Vers une légitime défense des entreprises face au piratage de données ?

Print Friendly, PDF & Email

Depuis l’arrivée du numérique dans nos vies le monde assiste à l’émergence de nouvelles menaces. L’information, désormais surabondante, est devenue stratégique et fait l’objet de convoitises. C’est ainsi que la guerre de l’information représente un risque tant pour les États que pour les entreprises de toutes les tailles et de tous les domaines.

La préservation d’informations sensibles est un enjeu majeur pour les entreprises.  Le droit pénal appliqué à la fraude liée au numérique demeure du droit pénal. La criminalité informatique est très difficile à relever et sa découverte est souvent hasardeuse. Cette difficulté est renforcée par le caractère transfrontalier de l’activité frauduleuse. Aussi les entreprises auraient de plus en plus tendance à se protéger en amont contre cette criminalité numérique. Mais quelles sont les possibilités qui s’ouvrent à elles ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Aux États-Unis, la violation de la propriété intellectuelle d’entreprises américaines coûte chaque année plusieurs centaines de milliards de dollars. La Chine serait à ce titre responsable de 50% à 80% des atteintes. Mais la Russie, l’Inde et d’autres pays qui disposent d’un environnement juridique peu élaboré en ce qui concerne les droits de propriété intellectuelle et de politiques industrielles protectionnistes, constituent tout autant des acteurs importants de ce phénomène. Outre la perte énorme de revenus pour ceux qui ont créé les inventions ou acheté des licences, ces atteintes mettent à mal les incitations à innover pour les entrepreneurs.

Les recours juridiques en matière de propriété intellectuelle ne suivent pas, car la lenteur de ces recours ne répondant pas aux besoins des entreprises dont les produits ont des cycles de vie et de profit courts. Ainsi, la coopération aux plans national et international n’a cessé de croitre en matière de lutte contre la cybercriminalité. La lutte contre les cybermenaces passe en effet incontestablement par des réponses coordonnées au niveau international.

Ce caractère transnational impose aux États la mise en place d’actions concertées visant à établir des politiques de coopération européenne et internationale en matière de lutte contre la cybercriminalité. C’est dans ce cadre que la Directive 2013/40/UE relative aux attaques contre les systèmes d’information a été adoptée le 12 août 2013 par le Parlement européen et devra être transposée en droit interne avant le 4 septembre 2015 et est entrée en vigueur le 3 septembre 2019. A cette occasion, le droit européen s’était emparé de la question du vol de données . Mais face à l’évolution des nouvelles technologies et de la cybercriminalité, cette directive a par la suite été complétée en 2016 à la suite de l’adoption de la directive NIS 1.


Besoin de l’aide d’un avocat pour un problème de piratage informatique ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Plus récemment, la Directive NIS 2 a été adoptée et son nouveau cadre a permis une actualisation des notions ainsi qu’une amélioration de la coopération européenne face à l’évolution du paysage des cybermenaces. Elle conserve cependant les objectifs annoncés par sa première version et promet d’augmenter la cyber résilience des systèmes informatiques, de réduire la cybercriminalité et de renforcer la politique de l’Union européenne en matière de cybersécurité et de cyberdéfense à l’échelle internationale.

Nous observerons avant tout la situation française avec dans un premier temps une mise au point du cadre des vols de données (I) pour ensuite observer les conséquences sur l’entreprise (II).


I. Quel cadre pour le vol de données ?

La France s’est dotée d’un arsenal répressif pour lutter contre la fraude informatique en 1988, avec la loi Godfrain, qui punit les atteintes aux systèmes de traitement automatisé des données. Cette loi a été complétée à de multiples reprises afin d’adapter la prévention et la répression à l’évolution des cyberattaques.

A) Qualification légale du vol de données

La loi du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme opère, par son article 16, un changement de rédaction de l’article 323-3 du Code pénal, permettant de réprimer le vol de données, sans toutefois recourir à la qualification de vol. Cet article vient ainsi sanctionner la copie frauduleuse de données, dans une optique de protection accrue de « l’économie de la connaissance ». Les informations sont en effet des éléments de valeurs qu’elles soient matérielles ou immatérielles. Il s’agit non seulement de garantir la protection du secret des affaires mais également d’enjeux de réputation.

