Du juridique au technique : la nique au hacking !

Slides:



Advertisements
Présentations similaires
1 LINFORMATION, CAPITAL IMMATÉRIEL DE LENTREPRISE SSTIC – 6 JUIN 2012 Garance MATHIAS Avocat 9 rue Notre Dame de Lorette PARIS Tel / .
Advertisements

La procédure prud’homale
1- Des lors qu’une ressource est créée, elle est protégée automatiquement par le code de la propriété intellectuelle. 2- Dans la réutilisation d’une ressource,
GENDARMERIE NATIONALE COMMANDEMENT DES ÉCOLES CENTRE NATIONAL DE FORMATION À DISTANCE AIDE PÉDAGOGIQUE MAI 2008 «LE JUGE DES LIBERTÉS ET DE LA DÉTENTION»
La discipline des élèves du 2 nd degré public. I - RAPPEL DES PRINCIPES GÉNÉRAUX DU DROIT II - LES PUNITIONS SCOLAIRES ET LES SANCTIONS DISCIPLINAIRES.
GENDARMERIE NATIONALE COMMANDEMENT DES ÉCOLES CENTRE NATIONAL DE FORMATION À DISTANCE AIDE PÉDAGOGIQUE DÉCEMBRE 2007 «LES CIRCONSTANCES AGGRAVANTES»
GENDARMERIE NATIONALE COMMANDEMENT DES ÉCOLES CENTRE NATIONAL DE FORMATION À DISTANCE AIDE PÉDAGOGIQUE FÉVRIER 2008 «DÉFINITION ET CLASSIFICATION DES PEINES»
Une Charte pour le bon usage des TICE. Mettre en place un cadre à respecter  L’utilisation des services numériques mis à disposition par une école nécessite.
Protocole de gestion de dysfonctionnements Françoise JEGADEN Assistante Sociale Grand Port Maritime Le Havre.
TRAVAIL DE CONNAISSANCES GENERALES EXAMEN BLANC N° 2 Sujet : Le principe de inviolabilité du domicile face au droit de perquisition.
I. Des droits de nature différente. : signification des flèches = le premier élément ne peut exister que si et seulement si le second existe (ex. Une.
GENDARMERIE NATIONALE COMMANDEMENT DES ÉCOLES CENTRE NATIONAL DE FORMATION À DISTANCE AIDE PÉDAGOGIQUE NOVEMBRE 2007 «LES FAITS JUSTIFICATIFS»
GENDARMERIE NATIONALE COMMANDEMENT DES ÉCOLES CENTRE DE DOCUMENTATION ET DE PÉDAGOGIE AIDE PÉDAGOGIQUE JANVIER 2007 «LES AUDITIONS DE PERSONNES GARDÉES.
AIDE PÉDAGOGIQUE OCTOBRE 2007 «LA TENTATIVE PUNISSABLE» GENDARMERIE NATIONALE COMMANDEMENT DES ÉCOLES DE LA GENDARMERIE NATIONALE CENTRE NATIONAL DE FORMATION.
LA RÉCIDIVE SÉANCE 4. LA RÉCIDIVE Vise l’hypothèse où, après une condamnation, passée en force de chose jugée, pour une ou plusieurs infractions, une.
La période d’essai Cours G.Zara.
LA DELINQUANCE INFORMATIQUE
«LES FAITS JUSTIFICATIFS»
La pénibilité au travail : Au moins 3 grands enjeux
Sites Internet et Protection des données à caractère personnel
L’Autorité de régulation des marchés de capitaux CMA
Ententes et mésentente entre les PA et les sociétés minières
Responsabilité civile et assurances indispensables : quelles solutions pour protéger votre activité ?
Maîtrise du contenu ( suite )
DROIT DES CONTRATS Maitre Sylvain FLICOTEAUX Avocat au Barreau de LYON
L’obligation de sécurité de résultat des entreprises PREVENTICA 16 octobre 2013 Sylvie Brico , pole politique du travail , DIRECCTE PACA.
Vers une nouvelle gouvernance de la donnée personnelle
LES ACTES ET LES FAITS JURIDIQUES
RÔLE DE LA GENDARMERIE PROTECTION DE L’ENFANT
La convention de Vienne et le logiciel
CONFERENCE ANNUELLE DE L’ASSOCIATION DES ACHETEURS PUBLICS (AAP)
Relations associations et collectivités publiques
PRIVACY.
POINT SUR L’ACTUALITE REGLEMENTAIRE
Marguerite OUEDRAOGO BONANE
Les responsabilité de l’administrateur réseau
Chap 7 La responsabilité
Lutter contre les atteintes aux droits de la personnalité en ligne
Université -3- Constantine Faculté de Médecine Service de Médecine Légale Notions juridique de base et organisation de la justice en Algérie Pr. A. BELLOUM.
LA NOTION DE RESPONSABILITE
Protégez l’entreprise contre les attaques informatiques
Le droit de la responsabilité
Chap 6 L’auteur d’une infraction
LA RESPONSABILITE DES DIRIGEANTS
Responsabilité des dirigeants : Causes et sanctions
La responsabilité médicale Intervention du 1er février 2018
La sécurité et le rôle du chef d’établissement
Le Règlement européen général sur la protection des données (RGPD)
Paris le 5 juin 2018 Assemblée générale de la Fiapa
LES CONTRATS ALÉATOIRES RÉALISÉ PAR : ASMA BICHA ENCADRÉ PAR : M.HABACHI 2018/2019.
T echnicien en I nspection V isuelle.
Législation.
ATELIER PREVENTION ET GESTION DES LITIGES DANS LE VOYAGE: ELEMENT FONDAMENTAL DE LA QUALITE DANS LA RELATION CLIENT Khalid El Wardi.
1- Présentation générale
Nouveau Règlement Général de Protection des Données
Loi Sapin 2 : anticorruption
Responsabilité Chef d’agrès SUAP. Responsabilité… …donnez une définition.
« Professionnalisation et plongée » de la FFESSM
Registre des activités de traitement
Codep 92 - Stage Initial Initiateur
Module 1 : principes généraux I&L
Jean VILANOVA – Juriste
« il ne faut pas vivre la protection des données personnelles comme une contrainte, mais en tant qu’élément culturel qui contribue à la culture des droits.
Télémédecine et protection des données personnelles
LE PIRATAGE INFORMATIQUE
L’employeur peut-il décider de modifier seul le contrat de travail ? Olivier NDANDU-MILANDU DROIT DU TRAVAIL Mme Irène POLITIS 1 ONM/DURM 16 LEONARD DE.
Transcription de la présentation:

Du juridique au technique : la nique au hacking ! Approche juridique Par Diane MULLENEX ICHAY & MULLENEX Avocats Paris-France

La cybercriminalité et le droit La cybercriminalité est définie comme toute infraction commise sur le réseau internet et portant atteinte à des systèmes informatiques ainsi qu’aux données qu’ils contiennent. Types d’infractions de cybercriminalité : Atteintes aux droits de propriété intellectuelle. Infractions liées au contenu (à caractère raciste ou pornographique, par exemple) pour lesquelles les systèmes informatiques ne sont que les outils de l’infraction. Atteintes aux intérêts d’une entreprise : virus, fraude (interne ou externe à l’entreprise), piratage… Dans ces cas, les systèmes d’information sont l’objet même de l’infraction et ce sont ces infractions qui sont problématiques pour les entreprises.

1. Les outils juridiques en prévention d’un acte cybercriminel En complément des outils techniques de lutte contre la cybercriminalité, de bons outils de travail juridiques assurent une sécurité supplémentaire à l’entreprise.

Une protection structurelle : la charte informatique La charte informatique signée par l’ensemble des employés assure à tous un usage sécurisé des outils informatiques au sein de l’entreprise en : Etablissant des règles générales définissant précisément les droits et obligations de chacun dans l’usage des technologies de l’entreprise. Informant les employés des modes de surveillance et de contrôle utilisés pendant les heures de travail. Décrivant les sanctions applicables en cas de non respect de la charte.

