Accès frauduleux à un STAD : de la nécessité de sécuriser le système d'information de l’entreprise

Il appartient aux entreprises d’être proactives en matière de sécurité de leurs réseaux et systèmes d'information, faute de quoi, celles-ci pourraient être considérées comme ayant commis une grave négligence.

Une décision du 23 avril rendue par le TGI de Créteil illustre ces obligations : une personne qui avait accédé et récupéré des documents internes via l'extranet de l'Anses a été relaxée au motif que l'Anses n'avait pas sécurisé son système d'information.

1. Le contexte

La sécurité informatique doit être l'une des préoccupations majeures des entreprises. Et pour cause : la perte ou le vol d'informations ou l'indisponibilité du système d'information peuvent avoir de lourdes conséquences, telles l’atteinte à l'e-réputation de l'entreprise, la captation frauduleuse de clientèle, la perte de marchés et de compétitivité, la divulgation de secrets d’affaires et de savoir-faire.

Face à ces menaces, le système juridique français dispose d'un arsenal répressif issu, entre autres, de la loi Godfrain du 5 janvier 1988 (modifiée par la loi du 27 mars 2012). (1) Sont ainsi sanctionnées pénalement les atteintes aux systèmes de traitement automatisé de données (STAD), aux bases de données à caractère personnel, et au secret des correspondances, sans oublier l'usurpation d'identité numérique, l'escroquerie, la contrefaçon, etc. Mais la répression judiciaire n'est pas l'unique solution en réaction à une intrusion non autorisée. Il appartient aux entreprises d’être proactives et de définir et mettre en œuvre une politique de sécurité de leurs réseaux et systèmes d'information, faute de quoi, celles-ci pourraient être considérées comme ayant commis une grave négligence.

Une décision récente rendue par le Tribunal de grande instance de Créteil illustre parfaitement ces obligations. Dans cette affaire, une personne avait accédé et récupéré des documents internes via l'extranet de l'Agence nationale de sécurité de l'alimentation, de l'environnement et du travail (l'Anses). L'auteur des faits a cependant été relaxé au motif que l'Anses n'avait pas sécurisé son système d'information. (2)

2. Le jugement du TGI de Créteil du 23 avril 2013

Dans cette affaire, la fraude avait été découverte par un salarié de l’Anses qui, en naviguant sur internet, avait retrouvé des documents internes à l'Agence et non divulgués au public. L'Anses a porté plainte auprès des services de police pour intrusion dans son système d'information et vol de données.

L’Anses étant considérée comme un opérateur d'importance vitale (ou OIV), l'enquête a été diligentée par la Direction centrale du renseignement intérieur (DCRI). (3) Les investigations ont permis de déceler une erreur de paramétrage du serveur hébergeant l'extranet de l'Agence, de découvrir depuis quelle adresse IP les documents de l'agence avaient été téléchargés et de remonter jusqu'à l'auteur de l'intrusion.
L'auteur des faits a ensuite été cité à comparaître pour d'une part, avoir accédé et s'être maintenu frauduleusement dans le STAD de l'Anses et d'autre part, avoir soustrait des documents sur l'extranet de l'Agence, via téléchargement. Pour mémoire, ces infractions sont punies d'un maximum de 5 ans d'emprisonnement et 75.000 € d'amende. (4)
Si le prévenu a reconnu avoir récupéré les documents de l'Anses via son VPN, il a néanmoins indiqué être arrivé par erreur au coeur de l'extranet de l'Anses et avoir eu librement accès aux documents litigieux, après une recherche complexe sur le moteur de recherche Google. En outre, le prévenu a précisé ne pas avoir récupéré de documents via la page d'accueil du site de l'Agence, dont l'accès était sécurisé (identifiant et mot de passe).

Le Tribunal a relaxé le prévenu des deux chefs d'accusation, pour les motifs exposés ci-après.

    2.1 Pas d'atteinte à un STAD non sécurisé

Le Tribunal a rappelé que le délit d'accès frauduleux à un STAD était constitué dès lors qu’une personne non habilitée pénétrait dans un système de traitement automatisé de données en sachant qu’elle n’y était pas autorisée.
Or, en l’espèce, une défaillance technique existait dans le système de l'Anses. Le prévenu, qui n’était pas ingénieur informatique et n’avait pas utilisé de moyens très sophistiqués pour s’introduire dans le système de l’Anses, avait pu récupérer les documents sans aucun procédé frauduleux.