Auparavant les juridictions s’appuyer sur les dispositions de l’article L311-1 du Code pénal pour sanctionner le vol de données. Or, cet article posait plusieurs limites en ce qu’il qualifie de vol « la soustraction frauduleuse de la chose d’autrui ». Deux éléments sont à dégager de cette définition. En premier lieu, le vol doit porter sur une chose et en second lieu, il faut que cette chose soit soustraite. En outre, il ressort d’une jurisprudence constante que le vol doit reposer sur un élément matériel.

Dans un arrêt de la Cour de cassation en date du 4 mars 2008, le vol de données a été caractérisé suivant une double condition : le fait non seulement du détournement du support sur lequel se trouvaient les données, mais en plus, du caractère secret des informations concernées. En outre, cet arrêt insistait longuement sur la nécessaire matérialité du vol. Néanmoins, ce raisonnement laissait d’ores et déjà entrevoir la réflexion selon laquelle le vol pourrait être caractérisé dès lors que les opérations effectuées allaient à l’encontre de la volonté du propriétaire des données. Le caractère secret des informations manifeste l’expression de la propriété physique sur des données immatérielles, répondant ainsi aux critères posés par le Code pénal.

Ainsi, la difficulté liée au vol de données informatiques d’un point de vue juridique s’expliquait d’une part par le caractère immatériel des données et d’autre part, par le fait que dans la plupart des affaires, les données étaient simplement copiées et non pas soustraites. Ce constat a d’ailleurs été pris en compte à l’occasion de la modification de l’article 323-3 du Code pénal. L’incrimination de la reproduction et de l’extraction de données par cet article permet donc de s’assurer de manière certaine de la répression de ces comportements.

La « fraude informatique » c’est-à-dire l’ensemble des agissements intéressant l’informatique qu’on peut tenir pour répréhensibles, est multiforme. Il peut ainsi s’agir de :

Manipulations informatiques : manipulation des données à saisir à l’entrée du système ; manipulation de programmes ; manipulation au niveau des commandes du terminal ; manipulation des données à la sortie ; utilisation abusive de services informatiques sur place ou à distance ; intrusion informatique .

Espionnage par ordinateur : vol de logiciel ; vol d’information ou utilisation abusive d’informations.

Sabotage de l’ordinateur : destruction ou altération des données ; actes de vandalisme.

Délits économiques usuels, c’est-à-dire détournement de fonds en utilisant des moyens informatiques.

Il faut par ailleurs faire une opposition fondamentale selon que les « biens informatiques » sont l’objet de la fraude (sabotage de l’ordinateur par exemple) ou qu’ils sont le moyen de la fraude (l’ordinateur servant, par exemple, à réaliser une escroquerie). Mis en avant par MM. Devèze et Gassin, ce clivage a son importance.

Ainsi, dans un arrêt de la Cour de cassation du 4 mars 2008, le vol de données a été caractérisé suivant une double condition : le fait non seulement du détournement du support sur lequel se trouvaient les données, mais en plus, du caractère secret des informations concernées. En outre, cet arrêt insistait longuement sur la nécessaire matérialité du vol. Néanmoins, ce raisonnement laissait d’ores et déjà entrevoir la réflexion selon laquelle le vol pourrait être caractérisé dès lors que les opérations effectuées allaient à l’encontre de la volonté du propriétaire des données. Le caractère secret des informations manifeste l’expression de la propriété physique sur des données immatérielles, répondant ainsi aux critères posés par le Code pénal.

Cette délinquance est ainsi diversifiée, complexe et très souvent internationale. Par ailleurs, la motivation des cyber délinquants est particulièrement variée (gain financier, défi technique, défense d’une idéologie, espionnage industriel, etc.). Plus grave encore, 80% des cyberattaques sont internes aux entreprises.

B) Quelle réponse des entreprises face au vol de données ?