La protection structurelle : la charte informatique Conditions de mise en œuvre de la charte informatique : Respect du principe de proportionnalité (L1121-1 du Code du travail). Respect de l’obligation d’information de la CNIL concernant toute collecte de données liées à l’application de la charte. Respect de l’obligation d’information du salarié des données recueillies dans le cadre des mesures de contrôle. Respect de l’obligation d’information des représentants des salariés des mesures de contrôle appliquées.

La protection contractuelle : Dans les contrats conclus avec les prestataires de services techniques, il faut que : Le périmètre d’intervention, les prestations et leur niveau de qualité soient définis très précisément pour des raisons de preuve et d’engagement de responsabilité en cas d’inexécution des obligations contractuelles. L’obligation de conseil du prestataire soit inclue au contrat et clairement définie. La confidentialité des données sensibles échangées ou manipulées dans le cadre du contrat soit garantie efficacement. L’entreprise cliente reste méfiante face aux clauses limitatives ou exonératoires de responsabilité suggérées par le prestataire. Soient envisagées l’obligation d’information et les suites du contrat en cas de signature d’un contrat équivalent par le prestataire avec un concurrent de l’entreprise cliente.

2. Les outils juridiques de l’entreprise victime d’un acte cybercriminel Quelles infractions invoquer ? Quelles sont les modalités de constitution de preuve des infractions ? Quelles procédures judiciaires suivre ?

Les infractions de cybercriminalité Des atteintes aux systèmes de traitement automatisé de données (STAD) invocables par l’entreprise victime L’accès frauduleux à un STAD (article 323-1 du Code pénal ) : Puni de 2 ans d’emprisonnement et de 30.000 € d’amende. Pour que l’infraction soit caractérisée, il faut une volonté de l’auteur de l’infraction d’accéder à un système informatique sans autorisation ainsi qu’un accès ponctuel ou un maintien au sein du système. Un préjudice n’est pas nécessaire puisque l’intrusion en elle-même constitue l’infraction (ou même la tentative d’intrusion : 323-7). La suppression des données ou l’altération du système sont des circonstances aggravantes. Le fait d’entraver ou de fausser le fonctionnement d’un STAD (article 323-2 CP) : Puni de 5 ans d’emprisonnement et de 75.000 € d’amende. L’entrave constitue l’impossibilité totale ou partielle de faire fonctionner le système correctement (ralentissement, paralysie…). Pour que l’infraction soit constituée, il faut un acte positif d’entrave et la volonté d’entraver le système.

Des atteintes aux systèmes de traitement automatisé de données invocables par l’entreprise victime (suite) L’utilisation frauduleuse de données dans un STAD (article 323-3 CP): Puni de 5 ans d’emprisonnement et de 75.000 € d’amende. L’introduction frauduleuse de données : dans ce cas, l’élément moral se déduit de l’élément matériel car l’auteur est conscient de son intrusion sans autorisation. La suppression ou modification frauduleuse des données : à nouveau l’élément moral est lié à l’élément matériel. Exemple : les virus. La détention ou la fabrication de virus informatiques (article 323-3-1 CP) : Peine variant en fonction de l’infraction visée. Dans ce cas, une intrusion dans un système informatique n’est pas nécessaire. Sauf motif légitime (apprécié par les juges), la seule détention permet de qualifier l’infraction, à condition que l’élément moral soit également constaté. La participation à un groupement formé ou à une entente établie afin de porter atteinte aux STAD (article 323-4 CP): Condamnation d’une infraction réalisée en bande organisée.

