Pourtant, le 23 avril 2013 le TGI de Créteil n’a pas retenu le délit d’entrave à un système automatisé et ce, en raison d’une faille de sécurité.
Après enquête interne puis de la Direction Centrale du Renseignement en raison du classement de l’ANSES en tant qu’opérateur d’importance vitale, les faits ont révélé qu’une personne avait eu accès à l’extranet de l’ANSES et avait ainsi pu télécharger près de 8 gigaoctets de données, pour l’essentiel relatives à des analyses de santé publique.
A l’origine de cette intrusion, une faille de sécurité sur le serveur de l’extranet de l’ANSES, laquelle permettait un accès à celui-ci et aux données contenues dans ce dernier sans qu’aucune identification ne soit requise.
Ainsi l’auteur des faits avait indiqué avoir accédé à l’extranet au cours d’une recherche approfondie sur Google.
Le TGI a conclu en conséquence que :
- le délit d’entrave au sens de l’article 323-1 du code pénal n’était pas constitué, en raison de l’absence de restriction d’accès permettant ainsi à une personne non autorisée d’accéder au système sans avoir à employer des moyens destiné à forcer cet accès, comme c’est le cas en matière d’hacking ;
- le vol au sens de l’article 311-1 du code pénal n’était pas caractérisé, dans la mesure où l’ANSES reste en possession des fichiers dont une simple copie a été réalisée par l’auteur des faits. En effet, le vol suppose une soustraction matérielle qui doit avoir pour conséquence de rendre les éléments inaccessibles à leur propriétaire.
En conséquence, il ressort de cette décision qu’une obligation forte pèse sur les « victimes » en matière de sécurité, à défaut de mettre en place les mesures utiles de protection, les auteurs pourront se dédouaner de leur propre responsabilité en matière d’accès non autorisé dans le SI.
En résumé, nous recommandons notamment de :
- Prévoir des audits afin de relever les mesures de sécurité à mettre en place ;
- Sensibiliser les équipes en interne sur les mesures de sécurité ;
- Tester régulièrement votre système d’information en faisant réaliser des audits de type « test d’intrusion ».
Discussions en cours :
Cher Maître,
j’avoue avoir été passablement interloquée par votre très court résumé de la situation ainsi que de la "jurisprudence" qui en découle.
Comme vous le savez certainement, si vous avez lu l’arrêt en question, il n’était absolument pas question de vol de données numériques mais bien d’une consultation sur un accès ne demandant aucune identification ni authentification préalablement à cette consultation. La preuve en est que les documents étaient indexés dans Google, or, vous savez certainement que les accès privés de type extranet, hormis les pages d’authentification, ne sont pas indexés par les moteurs de recherche.
Ceci vous explique certainement pourquoi les magistrats n’ont pas retenu cette qualification.
De la même manière, l’exploitation supposée d’une faille de sécurité ne peut être constituée à partir du moment où il était impossible pour un internaute de se rendre compte qu’il naviguait sur un accès non autorisé. Je me permet également de vous rappeler qu’en droit pénal, l’intention a son importance. L’internaute mis en cause, n’avait pas d’intention malhonnête.
Je souligne également que l’ANSES n’était pas partie civile à ce litige.
Il est dommage d’induire - surement involontairement - les lecteurs en erreur.
Cher Monsieur,
Pour répondre à votre commentaire :
Le "vol de données" numérique ainsi que l’intrusion, sont des concepts qui ont nécessairement été abordés pendant la procédure puisque le Tribunal en parle en ces termes :
concernant l’accès frauduleux : celui-ci "est constitué dès lors qu’une personne non habilitée pénètre un système de traitement automatisé de données tout en sachant qu’elle est dépourvue d’autorisation.",
concernant le vol : "l’accessibilité et l’absence de soustraction du matériel" ne permettent pas de caractériser l’infraction.
La décision du Tribunal correctionnel de Créteil se fonde sur les articles du code pénal relatif au délit d’entrave pour juger cette affaire, et n’a d’ailleurs pas retenu une telle qualification comme nous l’indiquions dans notre article, puisqu’en l’espèce - comme vous le mentionnez - les documents étaient accessibles via le moteur de recherche Google.
Ce qui avait été interprété comme un vol de document s’est avéré - en fait - n’être qu’une accessibilité non contrôlée.
L’objet de cet article est de prémunir les entreprises sur ce type de "faille" qui peut avoir des conséquences dommageables pour leurs ressources et leur image.
Espérant avoir répondu à votre interrogation,
Bien cordialement,
Claudia Weber