Entreprise sensible ou pas, chacun possède des informations stratégiques qui peuvent entraîner des conséquences plus ou moins graves en cas de divulgation, modification, ou perte de celles-ci. Elles sont donc vitales pour la structure. Une information stratégique est une information qui, quel que soit son contenu ou sa forme, pourrait avoir des conséquences graves sur la vie de l’entreprise, de ses employés, de ses clients, partenaires ou fournisseurs.

L’Article 122-5 al. 1 du Code pénal énonce que « n’est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d’elle-même ou d’autrui, sauf s’il y a disproportion entre les moyens de défense employés et la gravité de l’atteinte ». Pourrait-on appliquer cet article à la personne morale de l’entreprise en cas d’attaque informatique ? Cette question reste en suspens, mais les autorités s’en saisissent de plus en plus en développant un cadre législatif autour de ce phénomène.

 Ainsi, un rapport de 55 propositions sur la cybercriminalité remis en juin 2014 permet de mettre en relief trois objectifs : une volonté de mieux appréhender le phénomène, de mieux prévenir les infractions et de mieux les réprimer. Ce rapport propose d’aborder une définition de la cybercriminalité en proposant que celle-ci regroupe « toutes les infractions tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement internet ». Il aborde ainsi l’implication des professionnels, la mise en place d’une agence de régulation et le développement de peines spécifiques.

Par ailleurs, des services spécialisés se sont développés au niveau national. L’explosion du nombre des cyberattaques a contraint la France à adopter une véritable politique de défense afin de protéger ses systèmes d’information.

  • l’Agence nationale de sécurité des systèmes d’information (ANSSI), créée en juillet 2009 et chargée de proposer des règles en matière de protection des systèmes d’information de l’État ;
  • l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), chargé de lutter contre toutes les infractions liées aux nouvelles technologies de l’information et de la communication ;
  • la Bridage d’enquêtes sur les fraudes aux technologiques de l’information (BEFTI), qui intervient principalement sur des problématiques de propriété intellectuelle notamment en cas d’atteinte aux systèmes d’information ;
  • le Service technique de recherches judiciaires et documentation (STRJD) qui a pour fonction de centraliser et exploiter les informations judiciaires qui lui sont transmises par l’ensemble des unités de la gendarmerie nationale notamment sur les infractions relatives à la transmission de données à caractère illicite sur Internet.

L’adoption de la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) le 24 janvier 2023 prévoit une hausse du budget de l’Intérieur de 15 milliards d’euros sur les cinq prochaines années, pour investir dans le numérique, pour une plus grande proximité des services et pour mieux prévenir les menaces et les crises.  Elle promet également le déploiement de 1 500 cyberpatrouilleurs supplémentaires. Ce déploiement de moyens témoigne de la nécessité d’investir massivement dans le domaine technologique au regard des enjeux qui en ressortent.

Au cœur de l’entreprise, les bons réflexes à adopter sont, outre une préparation en amont consistant en un état des lieux des données sensibles et une information constante des équipes, la nécessité d’être réactif face à une attaque. Selon Christophe d’Arlhac, consultant et dirigeant, sont d’abord et avant tout la sensibilisation des collaborateurs, la fixation de règles pour l’utilisation du système d’information et le renforcement de la sécurité de ce système. Ainsi, en cas d’attaque, le comportement à adopter dépendra de la stratégie d’attaque. La cyberassurance s’avère être également une solution émergente. Outre le recouvrement des coûts liés à une attaque cybercriminels, disposer d’une cyberassurance permet à l’entreprise de disposer de réseaux d’experts qui permettent de réagir rapidement. Par contre, elle ne s’adapte pas à tout contexte, c’est pourquoi un certain nombre de questions doivent se poser avant de souscrire une cyberassurance : les besoins de la société, le type de cyberassurance, les conditions de déclenchement de celle-ci, etc.

Comme le relève Eric Hazane « Si les cas de cyberattaques frappant les grands groupes industriels focalisent l’attention des médias, les PME sont quotidiennement visées par des cyberattaquants appâtés par la vulnérabilité de petites structures peu ou pas protégées, faute de moyens ou de sensibilisation à la nouvelle économie numérique. »

L’entrée en vigueur du RGPD le 25 mai 2018 a permis d’harmoniser les règles européennes applicables à la protection des données à caractère personnel et pose notamment une obligation générale de sécurité aux entreprises qui doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.