Principes gouvernant l’administration de la preuve au pénal: Validité juridique des modes de preuve employés pour contaster l’infraction Principes gouvernant l’administration de la preuve au pénal: Principe de la présomption d’innocence : article préliminaire du Code de procédure pénale. C’est au demandeur de prouver la culpabilité du défendeur. Principe de liberté de la preuve : tout mode de preuve est admissible, mais principe limité par le principe de légalité selon lequel le mode de preuve doit être prévu par la loi et règlementé par celle-ci. Article 427 Code de procédure pénale. Principe de loyauté : implicitement énoncé à l’article 6-1 de la convention européenne des droits de l’homme et dans l’article préliminaire du Code de procédure pénale.

Qu’entend-on par « loyauté de la preuve » en droit pénal ? Une administration de la preuve respectant des conditions de proportionnalité et de transparence. Une obligation de respecter les droits fondamentaux de l’ensemble des parties au litige. Une obligation d’information de ses salariés et des représentants du personnel des mesures prises au sein de l’entreprise pour apporter la preuve d’un acte cybercriminel (en cas de cybercriminalité interne). Un respect du principe du contradictoire et des droits de la défense. Un refus de production de fichiers temporaires, ceux-ci étant enregistrés automatiquement et ne pouvant donc démontrer une intention de copier de la part du délinquant (Crim. 5 janvier 2005). L’invalidité du mode de preuve tiré de la provocation à la commission de l’infraction (Crim. 7 février 2007): car est à l’origine de la commission de l’infraction, contrairement à la provocation à la preuve, légalement admise, car elle se contente de prouver une infraction déjà réalisée ou en cours. Conséquence : rejet de toute preuve ne respectant pas le principe de loyauté.

Qu’entend-on par « loyauté de la preuve » en droit civil et commercial ? Une fois que l’entreprise a obtenu la condamnation pénale du délinquant, elle peut vouloir obtenir réparation du préjudice subi devant les tribunaux civils ou commerciaux, ou procéder au licenciement du salarié délinquant : En matière civile, la preuve se rapporte différemment en présence d’actes juridiques ou de faits juridiques : Actes juridiques : soumis au système de preuve légale (acte authentique, acte sous seing privé, aveu ou le serment décisoire). Certains modes de preuve imparfaits sont laissés à la libre appréciation du juge (présomptions, témoignage, enregistrements…). Faits juridiques : soumis au principe de liberté de la preuve. En droit commercial, la preuve est libre (article L110-3 Code de commerce).

Les dangers des modes de preuve illégaux : quand l’entreprise victime devient elle-même délinquante… Responsabilité pénale : Les limites au recueil d’information pour constituer ses preuves : Le fait de procéder à un traitement automatisé de données personnelles sans prendre toutes les précautions utiles pour préserver leur sécurité est puni par l'article 226-17 du Code pénal. En cas d’attaque interne, l’entreprise a l’obligation d’informer le salarié qu’un recueil de données est réalisé à son égard. Si, pour obtenir des preuves des actes cybercriminels, l’entreprise victime a collecté des données personnelles sans le consentement des personnes concernées, elle peut se voir condamner par l’article 226-18 du code pénal. Une intrusion, même motivée, dans les données de l’attaquant reste un délit. Application des articles 323-1 et suivants du Code pénal. Responsabilité civile : L’entreprise peut voir sa responsabilité engagée pour les dommages causés à une tierce personne dans le cadre des dommages causés en raison de la faiblesse de protection des « honeypots » : pots de miels destinés à attirer les hackers dont certains font prendre le risque à l’entreprise de subir quelques dommages au prix de déceler un acte cybercriminel sur son système informatique. Engagement de sa responsabilité délictuelle sur le fondement de l’article 1382 du Code civil.

Les organes compétents pour l’enquête à mener contre un cybercriminel : l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) : enquêtes, investigations, assisté par les services de police et de gendarmerie et DGCCRF. La brigade d’enquête sur les fraudes aux technologies de l’information (BEFTI) La brigade centrale de répression de la criminalité informatique (BCRCI)

ICHAY & MULLENEX Avocats 5 rue de Monceau - 75008 Paris Tel : +33 1.42.89.19.80 Fax : +33 1.42.89.14.99 Diane Mullenex Avocat à la Cour Solicitor England & Wales mullenex@ima-avocats.com