Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Matthieu Bourgeois, KGA Avocats : Protection des données contre les cyber-menaces : il est temps de se protéger !

janvier 2016 par Matthieu Bourgeois Avocat associé du département propriété intellectuelle, droit des technologies et de l’information KGA Avocats

Comme le montrent les grandes attaques informatiques qui font maintenant régulièrement la Une de l’actualité (JP Morgan en août 2013, Sony Pictures en novembre 2014, TF1 en janvier 2015), aucune entreprise n’est aujourd’hui à l’abri. Les récentes décisions de jurisprudence, qui condamnent les auteurs d’actes malveillants en utilisant toute la panoplie des textes applicables, sont encourageantes et montrent aux entreprises que l’arme juridique/judiciaire n’est pas à négliger.

Une menace de source et de nature protéiformes

La menace peut venir de l’extérieur de l’entreprise, comme le montre l’affaire « Bluetouff ». Un internaute, qui avait eu accès par erreur (après une recherche Google), en raison d’une faille de sécurité, à l’Intranet d’une agence de l’Etat, dans lequel il s’était ensuite maintenu malgré la présence de contrôle d’accès qu’il avait détecté (depuis l’intérieur du système), en avait extrait des informations confidentielles pour les divulguer à un tiers. L’auteur des faits a été condamné pour « maintien frauduleux » dans un système de traitement automatisé de données (« STAD ») ainsi que pour « vol » (Crim. 20 mai 2015, pourvoi 14-81336).

La menace peut également venir de l’intérieur de l’entreprise, comme le montre la récente affaire « Tefal ». Un salarié, exerçant les fonctions d’administrateur réseau, après avoir découvert par hasard des informations à son sujet sur son futur licenciement, s’était rendu dans le répertoire informatique des ressources humaines dans lequel il avait extrait des documents le concernant qu’il avait alors transmis à l’inspectrice du travail, chargée de son dossier, et que cette dernière avait ensuite divulgués à la presse, entraînant leur publication. En se fondant notamment sur la présence d’une charte informatique, opposable au salarié, et sur les circonstances de transmission des documents confidentiels (via une boîte e-mail anonyme créée à cette seule fin), le TGI d’Annecy a condamné le salarié pour introduction et maintien frauduleux dans un STAD (art. 323-1 c. pén.) et violation du secret des correspondances (art. 226-15 c. pén.) ; l’inspectrice du travail a, quant à celle, été condamnée pour recel de correspondances électroniques divulguées frauduleusement (art. 321-1 c. pén.), et violation du secret professionnel (art. 226-13 c. pén.) [TGI Annecy, décembre 2015, « TEFAL et autres / M. M. C. et Mme J.L », www.legalis.net].

La démarche à adopter

La démarche technique et organisationnelle
La mise en place des outils techniques permet d’automatiser les processus de sécurité. Toutefois, aussi efficaces que puissent être ces technologies, le facteur humain reste souvent le maillon faible pour l’entreprise. Impliquer les collaborateurs, les partenaires, voire ses clients autour d’une démarche de responsabilisation de l’individu est fondamental. Il faut les accompagner et les former. Sur le plan organisationnel, la mise en place d’une gouvernance et de processus de pilotage de la sécurité de l’information est indispensable. Il faut définir les responsabilités en matière de cyber-sécurité, cela passe par la nomination d’un RSSI (responsable de la sécurité des systèmes d’information) et un partenariat fort avec la Direction.

La démarche juridique (préventive) et judiciaire (curative)
Sur le plan juridique, la démarche est essentiellement préventive et de nature contractuelle. Elle vise à donner une force contraignante à la politique de sécurité définie par l’entreprise, et ce à l’égard :
- de ses collaborateurs, notamment par la mise en place d’une charte informatique ; c’est d’ailleurs en partie grâce à la présence d’une telle charte qu’une entreprise a pu obtenir la condamnation pénale, pour abus de confiance, de l’un de ses anciens salariés qui avait appréhendé un grand nombre de fichiers informatiques peu avant de la quitter pour rejoindre un concurrent (Crim. 22 octobre 2014, pourvoi 13-82630) ;
- de ses prestataires/sous-traitants (par l’insertion systématique de clauses de sécurité) ;
- ainsi que de ses clients (par la mise en place systématique de conditions générales, d’une politique de confidentialité).

Sur le plan judiciaire, la démarche est curative et doit être orientée vers l’efficacité, en mettant en place des procédures internes en cas d’attaque (investigations pour identifier l’origine de l’attaque), ainsi qu’une politique de lutte judiciaire visant à définir, selon l’ampleur et la gravité de l’attaque, les types d’actions qui seront engagées (action en responsabilité et/ou simplement en demande de cessation-déconnexion du site litigieux).




Voir les articles précédents

    

Voir les articles suivants