Me Henri de la Motte Rouge

LA FIBRE DU DROIT

Cyberattaques – les bons réflexes juridiques

Publié le 20/05/2014 Modifié le 17/10/2019 Par Me Henri de la Motte Rouge Vu 4 914 fois 2

Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Face à une attaque informatique d'un pirate, l’entreprise doit réagir efficacement. A défaut, elle risque d’engager sa responsabilité pour ne pas avoir pris les précautions utiles pour préserver la sécurité des données. Envisager une action judiciaire peut être un moyen de réparer le préjudice et de prévenir la récidive.

Face à une attaque informatique d'un pirate, l’entreprise doit réagir efficacement. A défaut, elle risque

Cyberattaques – les bons réflexes juridiques

Les attaques informatiques sont en hausse. Il s’agit le plus souvent de pratiques ayant pour seul but de nuire, à un particulier, à une institution ou une entreprise commerciale. La plus courante reste l’attaque par « déni de service » qui vise à rendre inaccessible un serveur à ses utilisateurs légitimes en le surchargeant de requêtes.

Les personnes et a fortiori les entreprises victimes de ces attaques subissent un réel préjudice.

Lorsque l’activité de la société est dépendante de ses serveurs, celle-ci est suspendue tant que l’attaque perdure. Il peut résulter de ces attaques des pertes financières conséquentes.

Au delà de la baisse d’activité, l’indisponibilité des serveurs du fait d’une attaque par déni de service est souvent synonyme d’une perte de crédibilité, essentielle dans un marché ou l’aptitude de la société à assurer la sécurité informatique de ses données est un critère de choix pour le client.

Par ailleurs, garantir la sécurité des données est devenu une obligation légale (article 34 Loi informatique et libertés) contrôlée par la CNIL et appliquée de plus en plus strictement par les tribunaux. Au-delà du risque civil, des sanctions pénales peuvent être prononcées, jusqu’à cinq ans d’emprisonnement et de 300 000 € d’amende (article 226-17 du code pénal).

Ainsi la victime qui n’aurait pas pris toutes les « précautions utiles » pour préserver « la sécurité des données » peut, indépendamment de son dommage, se voir reconnaître partiellement responsable ... C’est d’ailleurs le premier moyen invoqué dans la défense du hacker pour l’exonérer totalement ou partiellement de sa responsabilité civile.

Dès lors, pour les entreprises victimes, la première réaction face à une attaque est évidement de mettre en place les mesures logiques et physiques nécessaires à la sécurité informatique. Ces actions sont également indispensables pour se conformer aux obligations légales de sécurité.

Attention, en cas de violation des données personnelles, l’entreprise responsable de traitement devra également avertir sans délai la CNIL, selon l’article 34 bis de la Loi informatique et libertés.

Opter pour la mise en place de mesures de sécurité informatique est donc une réaction indispensable. Toutefois elle ne répare en rien le préjudice subi. Il convient pour cela d’envisager une action judiciaire.

Si pour l’administrateur du serveur prouver l’attaque est aisé, identifier qui en est l’auteur est plus complexe. Tout au plus, des adresses IP peuvent être collectées, mais l’entreprise ne dispose pas des moyens d’identifier formellement l’auteur de l’attaque qui procédera la plupart du temps anonymement.

Dans ce cas, il est possible de déposer une requête en identification devant le Président du Tribunal de grande instance (article 145 ou 812 al 2 du Code de procédure civile), lequel pourra ordonner au Fournisseur d’Accès à Internet (qui a une obligation légale de conservation des données) de communiquer l’identité précise du détenteur de l’adresse IP. Une fois l’auteur identifié, ce dernier pourra être directement cité devant le Tribunal de Grande Instance.

Si la requête en identification ne donne pas de résultats significatifs ou face à des hackers organisés (IP anonyme ou usurpé), il est recommandé de procéder par la voie pénale. Les attaques par déni de service, phénomène apparu au début des années 2000, sont punies de cinq ans d’emprisonnement et 75 000€ d’amende (article 323-2 du code pénal).

