[Brèves] Sécurité informatique : règles en vigueur et perspectives

L'actualité quotidienne est malheureusement remplie de l'annonce de nouvelles atteintes aux systèmes d'information des entreprises. La dernière en date est l'attaque du virus informatique "SQL Slammer" dit aussi "Saphir" qui a perturbé le fonctionnement de 300 000 serveurs dans le monde le 26 janvier dernier. Les dommages subis sont généralement importants et divers (perte de données, désorganisation de l'entreprise, perte d'image et de chiffre d'affaires). Les pertes financières causées pendant les cinq premiers jours de l'activité du virus "Saphir" s'élèveraient entre 950 millions et 1,2 milliards de dollars. Qu'ils soient directs ou indirects, ces dommages résultent tant d'atteintes externes que de malveillances internes commises par des salariés. De ce fait, chaque entreprise doit mettre en place une politique globale alliant analyse, prévention et protection (Risk Management). La réglementation répressive de la sécurité informatique en constitue l'un des volets principaux et s'organise essentiellement autour de deux axes : la protection des données et la protection des systèmes et des réseaux. La loi "Informatique et libertés" (loi n° 78-17 du 6 janvier 1978 N° Lexbase : L8794AGS) vise, tout d'abord, les atteintes à la confidentialité, à la vie privée et aux libertés individuelles et publiques, et elle protège les données personnelles à l'occasion de leur collecte, leur traitement automatisé et leur transfert à des tiers. La cour d'appel de Paris a ainsi rappelé dans l'affaire Kitetoa c/ Tati du 30 octobre 2002 qu'une entreprise victime d'un accès frauduleux dans un système de traitement automatisé de données "ne saurait se prévaloir de ses propres carences et négligences pour arguer d'un prétendu préjudice" en matière de sécurité. Celle-ci est en effet tenue conformément à l'article 226-17 du Code pénal (N° Lexbase : L2237AMS) de prendre les précautions utiles, lorsqu'elle procède ou fait procéder à un traitement automatisé d'informations nominatives, pour préserver la sécurité des informations et, notamment, pour empêcher leur communication à des tiers non autorisés (CA Paris, 12ème ch., section A, 30 octobre 2002, n° 02/04867, Ministère Public c/ Antoine C. N° Lexbase : A3393A7S).

La loi n° 88-19 du 5 janvier 1988 dite "Loi Godfrain" a introduit la fraude informatique dans le Code pénal et sanctionne, notamment, l'accès et le maintien frauduleux dans un système de traitement automatisé de données, l'altération du système d'information et l'introduction, la suppression et la modification frauduleuse de données (articles 323-1 à 323-7 du Code pénal N° Lexbase : L1986AMI) ainsi que le faux et l'usage de faux de documents informatisés (article 441-1 du Code pénal N° Lexbase : L2006AMA).

Outre l'alourdissement des peines existantes, le projet de loi pour la confiance dans l'économie numérique (ou "LEN") du 15 janvier 2003 a également créé une nouvelle infraction à l'article 323-3-1 du Code pénal sanctionnant "le fait de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique et toute donnée conçus et spécialement adaptés" à la commission d'infractions informatiques et couvrant les logiciels de contrôle à distance et des virus informatiques (voir  N° Lexbase : N6174AAW).
Parallèlement à ce texte, le Conseil des ministres de la Justice de l'Union européenne, réuni à Bruxelles les 27 et 28 février dernier, a décidé d'harmoniser les différentes législations nationales en matière de répression de la cybercriminalité. Il est notamment prévu une peine d'emprisonnement de deux à cinq ans pour les intrusions dans les systèmes d'information et la diffusion de virus en bande organisée.

Enfin, la loi relative à la sécurité quotidienne (loi n° 2001-1062 du 15 novembre 2001 N° Lexbase : L7960AUD) a renforcé la responsabilité des opérateurs de télécommunications en matière de conservation des données de connexion et a augmenté les pouvoirs d'investigation de la police judiciaire.

La réglementation française s'inscrit dans le cadre de la protection européenne avec la Convention sur la cybercriminalité de Budapest du 23 novembre 2001 (N° Lexbase : L4858A8G) et le Protocole additionnel à la convention sur la cybercriminalité, relatif à l'incrimination des actes de nature raciste et xénophobe commis par le biais des systèmes informatiques, adopté le 7 novembre 2002 par le Comité des ministres du Conseil de l'Europe (N° Lexbase : L4857A8E). Cette protection internationale est également renforcée avec, notamment, les Lignes directrices de l'OCDE régissant la sécurité des systèmes et réseaux d'information et les recommandations du conseil de l'OCDE du 25 juillet 2002. De plus, le 10 février dernier, la Commission européenne a proposé, dans le cadre du projet eEurope, la création d'une Agence chargée de la sécurité des réseaux et de l'information. L'objectif principal de cette agence est de créer en Europe une conception commune des questions de sécurité de l'information, afin de faire naître une réelle coopération entre les Etats membres en matière de cybersécurité.

Enfin, une résolution du Conseil de l'Europe du 18 février 2003, relative à une approche européenne axée sur une culture de la sécurité des réseaux et de l'information (résolution CE n° 48/01, 18 février 2003 N° Lexbase : L9651A9C), invite, entre autres, les Etats membres à promouvoir la sécurité en tant qu'élément essentiel de la gouvernance publique, à prendre les mesures appropriées pour éviter les incidents dans ce domaine et à envisager les risques associés aux systèmes d'information.

Bien entendu, cet arsenal répressif n'est pas suffisant et il est nécessaire d'intervenir en amont. Les techniques de prévention juridique sont, notamment, contractuelles et comprennent des contrats d'assurance ("Tous risques", "Extension de risques informatiques" et "Globale Informatique"), des avenants "sécurité" aux cahiers des charges ou à l'intégration de clauses particulières dans les contrats signés avec les prestataires ou fournisseurs, ou dans les contrats de travail. La mise en oeuvre de documents internes comme le règlement intérieur, les chartes informatiques ou technologiques et les codes déontologiques, constituent également des éléments clés de prévention et d'action. Ces techniques connaissent d'ailleurs un succès grandissant du fait de la complexité, de la durée et de l'internationalisation des procédures contentieuses en ce domaine.

La sécurité informatique constitue donc un enjeu de taille car, outre l'investissement financier qu'elle représente, elle bouleverse l'équilibre entre les intérêts de l'entreprise et ceux du salarié, ainsi que la culture et l'organisation de nombreuses entreprises.

© Reproduction interdite, sauf autorisation écrite préalable