L'ouverture de plus en plus importante des systèmes d'information des entreprises liée notamment au développement des nouveaux usages, à l'essor des services de mobilité intra et inter-entreprises et à l'avènement des technologies sans fil, fragilise la sécurité de ces systèmes et favorise le risque d'intrusions.

Indépendant de la montée en puissance des menaces internes à l'entreprise, se pose la problématique de la gestion des risques d'intrusions externes qui sont le fait de pirates mais aussi de plus en plus de concurrents.

La mise en œuvre d'outils spécifiques et plus globalement d'une politique de sécurité informatique constituent des éléments importants de la gestion de ce type de risques. Ces derniers ne permettent toutefois pas de les éliminer et prévoient rarement comment réagir en cas d'intrusion externe.

Or, c'est de la capacité de réaction de l'entreprise face à une intrusion dont dépend l'efficacité d'un recours permettant d'identifier le responsable et de le poursuivre que ce soit au plan pénal ou civil.

Constituer un dossier des preuves de l'intrusion
Etablir un dossier regroupant les différentes traces et preuves de l'intrusion est un préalable impératif avant tout recours.

Trop souvent, les recours n'aboutissent pas en raison de l'absence d'éléments de preuves suffisamment probants pour identifier le responsable et qualifier la nature de ses agissements.

L'entreprise doit donc immédiatement rechercher les preuves et les faire constater.

S'il s'agit d'une intrusion à une partie fermée et sécurisée du système d'information ou d'un site web, celle-ci pourra être constatée sur plainte simple par un des services spécialisés de la police judiciaire compétent : la B.E.F.T.I. (Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information) compétente sur Paris, l'O.C.L.C.T.I.C. (Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication) ou encore la B.C.R.C.T. (Brigade Centrale de Répression de la Criminalité Informatique) au niveau national.

Ces services sont compétents pour mener des enquêtes relatives à des infractions spécifiques à la criminalité liée aux Technologies de l'Information et de la Communication ainsi qu'à des infractions dont la commission est facilitée ou liée à l'utilisation de ces technologies.

Ils disposent des outils et des méthodes permettant de retrouver la trace des responsables et de les identifier.

Toutefois, leur intervention repose uniquement sur le fondement des infractions liées aux "atteintes aux systèmes de traitement automatisé de données" visées au sein des articles 323-1 à 323-7 du code pénal, récemment modifiés par l'entrée en vigueur de la loi pour la confiance dans l'économie numérique du 22 juin 2004.

Autrement dit, si les éléments de preuves dont vous disposez ne suffisent pas à présumer de la matérialité ou de la nature frauduleuse de l'intrusion, ces services pourront prendre la décision de ne pas intervenir en l'absence de qualification pénale d'agissements qu'ils n'ont pas vocation à constater.

On citera comme exemple, l'accès ou le téléchargement de pages web non sécurisées par le biais d'un aspirateur de site web.

A ce titre que la Cour d'appel de Paris, dans un arrêt en date du 30 octobre 2002, a jugé que la possibilité d'accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n'est pas répréhensible.

Si les services de police judiciaire se déclarent incompétent, il est possible de faire procéder à des constations par des agents assermentés tels que ceux de l'Agence pour la Protection des Programmes (APP).

Quelle action mener ?
En fonction de la qualification juridique des faits, les recherches et les constats pourront donner lieu, au pénal, à une plainte avec constitution de partie civile ou une citation directe, ou au civil, à une action délictuelle qui pourra notamment être fondée sur des faits de concurrence déloyale si les agissements sont le fait d'un concurrent.

Au pénal, l'intervention d'un juge d'instruction, à la suite d'une plainte avec constitution de partie civile, permettra de poursuivre l'enquête et d'interroger la ou les personnes concernée(s) par les faits et celle(s) devant répondre des chefs d'infraction d'accès et/ou maintien frauduleux aux systèmes d'information, de suppression ou de modification des données y figurant.

Au civil, l'action ne pourra être intentée que s'il existe une faute et un dommage et que le lien de causalité est établi entre eux.

Dans le cas où le dommage causé par l'intrusion est survenu au sein d'une entreprise domiciliée en France, les juridictions françaises pourront être compétentes et la loi française s'appliquer.

En toute hypothèse, la réussite de l'action pénale ou civile dépendra étroitement de la qualité des preuves qui auront été collectées par l'entreprise et celles constatées par les personnes habilitées.