématique par les juridictions. La Cour de Cassation juge en effet que seule la soustraction d’un bien corporel de type disquette, CD ROM, papier, permet de voir appliquer la qualification de vol. Les professionnels du droit utilisent parfois la qualification d’abus de confiance qui suppose préalablement néanmoins la remise des fichiers litigieux à la personne auteur du méfait. La Cour d’Appel de PARIS, dans un arrêt du 5 février 2014, a, quant à elle, clairement retenu la qualification de vol de fichiers informatiques, quand bien même lesdits fichiers n’ont pas été copiés sur un support matériel qui aurait également fait l’objet de soustraction. 11 DELITS SUBIS PAR LES ENTREPRISES De nombreux auteurs considèrent à juste titre qu’aujourd’hui le secret des affaires doit être davantage protégé. Plusieurs propositions de Loi ont été déposées dans ce sens qui, à ce stade, n’ont jamais été adoptées 5- ATTEINTE A LA DIGNITE : INJURES, DIFFAMATION… Une diffamation est une allégation ou imputation d'un fait non avéré qui porte atteinte à l'honneur ou à la considération d'une personne. C'est une articulation précise de faits précis et objectifs pouvant sans difficulté, être l'objet d'une vérification et d'un débat contradictoire. Une injure est une invective, une expression outrageante ou méprisante, non précédée d'une provocation et qui n'impute aucun fait précis à la victime. Le qualificatif attribué ne peut pas être vérifié. 12 DELITS SUBIS PAR LES ENTREPRISES 6- USURPATION D’IDENTITE Le nouvel article 226-4-1 du code pénal issu de la loi LOPPSI 2 du 14 mars 2011 dispose que : « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende ». L’alinéa 2 de l’article 226-4-1 précité du Code pénal dispose que « Cette infraction est punie des même peines lorsqu’elle est commise sur un réseau de communication au public en ligne. 13 DELITS COMMIS PAR LES ENTREPRISES Sans le savoir, un grand nombre d’entreprises utilise des fichiers, des données sans respecter une législation spécifique issue de la Loi Informatique et Liberté. Cette Loi prévoit deux grands types d’obligation : - d’une part la déclaration à la CNIL de tout traitement automatisé d’informations nominatives; - D’autre part, la sécurisation des données, afin d’empêcher qu’elles soient endommagées, ou que des tiers y aient accès. 1ère obligation : Déclaration de traitement, non respect des normes simplifiées, Fait de collecter des données à caractère personnel par un moyen frauduleux, ou illicite …. Sanctions : Article 226-16 du code Pénal :cinq ans d'emprisonnement et de 300 000 euros d'amende. 14 DELITS COMMIS PAR LES ENTREPRISES 2ème obligation : Article 34 de la Loi Informatique et Liberté : Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Sanctions : Article 226-17 du code Pénal : Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. 15 DELITS COMMIS PAR LES ENTREPRISES LOI DE PROGRAMMATION MILITAIRE ET DIRECTIVE EUROPENNE 3 grandes catégories d’obligations, portant sur la détection et la gestion des risques, la notification des incidents, et les mesures de sécurité et audits. Détection et gestion des risques La proposition de directive dispose que les organismes concernés doivent prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI). 16 DELITS COMMIS PAR LES ENTREPRISES La LPM 2014-2019 prévoit que dans certains cas, les OIV ont l’obligation de mettre en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. Notification des incidents Le projet de texte européen prévoit que les acteurs du marché doivent notifier à l’autorité compétente, sans retard injustifié, “les incidents qui ont impact significatif”. Il s’agit d’incidents qui portent atteinte à la sécurité et à la continuité d’un réseau ou d'un système d'information et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles. 17 DELITS COMMIS PAR LES ENTREPRISES La LPM 2014-2019 met également, à la charge des OIV, une obligation de déclarer sans délai au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. La loi ne définit pas la notion d’incident, qui doit être précisée par décret, ainsi que les modalités de la notification. En outre, la loi française ne prévoit pas expressément la possibilité pour l’Anssi ou les services de l’Etat d’informer le public en cas d’incident. Mesures de sécurité et audit Les OIV doivent, d’une part respecter les règles et mesures de sécurité élaborées par le Premier ministre et, d’autre part soumettre leur SI à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité. Ces contrôles seront réalisés par des prestataires de service “qualifiés” ou les agents de l’Anssi. 18 DELITS COMMIS PAR LES ENTREPRISES Les sanctions en cas de non-respect des obligations La LPM 2014-2019 sanctionne les manquements à la loi d’une amende de 150.000 €, s’élevant à 750.000 € pour les personnes morales. La loi française ne distingue pas selon que le manquement est ou non intentionnel. La simple négligence est donc en principe condamnable. 19