Dans une décision du 23 avril 2013 le TGI de Créteil rappelle les éléments constitutifs du délit d’entrave à un système automatisé. En l’espèce, des documents à usage strictement interne de l’Agence de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail (ANSES) étaient accessibles sur Internet. 

Après enquête interne puis de la Direction Centrale du Renseignement en raison du classement de l’ANSES en tant qu’opérateur d’importance vitale, les faits ont révélé qu’une personne avait eu accès à l’extranet de l’ANSES et avait ainsi pu télécharger près de 8 gigaoctets de données, pour l’essentiel relatives à des analyses de santé publique.

A l’origine de cette affaire, une faille de sécurité sur le serveur de l’extranet de l’ANSES, laquelle permettait un accès à celui-ci et aux données contenues dans ce dernier sans qu’aucune identification ne soit requise.

Le TGI a conclu en conséquence que :

–  le délit d’entrave au sens de l’article 323-1 du code pénal n’était pas constitué, en raison de l’absence de restriction d’accès permettant ainsi à une personne non autorisée d’accéder au système sans avoir à employer des moyens destiné à forcer cet accès, comme c’est le cas en matière d’hacking ;

–  le vol au sens de l’article 311-1 du code pénal n’était pas caractérisé, en effet, d’une part les documents étaient accessible du fait de la faille et d’autre part dans la mesure où l’ANSES reste en possession des fichiers dont une simple copie a été réalisée par l’auteur des faits. En effet, le vol suppose une soustraction matérielle qui doit avoir pour conséquence de rendre les éléments inaccessibles à leur propriétaire.

 

En conséquence, il ressort de cette décision qu’une obligation forte pèse sur les entreprises et organismes en matière de sécurité, à défaut de mettre en place les mesures utiles de protection elles encourent un risque pour leurs ressources documentaires.

 

En résumé, nous recommandons notamment de :

          – Prévoir des audits afin de relever les mesures de sécurité à mettre en place ;

          – Sensibiliser les équipes en interne sur les mesures de sécurité ;

          – Tester régulièrement votre système d’information en faisant réaliser des audits de type « test d’intrusion » ;

          – Anticiper ce point dans vos contrats avec vos prestataires !

 

 

Claudia Weber et Eloïse Urbain, Avocats

ITLAW Avocats

Nous contacter