180 likes | 379 Views
L’attaque rebond Réunion de crise. Olivier ITEANU Avocat à la Cour d’Appel de Paris Avec le concours de la Sté NTI.
E N D
L’attaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour d’Appel de Paris Avec le concours de la Sté NTI
Votre entreprise est victime d’une attaque rebond. Un de ses serveurs a été pénétré à son insu puis à servi de rebond pour attaquer les serveurs de l’un de vos concurrents. Ce concurrent, qui n’a identifié que des traces émanant de votre entreprise sur son serveur, exige aujourd’hui une explication. En outre, à l’occasion de l’attaque, une base de données clients et prospects a été partiellement pillée.
Précisions • L ’attaque a eu lieu il y a trois mois et vient seulement de se révéler • On sait que l ’attaquant vient de l ’étranger et qu ’il va être très difficile, voire illusoire, de l ’identifier pour le poursuivre
Pénale Atteinte à l’ordre public Amende Peine privative de liberté Susceptible d’atteindre les personnes physiques Civile Atteinte à des intérêts privés Dommages et intérêts Publications Les responsabilités encourues Rappel
Délit d’accès frauduleux • Article 323-1 du Code Pénal Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un STAD est puni de deux ans d’emprisonnement et de 30K€ d’amende Délit constitué par la simple tentative Qu’il y ait ou non des dégâts Le simple accès est sanctionné
Notre entreprise Oui L’entreprise concurrente Oui Application à notre cas
Un délit aggravé en cas de dégats • Article L 323-1 alinéa 2 du CP Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende • Article L 323-3 du CP Le fait d’introduire frauduleusement des données dans un STAD ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75 K€. Le cas du sabotage
Notre entreprise A priori non L’entreprise concurrente A priori Oui Application à notre cas
Les victimes à ne pas oublier • Les fichiers clients / prospects • Des données à caractère personnel (personnes physiques susceptibles d ’être identifiées)
Une obligation générale de sécurité sévèrement réprimée par la loi • Article 226-17 du Code Pénal « Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 300.000 euros d'amende. » Le responsable du traitement: l ’entreprise concurrente
Article 1382 du Code CivilTout fait quelconque de l ’homme qui cause à autrui un dommage oblige celui par la faute duquel il est arrivé à le réparer. Article 1383 Chacun est responsable du dommage qu ’il a causé non seulement par son fait, mais encore par sa négligence ou son imprudence Article 1384 du code CivilOn est responsable non seulement du dommage que l ’on cause par son propre fait mais encore de celui qui est causé par les personnes dont on doit répondre (…) Les maîtres et les commentants du dommage causé par leurs domestiques et leurs préposés dans les fonctions auxquelles ils les ont employées. Les textes de base
Trois hypothèses pas forcément alternatives • On négocie, « on paie » • On porte plainte • Ministère de l’Intérieur (confidentiel) • Plainte simple Procureur • Plainte Juge d ’Instruction • On monte un dossier pour montrer notre bonne foi (pas toujours exonératoire), l ’absence de fautes et de négligences Dans tous les cas, on répond.
Remarque • Article L 39-3 du CPCE I. - Est puni d'un an d'emprisonnement et de 75 000 euros d'amende le fait pour un opérateur de communications électroniques ou ses agents :1º De ne pas procéder aux opérations tendant à effacer ou à rendre anonymes les données relatives aux communications dans les cas où ces opérations sont prescrites par la loi ;2º De ne pas procéder à la conservation des données techniques dans les conditions où cette conservation est exigée par la loi.Les personnes physiques coupables de ces infractions encourent également l'interdiction, pour une durée de cinq ans au plus, d'exercer l'activité professionnelle à l'occasion de laquelle l'infraction a été commise.
Olivier ITEANU Avocat à la Cour d ’Appel de Paris contact@iteanu.com www.iteanu.com