Aujourd’hui nombreux sont les sites dédiés à ce sujet et édités par les autorités compétentes en la matière. Il est à ce titre possible de citer le site internet de l’ANSSI ou encore de la CNIL qui regorgent de recommandations et de guides qui permettent de sensibiliser les différents acteurs aux enjeux et réglementations en vigueur.

De plus, l’épidemie de Covid-19 a accéléré l’usage du numérique et a marqué une nouvelle étape dans la progression des cyber menaces. Selon les observations de l’Agence de l’Union Européenne pour la cybersécurité (ENISA), entre avril 2020 et juillet 2021, les incidents liés aux principales menaces de cybersécurité touchent d’abord l’Administration publique et le Gouvernement, les fournisseurs de services numériques, mais également le grand public, le secteur de la santé et médical et enfin le domaine de la finance et bancaire.

L’ENISA comptabilise environ une attaque par rançongiciel toutes les onze secondes sur/dans l’ensemble des entreprises situées sur le territoire européen. Ces mêmes attaques ciblent les structures les plus fragiles, notamment les PME, TPE et start-up, qui manquent de moyens pour sécuriser leur système d’information.

La cyber assurance s’avère être également une solution émergente pour couvrir de tels risques. Outre le recouvrement des coûts liés à une attaque cybercriminels, disposer d’une cyber assurance permet à l’entreprise de disposer de réseaux d’experts qui permettent de réagir rapidement. En revanche, elle ne s’adapte pas à tout contexte, c’est pourquoi un certain nombre de questions doivent se poser avant de souscrire une cyber assurance : les besoins de la société, le type de cyber assurance, les conditions de déclenchement de celle-ci, etc.

Comme le précise le rapport sur le développement de l’assurance cyber risque, publié en septembre 2022, « L’assurance a un rôle clé à jouer à la fois pour protéger le tissu économique mais aussi pour sensibiliser les entreprises, en particulier les TPE/PME, à leur exposition au risque cyber. »

Par ailleurs, la loi LOPMI du 24 janvier 2023 fixe un nouveau cadre pour les clauses de remboursement des cyber-rançons par les assurances. Le remboursement sera désormais conditionné au dépôt d’une plainte de la victime dans les 72h après connaissance de l’infraction. Cette obligation est limitée aux professionnels et devrait s’appliquer 3 mois après la promulgation de la loi. Elle a pour objectif d‘améliorer l’accès à ces informations par la police et la justice.

II – Quelles conséquences pour les entreprises ?

            A) L’e-reputation à l’épreuve des piratages

 La cybercriminalité fait également peser un «risque de réputation » significatif sur les entreprises. En cas d’attaque, leurs données personnelles ainsi que celles de leurs partenaires commerciaux ou clients peuvent être dérobées et divulguées. L’impact peut ainsi s’avérer préjudiciable non seulement pour la réputation, mais encore pour la crédibilité de l’entreprise auprès de ses partenaires.

L’e-réputation est un phénomène assez récent. Il s’agit non seulement de l’image que l’entreprise donne d’elle-même sur internet, mais également du ressenti qu’ont les consommateurs à son propos. Le numérique a considérablement complexifié les rapports entre les consommateurs et l’entreprise, permettant un dialogue entre les différentes parties grâce à de nouveaux supports que l’entreprise ne peut pas forcément contrôler. Bien que le web ait permis un surplus de création de valeur ajoutée non négligeable pour les entreprises, il a fait dépendre des internautes la réputation des  entreprises.

