SECURITE DES SI : UNE RESPONSABILITE BIEN VISIBLE POUR DES ATTAQUES INVISIBLES (Cercle Alexis de Tocqueville)

Alors que les statistiques se font l’écho d’une situation de plus en plus alarmante en matière de sécurité des réseaux, la France s’est dotée le 18 avril 2002 d’une législation nouvelle en matière d’évaluation et de certification des produits et systèmes des technologies de l'information. Visant à renforcer le niveau de sécurité des réseaux en créant la possibilité d’une certification de la sécurité des systèmes d’information, celle-ci pourrait, par ricochet, permettre aux directeurs des systèmes d’informations de souffler un peu.

Les effets dommageables des actes de malveillance informatique ou « cyber-criminalité » sur l’économie des entreprises demeurent encore largement inconnus aujourd’hui, les entreprises ne désirant pas en faire état par crainte de mauvaise presse ou, plus souvent, par incapacité à savoir si elles ont ou non fait l’objet d’une attaque. A peine dix pour cent des actes de malveillance informatique seraient aujourd’hui portés à la connaissance de la police alors que d'un autre côté, plus du tiers des entreprises européennes admettent -selon une enquête de l’institut IDC -avoir subi une attaque au cours de la seule année 2001.

« les attaques contre les systèmes d’informations constituent une menace pour la réalisation d’une société de l’information plus sûre et d’un espace de liberté, de sécurité et de justice »

Partant de ce constat, la Commission des Communautés Européennes, rappelant que « les attaques contre les systèmes d’informations constituent une menace pour la réalisation d’une société de l’information plus sûre et d’un espace de liberté, de sécurité et de justice », a adopté au printemps 2002 une décision-cadre relative aux attaques contre des systèmes d’information visant – sur la base de la Convention sur la cyber-criminalité -à rapprocher les dispositions pénales des différents États-membres sur ce sujet.

Ces dispositions nouvelles – criminalisant le comportement des auteurs d’attaques malveillantes visant des systèmes d’informations -ne doivent cependant pas faire oublier aux entreprises à et leurs dirigeants qu’ils sont les premiers responsables de la sécurité de leurs systèmes d’information. Il leur appartient donc de prendre toutes les mesures nécessaires afin d’en assurer la sécurité.

Une attaque réussie contre un système d’information est généralement synonyme de consultation, corruption ou destruction de données importantes, voire confidentielles. Outre les coûts financiers liés à la restauration de ces données, au préjudice économique ou concurrentiel afférant à la consultation de ces dernières, la migration vers un système d’information plus sécurisé, voire dans les cas les plus graves, la restauration du système dans son ensemble, la responsabilité civile de l’entreprise et de ses dirigeants pourra en plus être recherchée. Des tiers ayant subi un préjudice en raison de l’attaque réussie du système d’information pourraient éventuellement rechercher, pour négligence par exemple, la responsabilité de l’entreprise exploitant le système attaqué. Tel serait par exemple le cas de l’attaque réussie d’un système secondaire par l’intermédiaire de la pénétration d’un système primaire auquel il serait connecté. A cet égard, il n’est pas impossible de voir, dans un proche avenir, se développer en France une nouvelle forme d’action en responsabilité civile menée à l’encontre de dirigeants d’entreprise par certains actionnaires pour défaut de surveillance, à l’image des quelques décisions rendues en la matière aux États-Unis sur la base de la doctrine du « corporate duty of care ».

Outre le risque de voir engagée leur responsabilité civile, les dirigeants risquent également - dès lors que des données nominatives sont atteintes – de voir également mise en cause leur responsabilité pénale.

L’article 226-17 du Code Pénal prévoit en effet que « le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d’emprisonnement et de 300.000 Euros d’amende ». Sur cette base, le chef d’entreprise est tenu à une obligation de moyen renforcée quant aux mesures de sécurité devant entourer l’accès aux données nominatives (au sens de la loi Informatique et Libertés de 1978) de son entreprise. Sa responsabilité pénale pourrait donc être recherchée, notamment pour négligence, si ces informations venaient à être corrompues lors d’une attaque.

« le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d’emprisonnement et de 300.000 Euros d’amende »

Bien que le risque pénal demeure encore relativement faible aujourd’hui, compte tenu notamment des difficultés probatoires en la matière, il n’existe pas moins. Ce risque est d’autant plus difficile à cerner que les directeurs des systèmes d’information ignorent souvent que leur délégation de signature rime avec délégation de responsabilité. Surtout dans des entreprises où les arbitrages financiers se font au détriment de la sécurité informatique, se ménager la possibilité de rapporter la preuve d’une exécution satisfaisante de ses obligations -même si elles ne sont que de moyen – pourrait permettre aux directeurs des systèmes informatiques d’atténuer, voire de dégager entièrement, leur responsabilité.

A cet égard, le décret n°2002-535 du 18 avril 2002 pourrait les y aider. Ce dernier offre la possibilité, tant aux entreprises qu’aux administrations, de faire évaluer et certifier par des organismes extérieurs la sécurité de leurs produits et systèmes de technologies de l’information. Sans évidemment rapporter à elle seule la preuve d’une absence de négligence, une telle certification constituerait toutefois un indice probant en ce sens.Une telle expertise s’inscrirait également dans une démarche de sécurisation de la responsabilité des directeurs des systèmes d’informations, leur permettant ainsi d’échapper en partie à une autre particularité bien française s’ils venaient à voir leur responsabilité engagée sur le plan pénal.

Cette particularité est inscrite dans le Code Pénal qui – pris à la lettre - apparaît punir beaucoup plus sévèrement les personnes chargées de la sécurité des systèmes d’information que les cyber-délinquants eux-mêmes, les premiers encourant cinq ans de prison et 300.000 Euros d’amende (art. 226-17 du Code Pénal) alors que les seconds n’encourent que trois ans de prison et 45.000 Euros d’amende. Espérons que cette logique particulière sera rapidement renversée lors de la transposition dans le Code Pénal de la décision-cadre de la Commission des Communautés Européennes relative aux attaques visant les systèmes d’information.

(*) Sébastien Vannerot est juriste d’affaires international et Vice-président du Cercle Alexis de Tocqueville sur la manière de gouverner.