Face aux cyberattaques de plus en plus nombreuses et massives, les failles de sécurité sont devenues une préoccupation majeure et incontournable des entreprises en France et dans tous les pays du monde.
Les cyberattaques sont en constante augmentation et les derniers chiffres sont effrayants.
Depuis les deux dernières années, la cybercriminalité occupe désormais la deuxième infraction économique la plus commise.
Une étude menée par le groupe PwC en 2014 a montré que depuis 2009 :
- « les incidents détectés ont progressé de 66 % en moyenne par an »
- le nombre de cyberattaques recensées avait atteint « un nombre total de 42,8 millions, soit l’équivalent de 117 339 attaques par jour ».
En 2016, toujours selon une étude menée par le groupe PwC, :
- 26% des 6337 entreprises interrogées dans le monde et
- 61% des 125 entreprises françaises interrogées ont répondu avoir été touchées par la cybercriminalité.
Paradoxalement, malgré l’augmentation des cyberattaques et du coût annuel moyen attribué aux incidents de cybersécurité, qui a atteint 2,7 millions de dollars en 2014, les budgets de cybersécurité sont en baisse avec un budget moyen de 4,1 millions de dollars, soit 4% de moins par rapport à 2013.
Que l’attaque provienne d’une erreur, d’une négligence ou de procédés illicites, les enjeux sont devenus cruciaux : piratage des systèmes de traitement automatisé de données (STAD), perte d’informations confidentielles et stratégiques, vol de données personnelles, et lourds de conséquences sur le plan financier. A cet égard, l’entreprise victime devra vérifier sa police d’assurance pour vérifier si elle est couverte pour les risques informatiques.
Aussi, dès la découverte d’une faille de sécurité, et préalablement à toute action contentieuse, plusieurs actions doivent rapidement être mises en œuvre.
Identification et correction de la faille
En interne d’abord, il est recommandé au RSSI, au DSI, ou, le cas échéant, à la société d’expertise informatique, d’identifier la faille, de la corriger avant de mettre en place un audit de sécurité et de procéder aux mises à jour des procédures internes.
Constitution d’un dossier de preuve technique. Parallèlement, il est vivement conseillé au RSSI, au DSI ou à la société d’expertise informatique, de réaliser un dossier de preuve technique, comprenant a minima un rapport d’incident et les logs de connexion aux serveurs.
Qualification juridique des faits. A l’appui de ces éléments, il sera ensuite possible de qualifier juridiquement les faits et de les rattacher notamment à l’une ou plusieurs des infractions suivantes :
- accès frauduleux dans un STAD (art. 321-1 du Code pénal) ;
- maintien frauduleux dans un STAD (art. 321-1 du Code pénal) ;
- introduction frauduleuse de données dans un STAD (art. 323-3 du Code pénal) ;
- extraction, détention, reproduction ou transmission de données dans un STAD (art. 323-3 du Code pénal, modifié par la loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme) ;
- détention de programmes informatiques conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions (art. 323-3-1 du Code pénal) ;
- association de malfaiteurs informatiques (art. 323-4 du Code pénal) ;
- usurpation d’identité numérique (art. 226-4-1 du Code pénal) ;
- escroquerie (art. 313-1 et 313-3 du Code pénal) ;
- vol d’informations (art. 311-1 du Code pénal).
Dépôt de plainte
Ces actes doivent faire l’objet d’une plainte auprès du procureur de la République territorialement compétent. Lequel diligentera une enquête préliminaire confiée aux services de police ou de gendarmerie spécialisés que sont :
- la Brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), service de la Police Judiciaire dévolu aux infractions informatiques sur la région parisienne ;
- la Sous-direction de lutte contre la cybercriminalité, qui relève de la Direction centrale de la police judiciaire (SDLC). Elle est compétente pour les attaques à l’encontre d’un système d’information situé à l’extérieur du périmètre d’intervention de la Befti ;
- l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), compétente sur tout le territoire français.
Notification à la Cnil. Si l’atteinte porte sur des traitements de données à caractère personnel mis en œuvre par une entreprise fournissant un service de communications électroniques (opérateurs de télécommunications, fournisseurs d’accès à internet), le responsable de traitement devra la notifier à la Cnil, en application de l’article 34 bis de la loi Informatique et libertés, et ce sans délai, à compter de la constatation de la violation. A la suite de cette notification, la Cnil pourra décider de procéder à une mission de contrôle. Cette donne suite à des recommandations (modification des durées de conservation, des mesures de sécurité, etc.) ou des sanctions (avertissement, sanction pécuniaire, etc.). Pour les autres organismes, privés ou publics, la notification de la violation des données personnelles ne s’impose actuellement pas.
La Cnil pourra également, en cas de non-respect de l’obligation de sécurité de l’article 34 de la loi Informatique et libertés, dénoncer au procureur de la République les infractions à la loi Informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.
Règlement européen sur la protection des données
L’obligation de notification sera généralisée par le règlement européen du 27 avril 2016 qui sera applicable à partir du 25 mai 2018.
En effet, en vertu de ce règlement, les violations de données personnelles devront être notifiées par le responsable de traitement à la Cnil.
Plan média
Enfin, l’entreprise confrontée à une atteinte à son système informatique ayant conduit à une violation des données personnelles devra communiquer sur cet incident :
- en interne et
- auprès de toutes personnes susceptibles de la solliciter (journalistes ou clients).
Elle devra également réagir très rapidement pour éviter toute :
- diffusion d’information erronée ou inexacte,
- atteinte à sa réputation, ou encore
- mauvaise appréciation de l’impact de l’événement sur son activité économique.
La répression des atteintes au système d’information a été largement renforcée par la loi du 13 novembre 2014. Cette dernière a introduit le délit d’extraction de données dans un STAD. De même avec l’arrêt « Bluetouff » de la Cour de cassation du 20 mai 2015 qui consacre le vol de données. Mais la sécurisation du système d’information reste encore le meilleur moyen de lutter contre les failles de sécurité.
Virginie Bensoussan-Brulé
Marion Catier
Lexing Contentieux numérique