Chaque
semaine, gros plan sur la loi et l'Internet
Internet
et le piratage industriel
- Mardi
5 février 2002 -
Les règles existent. Encore faut-il que les entreprises victimes
d'un piratage via réseaux soient en mesure de mener à bien
enquêtes et procédures. Inventaire des mesures et précautions
à prendre.
|
par
Eric Barbry,
Directeur du Département Internet, Alain Bensoussan-Avocats
|
Les
pirates informatiques, "white hat" ou "black hat", sont la
hantise des DSI et des chefs d'entreprises, car au delà des
dégâts qu'ils sont susceptibles de causer au sein d'un serveur,
en un instant, c'est toute la crédibilité ou la notoriété
d'une entreprise et d'une direction des systèmes d'information
qui peut être mise à mal.
Les motivations des pirates sont
nombreuses, qu'il s'agisse du casseur (qui détruit pour le
plaisir), du démonstratif (qui se délecte de trouver mais
surtout de faire savoir qu'il existe des failles de sécurité),
du pirate fraudeur, du pirate voleur
Et pourtant, aux yeux de la loi, chacun appartient à une grande
et même famille, celle des auteurs d'infractions à des systèmes
de traitements automatisés de données et chacun d'entre eux
peut-être poursuivi au regard des dispositions du Code pénal
en matière de fraude informatique.
Au premier
rang de ce véritable "droit à la sécurité", on notera les
dispositions du code pénal protectrices des systèmes de traitements
automatisés de données c'est à dire "Tout ensemble composé
d'une ou plusieurs unités de mémoires, de logiciels, d'organes
d'entrées-sorties, et de liaisons qui encourent à un résultat
déterminé". Les dispositions du Code pénal permettent ainsi
de lutter contre les intrusions frauduleuses (connexion pirate,
appel d'un programme ou d'un fichier sans autorisation
),
le maintien frauduleux, l'entrave d'un système ou l'altération
de son fonctionnement (virus, mail bombing
), sans oublier
l'altération, la suppression ou l'introduction de données
pirates.
D'autres
réglementations complètent le dispositif, et notamment la
loi du 10 juillet 1991 sur le secret des correspondances émises
par voie de télécommunications, la loi sur la sécurité quotidienne
récemment adoptée (15 novembre 2001) ou encore la loi du 6
janvier 1978, dite Informatique et libertés, qui impose pour
sa part la sécurité des traitements de données nominatives.
Mais
si les règles sont bien présentes, encore faut-il que les
entreprises victimes d'un piratage via réseaux soient en mesure
de mener à bien enquêtes et procédures. Pour ce faire il est
primordial qu'un certain nombre de mesures et précautions
soient prises :
1.
Systématisation des clauses contractuelles relatives à la
sécurité
Il est important que tous les contrats, et particulièrement
les contrats techniques, comportent les clauses ad hoc
propres à assurer la sécurité de l'entreprise. Ces clauses
devront notamment définir les règles relatives à la sécurité
physique (contrôle d'accès physique) et à la sécurité logique
(sécurité logicielle, fire wall, anti-virus
). Trop nombreux
sont en effet les contentieux qui ne permettent pas de savoir
qui du client ou du prestataire était en charge de la sécurité
d'un serveur par exemple.
2.
Mise en uvre d'une politique interne de sécurité
L'utilisation des nouvelles technologies dans l'entreprise
doit également s'accompagner d'une politique interne propre
à rappeler les règles à respecter de nature à limiter les
risques. C'est la raison pour laquelle les entreprises se
dotent de plus en plus de chartes internes accompagnées de
guides et de livrets de procédures. Il est cependant important
de bien adapter les règles aux populations concernées. Ainsi
est-il difficile de définir les mêmes règles pour les personnels
des DSI ou d'une cellule d'intelligence économique, ou encore
la direction R&D, censée conserver les dossiers les plus secrets
de l'entreprise.
3.
Utilisation des outils de sécurité
Plusieurs outils permettent d'assurer la sécurité des
échanges. Il en est ainsi des outils et systèmes de signature
électronique, de cryptologie ou encore d'archivage électronique.
Sur ce point, il est primordial que la mise en uvre de ces
outils s'inscrive dans le respect des textes en vigueur. Il
faut en effet rappeler que le déploiement d'un outil ou d'un
service de cryptologie n'est libre que dans des conditions
limitées, que la valeur juridique de la signature électronique
ou d'un document électronique dépendra de son degré de sécurité
tel que défini au sein de la loi du 13 mars 2000 et ses décrets,
et qu'enfin il existe des règles juridiques et des normes
techniques en matière d'archivage électronique.
4.
Procéder à des audits de sécurité et/ou de robustesse
Il est enfin important que l'entreprise soit en mesure
d'apprécier le niveau de sécurité atteint sur un plan technique
et organisationnel. C'est la plupart du temps sous le forme
d'un audit de sécurité réalisé par une société spécialisée
que les tests de sécurité et de robustesse seront réalisés.
Il est important ici de définir les termes de la mission mais
aussi et surtout les modalités selon lesquelles les failles
et faiblesses qui pourraient être identifiées seront prises
en compte.
5.
Vérification des polices d'assurance
Nombre de polices d'assurances couvrent les risques de
l'entreprise. Encore faut-il que les dommages liés à des intrusions
informatiques ne soient pas exclus ou l'objet d'un traitement
particulier. Sur ce point, une lecture attentive des polices
d'assurance s'impose. Le déploiement technique et juridique,
s'il est un dispositif efficace, ne suffit pas à garantir
une sécurité absolue et ce d'autant plus que la majeure partie
des fraudes sont réalisées en interne et qu'il est encore
plus difficile de lutte contre un ennemi de l'intérieur. L'entreprise
reste assurément vulnérable et ce d'autant que ses secrets
les mieux gardés sont le plus souvent informatisés.
Constatant
une fraude, l'entreprise victime devra savoir prendre les
mesures de sauvegarde qui lui permettront de préserver les
preuves indispensables dans le cadre d'un éventuel contentieux.
Pour ce faire elle devra :
- figer ou faire figer par ses prestataires tous les matériels
qui auront fait l'objet d'un piratage ;
- conserver sans altération ni modification lesdits matériels
et toutes les preuves (notamment les logs de connexions) ;
- saisir les autorités compétentes et notamment les brigades
spécialisées dans le traitement des fraudes informatiques.
Une fois
un tel dossier de preuve amorcé, l'entreprise se devra alors
de bâtir un véritable dossier de stratégie et de préjudice
au titre duquel il lui sera alors loisible ou non d'engager
un contentieux.
[eric-barbry@alain-bensoussan.tm.fr]
A lire
également :
Au
sommaire de l'actualité
|