Un dépôt de plainte suivi d’une plainte avec constitution de partie civile a pour effet de saisir un juge d’instruction de l’affaire. Ce dernier dispose des moyens matériels et juridiques de remonter à la source de l’attaque pour identifier l’IP de l’auteur puis son identité précise. Les juges d’instruction diligentent ce genre de commissions rogatoires assistés de services de polices et de gendarmeries spécialisé en cybercriminalité dotés de moyens d’investigations efficaces.

La voie pénale, bien qu’elle soit souvent longue et ardue reste la voie privilégiée lorsque la société n’a pas la possibilité de procéder elle-même à des investigations, et qu’elle souhaite obtenir une condamnation dissuasive de l’auteur et la réparation de son préjudice.

Henri de la Motte Rouge

ww.tlmr-avocats.com

lamotterouge@tlmr-avocats.com

Le Cabinet TOUATI - LA MOTTE ROUGE Avocats est référencé parmis les meilleurs cabinets d'avocats français en IP/IT

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

1 Publié par Visiteur

21/12/2014 01:45

Vous écrivez : "Ainsi la victime qui n’aurait pas pris toutes les « précautions utiles » pour préserver « la sécurité des données » peut, indépendamment de son dommage, se voir reconnaître partiellement responsable ... C’est d’ailleurs le premier moyen invoqué dans la défense du hacker pour l’exonérer totalement ou partiellement de sa responsabilité civile".
Non c'est inexact. Ce serait hélas trop simple pour le white hat ou le grey hat!
Il n'existe pas d'obligation légale de sécurité à ce jour en France. L'ex-hacker Fabien Léac doit 6000 € à deux organisations pour préjudice moral et 2000 € en vertu de l'article 475-1 du code de procédure pénale. Bien sûr je ne parle pas des 2OO heures de Travail d'Intérêt Général à effectuer dans un délai de 18 mois. On lui a bousillé deux années scolaires et ça va continuer... Il y eu sans aucun doute des pressions politiques. On peut déduire deux choses : la justice n'est pas indépendante et elle est complètement injuste vis à vis d'une partie de la population, et en l'occurrence ici d'une jeunesse prometteuse. C'est ça le pays des droits de l'homme? Bien sûr nous sommes le pays le plus inégalitaire des pays de l'OCDE...

2 Publié par Visiteur

16/03/2016 00:29

je suis toujours d'accord avec ce que j'ai écrit en 2014...
Abrogeons la loi Godfrain complètement obsolète et contre-productive! Très surprise de voir de telles lois imbéciles subsister... ABROGEONS LA LOI GODFRAIN! Ce n'est pas aux élus de décider quoi que ce soit... Ils n'entendent rien à l'Informatique et encore moins à la Sécurité Informatique...
Hackèrement Vôtre.
Sophie

PAGE

Votre commentaire :

Texte de votre commentaire

Inscription express :

Pseudo

Nom / prénom

Département

Mot de passe

Numéro de téléphone

J'accepte de recevoir des propositions commerciales de nos partenaires

En cochant cette case, je reconnais avoir pris connaissance et accepter les conditions générales d'utilisation ainsi que la politique de confidentialite

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.

A propos de l'auteur

Henri de La Motte Rouge, Avocat au barreau de Paris, expert en IP/IT

www.tlmr-avocats.com

- Responsable du Cycle l'Avocat Connecté / Enseignant à l'Ecole des Barreaux (EFB)

- Expert au Conseil National du Numérique

- CIL désigné auprès de la CNIL et du Barreau de Paris

- Commission Technologie Cyberjustice Avocats du Barreau de Paris

- Association Développement Informatique Juridique (ADIJ)

Thèmes de publications

Types de publications

Dates de publications

Flux RSS : Abonnez-vous

Retrouvez-nous sur les réseaux sociaux et sur nos applications mobiles

Apple store

Play store

Facebook

Twitter