1. Les risques pour l’entreprise
1.1 L’atteinte au patrimoine informationnel
Le patrimoine informationnel est défini comme l’ensemble des informations que possède l’entreprise et qui font sa richesse : fichiers clients, secrets de fabrication, archives…
Il existe deux types d'attaques de ce patrimoine dans le cadre d’une intrusion :
- il peut être partiellement endommagé ou totalement détruit, ce qui s’apparente à du sabotage industriel. C’est ici l’intégrité des documents qui est en jeu puisqu’une information altérée perd sa valeur pour l'entreprise ;
- les données contenues sur le système informatique visé peuvent être portées à la connaissance de tiers, sans que cela implique une modification ou une suppression. Il s’agit alors d'une forme d’espionnage industriel. C’est la confidentialité des informations détenues par l'entreprise qui est alors en danger. De plus, la menace de divulgation fait parfois l'objet d'un chantage de la part de ceux qui ont obtenu une information par intrusion dans le système.
1.2 L’accès frauduleux à d’autres données
De nombreuses données n’ont pas vocation à être connues de tous dans l'entreprise, sans pour autant qu'elle aient une importance stratégique vis-à-vis de la concurrence. Les collaborateurs ne sont pas autorisés à consulter tous les dossiers, certains requérant une diffusion restreinte (par exemple ceux des ressources humaines). Pourtant, des collaborateurs ayant un accès légitime mais limité s'introduisent parfois frauduleusement dans certaines parties du système en outrepassant leurs droits.
Parallèlement, les ordinateurs des entreprises contiennent souvent des données d'ordre privé, n'appartenant pas à l'entreprise et ressortant de la vie personnelle des utilisateurs, qui les enregistrent sur leur poste de travail. Ces fichiers peuvent également être l'objet d'une intrusion et leur protection ne doit pas être négligée.
1.3 L’atteinte aux capacités informatiques de l’entreprise
L’intrusion a souvent comme conséquence de porter atteinte aux capacités informatiques elles-mêmes. Pour l’entreprise, cela se traduira par une disponibilité plus faible de ses ressources informatiques.
L’attaque peut avoir pour objectif de limiter ou détruire le fonctionnement des systèmes d’information.
Elle peut également être orchestrée pour les détourner ou se les approprier. C’est le cas des machines zombies, ordinateurs contrôlés à distance à l’insu de leurs utilisateurs légitimes, et qui permettent, par exemple, aux pirates de disposer de plus grandes forces pour d’autres attaques. L’utilisateur n’est pas conscient de travailler sur une machine zombie, qui apparaîtra souvent uniquement ralentie.
1.4 Le risque pénal
D’une manière qui peut sembler surprenante, les entreprises courent un risque pénal à être victimes d’une intrusion sur leurs systèmes d’information, dès lors qu’ils hébergent des données personnelles au sens de la loi informatique et libertés (telles qu’un simple fichier clients).
L’article 34 de cette loi dispose, en effet, que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
A défaut, l’article 226-17 du Code pénal précise que « le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 € d'amende ».
2. Les causes des intrusions
Lorsqu’une intrusion est ciblée sur une entreprise, plusieurs types d'auteurs et de mobiles sont à envisager. Il peut s’agir d'un quidam, qui s’attaque au système par curiosité, défi, malveillance ou encore pour des motifs crapuleux (tels que la recherche de coordonnées bancaires) ou utilitaires (machines zombies). Il s’agit quelquefois de concurrents, ou, plus fréquemment, de collaborateurs ou d’anciens collaborateurs, dans un but purement malveillant lorsque les relations avec l’entreprise se sont détériorées, ou pour bénéficier du patrimoine informationnel de l’entreprise dans le cadre d’une nouvelle activité.
Les attaques menant à une intrusion exploitent toujours une ou plusieurs failles, qui s'ouvrent potentiellement à plusieurs niveaux :
- la faille est parfois physique, c’est-à-dire qu'elle résulte de l'accès matériel à un ordinateur ;
- elle est très souvent de type logique, dès lors qu’elle provient d’une faiblesse du système d’exploitation ou d’un logiciel d’un ordinateur connecté à un réseau ;
- la faille peut également être humaine, et avoir pour origine la négligence ou les mauvaises intentions d’une personne ayant un accès autorisé au système d’information.
En exploitant ces brèches, un tiers pourra avoir accès aux fichiers de l’ordinateur ou le contaminer.