La première des urgences pour l’entreprise reste de protéger sa réputation auprès de ses clients pour préserver ses relations commerciales. Elle doit également restaurer la confiance des actionnaires et du grand public, mais aussi maintenir son chiffre d’affaires prévisionnel et éviter des pertes financières non provisionnées. Pour ce faire, le dirigeant doit faire appel d’abord à un expert IT, pour déterminer l’origine de l’attaque, la circonscrire, identifier les données impactées, réparer la faille et upgrader le système. Il va également recourir aux services d’un spécialiste de la communication de crise, pour contrôler les conséquences de l’attaque sur la réputation de son entreprise (plan de communication media, training des porte-paroles, etc.), ainsi qu’à un avocat pour gérer les relations avec les régulateurs et les tiers (clients, employés, etc.).

B) Illustrations récentes des cas de vol de données

En février 2014, l’opérateur annonce avoir été victime d’un piratage informatique.  Cette attaque de grande ampleur a mis en cause une masse extrêmement importante de données personnelles . Même si l’opérateur a annoncé par la suite que l’intrusion a été éphémère, et que l’intégrité des codes personnels n’a pas été menacée, des menaces de phishing ont pesé sur les clients par le biais de sollicitations douteuses qu’ils pourraient recevoir par email.  C’est en tout pas moins d’1,3 million de personnes qui auraient été touchées par le vol des données.

Autre affaire très récente, les dirigeants de Sony Pictures ont reconnu que le studio de cinéma a été victime d’un vol « très important de données confidentielles » au cours d’une attaque informatique sophistiquée. Les pirates auraient dérobé « des données personnelles d’employés, de l’entreprise et de tiers » ainsi que des documents. Par ailleurs, cinq films de Sony Pictures, y compris certains qui ne sont pas encore sur les écrans ont aussi été piratés.

Cette attaque informatique est encore aujourd’hui, l’une des plus importantes jamais subies par une entreprise aux États-Unis.

Lors de cette attaque, les pirates ont dérobé des données personnelles d’employés, de l’entreprise et de tiers, ainsi que des documents. Par ailleurs, plusieurs films de Sony Pictures, dont certains qui n’étaient pas encore sortis sur les écrans ont été piratés.
Le 19 décembre 2014, le Federal Bureau of Investigation (FBI) a assuré avoir « récolté suffisamment d’informations pour conclure que le gouvernement nord-coréen est responsable de ces actions ». Cette attaque aura non seulement entraîné des répercussions sur les employés de la société Sony Pictures, mais également sur les bénéfices que la société projetait de faire.

En septembre 2022 ce sont les données personnelles de clients orange Cyberdéfense qui se sont retrouvées en ligne. Le fichier mis en ligne sur un forum cybercriminel contenait les données personnelles d’environ un millier de clients (dont le groupe Le Monde) de la solution Micro-SOC Endpoint, commercialisée par Orange Cyberdéfense.

Ce fichier représente une véritable menace pour les entreprises clientes mais également pour les employés chargés de la cybersécurité de ces entreprises. En effet, ces profils sont une mine d’or pour les cybercriminels qui souhaiteraient cibler des sociétés françaises.

Sources :

– http://blogs.lentreprise.com/l-entreprise-et-les-medias/2014/02/03/piratage-de-donnees-lincroyable-silence-dorange/
http://toiledefond.net/e-reputation-des-entreprises/
http://business.lesechos.fr/directions-numeriques/cyber-attaques-se-preparer-pour-reagir-efficacement-7388.php?id=7388#
http://www.leparisien.fr/economie/les-pme-face-a-la-cybercriminalite-15-09-2014-4136531.php
http://www.it-expertise.com/comment-faire-face-a-la-cybercriminalite/
-http://www.globalsecuritymag.fr/Lutte-contre-la-cybercriminalite,20131007,40067.htm
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000028022455
– Gazette du Palais, 18 juin 2015 n° 169, P. 8 : https://www.lextenso-etudiant.fr/articles-%C3%A0-la-une/vol-de-donn%C3%A9es-informatiques
– Affaire Sony Pictures : https://fr.wikipedia.org/wiki/Piratage_de_Sony_Pictures_Entertainment
– Article du journal « Le Monde » sur Orange Cyberdéfense : https://www.lemonde.fr/pixels/article/2022/09/06/des-donnees-personnelles-de-clients-orange-cyberdefense-diffusees-en-ligne_6140399_4408996.html

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle. Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site. Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.