Aussi, le Tribunal a jugé que "même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par (le prévenu) aux seules personnes autorisées".
Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que, si l’accès à certaines données du site de l'Agence nécessitaient un code d’accès et un mot de passe, les données qu’il avait récupérées étaient en libre accès.

   2.2. Pas de vol de données sans soustraction matérielle

Le vol consiste en la soustraction frauduleuse de la chose d’autrui (art. 311-1 du Code pénal). Or, dans le cas présent, le prévenu avait simplement téléchargé et enregistré sur des supports des fichiers informatiques de l’Anses, cette dernière n’ayant jamais été dépossédée de ces données, puisque les documents demeuraient disponibles et accessibles à tous sur le serveur.
Aussi, le Tribunal a jugé qu'en l’absence de soustraction matérielle des documents appartenant à l’Anses, et donc en l'absence d’appréhension d’une chose, le délit de vol n'était pas constitué.


Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que les documents litigieux étaient librement téléchargeables, puisque non protégés par un quelconque système. Il n’y a pas eu de la part du prévenu une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc pas d’élément intentionnel de l’infraction.

3. En conclusion : l’obligation de sécurisation du STAD

Ce jugement est dans la droite ligne de la jurisprudence relative aux accès frauduleux aux systèmes informatiques et permet de rappeler les obligations incombant aux entreprises en matière de sécurisation de leurs systèmes. (5)

Ainsi, pour que l’infraction soit constituée, les éléments suivants doivent être démontrés : intrusion  non autorisée dans le STAD (via phishing, hacking ou toute autre méthode permettant de s’introduire frauduleusement dans le système) et vol de données par soustraction matérielle. Ceci implique donc que le STAD doit être sécurisé.
La négligence en matière de sécurité est d'ailleurs expressément sanctionnée par la loi. Le Code pénal punit de 5 ans d'emprisonnement et 300.000€ d'amende, toutes entreprises qui traiteraient des données personnelles concernant leurs clients, par exemple, sans mettre en place des mesures de sécurité permettant d'en assurer l'intégrité et la confidentialité.
En outre, la tendance vers un renforcement de cette obligation de sécurité pesant sur les entreprises ressort de plusieurs projets et études, telle que la proposition de Règlement européen du 25 janvier 2012 relatif au traitement des données personnelles et les recommandations du Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013.
Il est donc recommandé aux entreprises de s’assurer, via des audits juridique et de sécurité, de la protection de leurs réseaux et systèmes d'information et de la conformité de leur politique de sécurité à la loi. A défaut, il conviendra de prendre toutes mesures nécessaires de mise en conformité par la mise en œuvre de procédés de sécurisation logique et physique de leurs systèmes d’information, la sensibilisation et la formation des salariés et utilisateurs via la publication de bonnes pratiques ou de codes de conduite en matière de sécurité et des audits réguliers.

Chronique rédigée avec Me Betty SFEZ, Avocat à la Cour

                                                              * * * * * * * * * * *

(1) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité.

(2) TGI de Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. A noter que le Ministère public a interjeté appel de ce jugement

(3) Les opérateurs d'importance vitale - OIV - sont des organismes publics ou privés de production et de distribution de biens et de services indispensables à la satisfaction des besoins essentiels de la population, à l’exercice de l’autorité de l’État, au fonctionnement de l’économie, au maintien du potentiel de défense et à la sécurité de la nation. Un organisme est considéré comme OIV si l’arrêt ou la destruction de son activité peut avoir de graves incidences sur la santé, la sécurité, le bien-être économique des citoyens ou le fonctionnement de l’Etat. On trouve des OIV dans de nombreux secteurs de l'économie : banque et finance, transports et distribution, énergie, services de base, santé, approvisionnement alimentaire et communications, ainsi que certains services administratifs de base. Voir précisions aux articles R.1332-1 et suivants du Code de la défense

(4) Les atteintes aux systèmes de traitement automatisé de données (STAD) sont sanctionnées par les articles 323-1 et s. du Code pénal. Ces articles, issus de la loi Godfrain, ont été modifiés par la loi du 27 mars 2012 relative à la protection de l'identité. Cette loi a ajouté des pénalités majorées en cas d’atteinte à un STAD de l’Etat ; le vol est défini et sanctionné par les articles 311-1 et s. du Code pénal.

(5) Voir par exemple : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C.

Autour du même sujet