3. Les moyens de se protéger
3.1 La sécurisation des accès physiques et logiques
Il est primordial de sécuriser les accès physiques aux systèmes d’information et aux données sensibles. Ceci concerne les locaux de l’entreprise, mais aussi le matériel en fin de vie. Un ordinateur dont l’entreprise se débarrasse peut contenir sur son disque dur des informations facilement disponibles et pourtant confidentielles. L’entreprise doit déterminer avec prudence quels ordinateurs seront en libre-service, lesquels seront affectés au bureau d’un collaborateur ou seront dans des salles sécurisées, lesquels seront connectés à l’Internet ou à l’intranet de l’entreprise.
À propos des accès logiques, le système doit au minimum être protégé par un logiciel anti-virus performant et mis à jour régulièrement. Des sauvegardes régulières sur un support externe sont également un moyen de limiter les dommages en cas d’atteinte à l’intégrité des données. L’utilisation de mots de passe est également essentielle.
3.3 La prévention du facteur humain
Les précautions physiques et logiques sont inutiles si elles sont anéanties par le facteur humain. Certains hackers n’hésitent pas à prendre contact avec les collaborateurs des entreprises dans le but d’obtenir par ruse leur identifiant et leur mot de passe ou d’autres informations (par exemple en se faisant passer pour le service informatique). Ces techniques d’ingénierie sociale sont parmi les plus redoutables. Il importe dès lors de bien sensibiliser au risque d’intrusion l’ensemble des personnes ayant un accès au système. Les mots de passe sont bien sûr vulnérables s’ils sont de mauvaise qualité (par exemple un mot du dictionnaire), reproduits sur un papier en vue dans le bureau, ou encore connus de tous dans le service. Les collaborateurs doivent savoir précisément à quelles informations ils ont légitimement accès, dans quelle fin et avec quel degré de confidentialité.
Certains instruments juridiques permettent de réduire le risque humain en prévention d’une intrusion. Ainsi, une charte d’utilisation des nouvelles technologies peut régler dans le détail ces questions. De même, une clause de confidentialité dans les contrats de travail et les conventions de stage, assortie éventuellement d’une clause pénale, évitera parfois bien des ennuis.
4. Les actions juridiques à entreprendre en cas d’intrusion
4.1 Les actions pénales
Le Code pénal comprend un chapitre de dispositions spécifiques aux atteintes aux systèmes de traitement automatisé de données (articles 323-1 et suivants).
- L’article 323-1 vise l’intrusion en tant que telle. Il dispose que « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 € d’amende ». La peine est alourdie en cas de dommages (involontaires) : « lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45 000 € d’amende ».
- Lorsque les dommages ont été engendrés à dessein, des infractions spécifiques sont prévues. Ainsi, l’article 323-2 dispose que « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75 000 € d’amende ». Cet article incrimine l’atteinte volontaire à la disponibilité.
- De même, l’article 323-3 ajoute que « le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75 000 € d’amende ». C’est ici l’atteinte à l’intégrité des données qui est spécifiquement visée.
- L’article 323-7 précise que la tentative de ces délits est punie des mêmes peines.
D’autres dispositions pénales sont susceptibles d’être appliquées :
- Lorsque l’intrusion a permis l’accès à des correspondances (par exemple du courrier électronique), les faits entrent dans le domaine de l’article 226-15 du Code pénal relatif au secret des correspondances. Cet article dispose que « le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45 000 € d’amende ». Il précise qu’est puni des mêmes peines « le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ».
- Lorsque l’intrusion est effectuée par un salarié à l’aide des accès physiques et logiques qui lui ont été donnés dans le cadre de son travail, les faits peuvent être qualifiés d’abus de confiance. Cette infraction est définie à l’article 314-1 du Code pénal, qui dispose que « l’abus de confiance est le fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé ». La peine encourue est de trois ans d’emprisonnement et de 375 000 € d’amende. Cette incrimination peut s’appliquer au collaborateur qui utilise frauduleusement les outils mis à sa disposition pour extraire des informations confidentielles.
4.2 – Les autres actions
L’intrusion dans un système informatique peut bien évidemment engager la responsabilité civile de celui qui la commet, dans le cadre de l’article 1382 ou de l’article 1134 du Code civil.
Lorsque l’accès frauduleux au système a été effectué par un salarié, des sanctions disciplinaires ou une procédure de licenciement peuvent être envisagés, selon la gravité de l'intrusion et les dommages causés.
Enfin, dans les cas où des éléments relatifs à la vie privée interviennent, il est également possible de recourir à l’article 9 du Code civil, qui dispose que « chacun a droit au respect de sa vie privée ».
|
