Internet et le piratage industriel
- Mardi 5 février 2002 -

Les règles existent. Encore faut-il que les entreprises victimes d'un piratage via réseaux soient en mesure de mener à bien enquêtes et procédures. Inventaire des mesures et précautions à prendre.

par Eric Barbry, Directeur du Département Internet, Alain Bensoussan-Avocats

Les pirates informatiques, "white hat" ou "black hat", sont la hantise des DSI et des chefs d'entreprises, car au delà des dégâts qu'ils sont susceptibles de causer au sein d'un serveur, en un instant, c'est toute la crédibilité ou la notoriété d'une entreprise et d'une direction des systèmes d'information qui peut être mise à mal.

Les motivations des pirates sont nombreuses, qu'il s'agisse du casseur (qui détruit pour le plaisir), du démonstratif (qui se délecte de trouver mais surtout de faire savoir qu'il existe des failles de sécurité), du pirate fraudeur, du pirate voleur… Et pourtant, aux yeux de la loi, chacun appartient à une grande et même famille, celle des auteurs d'infractions à des systèmes de traitements automatisés de données et chacun d'entre eux peut-être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique.

Au premier rang de ce véritable "droit à la sécurité", on notera les dispositions du code pénal protectrices des systèmes de traitements automatisés de données c'est à dire "Tout ensemble composé d'une ou plusieurs unités de mémoires, de logiciels, d'organes d'entrées-sorties, et de liaisons qui encourent à un résultat déterminé". Les dispositions du Code pénal permettent ainsi de lutter contre les intrusions frauduleuses (connexion pirate, appel d'un programme ou d'un fichier sans autorisation…), le maintien frauduleux, l'entrave d'un système ou l'altération de son fonctionnement (virus, mail bombing…), sans oublier l'altération, la suppression ou l'introduction de données pirates.

D'autres réglementations complètent le dispositif, et notamment la loi du 10 juillet 1991 sur le secret des correspondances émises par voie de télécommunications, la loi sur la sécurité quotidienne récemment adoptée (15 novembre 2001) ou encore la loi du 6 janvier 1978, dite Informatique et libertés, qui impose pour sa part la sécurité des traitements de données nominatives.

Mais si les règles sont bien présentes, encore faut-il que les entreprises victimes d'un piratage via réseaux soient en mesure de mener à bien enquêtes et procédures. Pour ce faire il est primordial qu'un certain nombre de mesures et précautions soient prises :

1. Systématisation des clauses contractuelles relatives à la sécurité
Il est important que tous les contrats, et particulièrement les contrats techniques, comportent les clauses ad hoc propres à assurer la sécurité de l'entreprise. Ces clauses devront notamment définir les règles relatives à la sécurité physique (contrôle d'accès physique) et à la sécurité logique (sécurité logicielle, fire wall, anti-virus…). Trop nombreux sont en effet les contentieux qui ne permettent pas de savoir qui du client ou du prestataire était en charge de la sécurité d'un serveur par exemple.

2. Mise en œuvre d'une politique interne de sécurité
L'utilisation des nouvelles technologies dans l'entreprise doit également s'accompagner d'une politique interne propre à rappeler les règles à respecter de nature à limiter les risques. C'est la raison pour laquelle les entreprises se dotent de plus en plus de chartes internes accompagnées de guides et de livrets de procédures. Il est cependant important de bien adapter les règles aux populations concernées. Ainsi est-il difficile de définir les mêmes règles pour les personnels des DSI ou d'une cellule d'intelligence économique, ou encore la direction R&D, censée conserver les dossiers les plus secrets de l'entreprise.

3. Utilisation des outils de sécurité
Plusieurs outils permettent d'assurer la sécurité des échanges. Il en est ainsi des outils et systèmes de signature électronique, de cryptologie ou encore d'archivage électronique. Sur ce point, il est primordial que la mise en œuvre de ces outils s'inscrive dans le respect des textes en vigueur. Il faut en effet rappeler que le déploiement d'un outil ou d'un service de cryptologie n'est libre que dans des conditions limitées, que la valeur juridique de la signature électronique ou d'un document électronique dépendra de son degré de sécurité tel que défini au sein de la loi du 13 mars 2000 et ses décrets, et qu'enfin il existe des règles juridiques et des normes techniques en matière d'archivage électronique.

4. Procéder à des audits de sécurité et/ou de robustesse
Il est enfin important que l'entreprise soit en mesure d'apprécier le niveau de sécurité atteint sur un plan technique et organisationnel. C'est la plupart du temps sous le forme d'un audit de sécurité réalisé par une société spécialisée que les tests de sécurité et de robustesse seront réalisés. Il est important ici de définir les termes de la mission mais aussi et surtout les modalités selon lesquelles les failles et faiblesses qui pourraient être identifiées seront prises en compte.

5. Vérification des polices d'assurance
Nombre de polices d'assurances couvrent les risques de l'entreprise. Encore faut-il que les dommages liés à des intrusions informatiques ne soient pas exclus ou l'objet d'un traitement particulier. Sur ce point, une lecture attentive des polices d'assurance s'impose. Le déploiement technique et juridique, s'il est un dispositif efficace, ne suffit pas à garantir une sécurité absolue et ce d'autant plus que la majeure partie des fraudes sont réalisées en interne et qu'il est encore plus difficile de lutte contre un ennemi de l'intérieur. L'entreprise reste assurément vulnérable et ce d'autant que ses secrets les mieux gardés sont le plus souvent informatisés.
Constatant une fraude, l'entreprise victime devra savoir prendre les mesures de sauvegarde qui lui permettront de préserver les preuves indispensables dans le cadre d'un éventuel contentieux. Pour ce faire elle devra :
- figer ou faire figer par ses prestataires tous les matériels qui auront fait l'objet d'un piratage ;
- conserver sans altération ni modification lesdits matériels et toutes les preuves (notamment les logs de connexions) ;
- saisir les autorités compétentes et notamment les brigades spécialisées dans le traitement des fraudes informatiques.

Une fois un tel dossier de preuve amorcé, l'entreprise se devra alors de bâtir un véritable dossier de stratégie et de préjudice au titre duquel il lui sera alors loisible ou non d'engager un contentieux.

[eric-barbry@alain-bensoussan.tm.fr]