Une mauvaise utilisation des technologies numériques peut se révéler désastreuse, et notamment lorsque l’on regarde du côté de la sécurité informatique. En effet, les informations relatives à une entreprise, son personnel, ses objectifs et ses finances sont cruciaux mais il faut aussi considérer les données personnelles de ses clients dont l’entreprise est dépositaire.

Ainsi, il est central de correctement sécuriser les systèmes informatiques et les bases de données de son entreprise au niveau social et moral mais aussi au niveau juridique, car une fuite de donnée ou une infiltration au sein d’une base de données est une catastrophe pour toutes les parties prenantes et en particulier pour l’entreprise, au niveau social, civil ou au niveau pénal.

Le terme « cybercriminalité » est assez large et rassemble les infractions pénales liées aux technologies de l’information et de la communication, lorsque l’informatique est le but du délit, ou en est le moyen.

Si le développement d’internet est indéniable et que les technologies de l’information et la communication (TIC) ont pris une place centrale dans les entreprises, les enjeux qu’elles soulèvent sont tout aussi importants et d’une nature nouvelle. En effet, si un vol de dossier papiers est facile à catégoriser, que dire d’une information captée par un pirate chinois lors de son téléchargement par une entreprise française, possédant des bases de données aux Etats-Unis ? Ainsi, chaque cadre dans une entreprise se doit de garder à l’esprit ces problématiques de cybersécurité et de sécurité informatique, et tout spécialement le responsable informatique et le responsable des systèmes d’information.

Le responsable des systèmes d’information doit en effet considérer le développement des outils de manière cohérente avec celui de l’entreprise mais aussi veiller à ce que ces nouveaux outils et ces nouvelles solutions ne représentent pas un risque pour l’entreprise. Ainsi, il est garant de la sécurité informatique de l’entreprise et combat activement et de manière préventive la cybercriminalité.

 
Tout responsable de la sécurité informatique se doit de connaître les références juridiques liées aux développements et aux usages des technologies numériques
 

Connaître la définition de la cybercriminalité

Difficile de s’y retrouver, lorsqu’il faut définir clairement la cybercriminalité. En effet, de nombreux textes issus du droit pénal français, de conventions, directives et règlements et européens se complètent et se superposent.

La question de la cybercriminalité est par essence une question pénale, que l’on retrouve directement dans la formation du mot « cyber criminalité », crime sur internet, via internet. Il convient donc à la justice de réprimer ce comportement anti-social.

La convention européenne sur la cybercriminalité apporte une première définition et définit la cybercriminalité comme les « actes portant atteinte à la confidentialité, à l’intégrité et à la disponibilité des systèmes informatiques, des réseaux et des données, ainsi que l’usage frauduleux de tels systèmes, réseaux et données ».

Les articles 323-1 à 323-8 du Code pénal sont aussi une forme de définition lorsqu’ils catégorisent les infractions. Ainsi, on pourrait définir pénalement la cybercriminalité comme « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données […] Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système » , « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données », c’est-à-dire de nuire au bon fonctionnement du système de traitement des données.

Mais le code pénal continue son énumération, ainsi, la cybercriminalité est pénalement décrite comme « le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient » ou encore « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions », soit, de s’approprier des données de manière illégitime ou d’en faire un usage répréhensible.

Finalement, préparer une telle infraction sans aller jusqu’à exécution est puni, dans la mesure où « La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions prévues » est condamné.

 
cybersécurité et loi
 

Savoir sécuriser juridiquement un projet informatique

Internet est souvent considéré comme un nouvel espace à part entière et, tout comme dans l’espace terrestre, maritime ou aérien, il existe des dangers qu’il convient d’étudier et de repousser le mieux possible afin de ne pas compromettre un projet ou une entreprise. En effet, la cybercriminalité est extrêmement répandue et est une menace d’autant plus compliquée à prévenir qu’elle est en constante évolution et que ce nouvel espace est délimité d’une façon nouvelle et parfois perturbante.

En effet, les dangers sont nombreux, et les pertes de données sont très fréquentes ; on peut par exemple compter :

  • Une faille technique, comme un crash de disque dur, qui n’est pas considéré comme un problème de sécurité informatique mais reste cependant gênant pour l’entreprise,
  • Une attaque pirate, en 2020, plus de 10 000 entreprises ont demandé l’aide de la plateforme gouvernementale www.cybermalveillance.gouv.fr,
  • Un vol de matériel informatique, comme d’un ordinateur portable ou d’un disque dur dans les transports en commun,
  • Un virus informatique.

Les dangers viennent donc autant du monde « physique » que du monde informatique. A ce titre, plusieurs mesures s’imposent afin d’assurer la sécurité informatique de l’entreprise :

  • Sécuriser l’accès physique aux postes et outils. Il est possible par exemple de créer un système de badge.
  • Se protéger d’une panne, en achetant du matériel neuf et en entretenant ce matériel et en stockant les données à deux endroits différents par exemple.
  • Protéger son entreprise contre les attaques internet,
    • En utilisant des mots de passe sécurisés; des outils de création et de stockage sécurisé existent,
    • En installant des logiciels de sécurité informatique comme des antimalware (qui évitent à vos systèmes d’être endommagés) et antispyware (qui concerne le vol de données), des firewall (permettant de filtrer les acteurs ayant accès à votre réseau),
    • En sensibilisant le personnel, afin que personne n’installe de logiciels douteux ou à l’origine douteuse, n’utilise une clé USB de manière inconsidérée par exemple.
    • Cet aspect de protection peut être renforcé par une utilisation de cybersurveillance, empêchant des comportements qui pourraient être dangereux.

La sécurité informatique, ou sécurité des systèmes d’information est un enjeux central que chaque entreprise se doit de relever pour aspirer à une croissance sereine, tant au niveau social que légal. En effet, ne pas mettre en œuvre un système de sécurité suffisamment pertinent et protecteur peut conduire à des poursuites pénales et civiles.

Stocker des informations personnelles relatives aux clients ne peut d’ailleurs se faire sans un consentement explicite. Le plus souvent, cela passe sur un site internet par l’acceptation de cookies.

Ne pas sécuriser ses données est dangereux au niveau social, car des données personnelles sur les clients d’une entreprises peuvent être impactées mais aussi au niveau commercial, si on parle d’informations concernant un partenaire et au niveau stratégique et fonctionnel si ce sont des informations relatives à l’entreprise qui sont en cause. Finalement, il existe des sanctions pénales concernant ceux qui ont mal sécurisé les données de leur entreprise.

Le code pénal prévoit en effet, dans l’article 226-16 que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. ».  Si l’on prend en compte le fait de posséder des informations personnelles sur des usagers, le code pénal indique à l’article 226 – 18 – 1 « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »