Noms de domaine : le cybersquatting en hausse selon l’OMPI

De nombreuses entreprises sont victimes chaque année de cybersquatting (ou cybersquattage), en particulier dans les domaines du commerce de détail, de la mode et du luxe ou de la finance. Pour se défendre, les victimes peuvent soit engager une action en justice, soit lancer une procédure extrajudiciaire.

Dans un communiqué de presse publié le 15 mars 2019, l’OMPI (Organisation mondiale de la Propriété intellectuelle) a annoncé que son Centre d’arbitrage et de médiation avait reçu 3.447 plaintes relatives aux noms de domaine en 2018. Ces plaintes, déposées en vertu des Principes UDRP par des titulaires de marques, sont en hausse de 12% par rapport à l’année précédente. (1)


1. Le rôle du Centre d’arbitrage et de médiation de l’OMPI dans le règlement extrajudiciaire des litiges sur les noms de domaines (principes UDRP)

Le Centre d’arbitrage et de médiation est un organisme relevant de l’OMPI, dont le siège est situé à Genève, avec un bureau à Singapour. L’objet du Centre d’arbitrage est de proposer des services de règlement extrajudiciaires des litiges (médiation et arbitrage) dans les domaines de la propriété intellectuelle, des technologies et des noms de domaines, en particulier de nature internationale. (2)

Les procédures concernent tant des litiges contractuels (exécution de licences de brevets et de logiciels, contrats de coexistence de marques, contrats de recherche et de développement) que des litiges non-contractuels (tels que des litiges de contrefaçon ou le cybersqatting). Les litiges relatifs aux noms de domaines sont, de loin, les plus nombreux.

Les litiges relatifs aux noms de domaine sont traités par le Centre d’arbitrage et de médiation en vertu des Principes directeurs concernant le règlement uniforme des litiges relatifs aux noms de domaine (principes UDRP - Uniform Dispute Resolution Policy). (3) Cette procédure ne s’applique qu’aux litiges entre noms de domaine et marques.

Concernant les noms de domaine, seuls les litiges portant sur des noms de domaine enregistrés dans les domaines génériques de premier niveau (gTLD), tels que les domaines en .com, .org, .net, et les nouveaux gTLD en .online, .info., .app par exemple, sont pris en compte. Il convient d’ajouter plusieurs domaines de pays de premier niveau (ccTLD), notamment plusieurs extensions “exotiques” pouvant être utilisées à des fins frauduleuses, tels que les domaines en .ag (Antigua-et-Barbuda), .bm (Bermudes), .bs (Bahamas), .tv (Tuvalu), mais également le .fr, ou le .eu. (4) On notera toutefois que les noms de domaine en .com représentent encore plus de 70% des litiges traités par le Centre.

Pour être recevable, la demande du requérant doit remplir trois conditions cumulatives :
    i) le nom de domaine litigieux doit être identique ou similaire à une marque sur laquelle le requérant détient des droits, et prêter à confusion dans l’esprit du public ;
    ii) le détenteur du nom de domaine litigieux n’a aucun droit sur le nom de domaine, ni aucun intérêt légitime qui s’y attache ; et
    iii) le nom de domaine litigieux a été enregistré et utilisé de mauvaise foi. (5)

Enfin, l’entrée en application du RGPD permet désormais de masquer les coordonnées des titulaires de noms de domaines sur les bases de données Whois, rendant l’accès à l’information plus difficile en cas de litige. Le Centre d’arbitrage a publié des conseils “informels” afin de permettre aux ayants droit de s’assurer de la recevabilité des leurs plaintes. (6)


2. La hausse des plaintes relatives aux noms de domaine

Les plaintes concernant le cybersquatting sont en hausse. Ainsi, le nombre de plaintes déposées en vertu des principes UDRP par les ayants droit de marques dans des litiges relatifs à des noms de domaine s’est élevé à 3.447 en 2018 et a porté sur un total de 5.655 noms de domaine, en hausse de 12% par rapport à 2017. 

Les sites utilisant des noms de domaines litigieux sont généralement liés à des activités frauduleuses, telles que la vente de contrefaçons, le phishing (hameçonnage), l’atteinte au droit des marques par exemple, ou encore le développement d’une activité parasitaire.

En 2018, les parties aux litiges administrés par l’OMPI en vertu des principes UDRP venaient de 109 pays. 976 plaintes concernent les États-Unis, suivis par la France (553 plaintes), le Royaume-Uni (305 plaintes) et l’Allemagne (244 plaintes).

Les trois principaux domaines d’activité des plaignants sont la banque et la finance (12%), la biotechnologie et les produits pharmaceutiques (11%) et internet et les technologies de l’information (11%).


    Les noms de domaine font partie des actifs majeurs de la plupart des entreprises, qu'elles aient une activité commerciale en ligne ou un simple site "vitrine". Le cybersquatting porte une atteinte manifeste non seulement à l’image des titulaires de marques mais également à la concurrence. Il est donc nécessaire de mettre en place une stratégie de défense comprenant d’une part l’enregistrement de noms de domaines dans les extensions les plus courantes quand cela est possible, et avec des dérivés orthographiques, et d’autre part organiser une veille internet régulière pour détecter les fraudes éventuelles.

Le recours aux services d’arbitrage et de médiation de l’OMPI permet notamment aux ayants droit de récupérer un nom de domaine enregistré de mauvaise foi par un tiers, en évitant des procédures judiciaires longues et coûteuses, et le plus souvent internationales. Cette procédure simple, rapide et peu coûteuse (mais entièrement à la charge du requérant), n’exclut cependant pas la possibilité pour l’une ou l’autre des parties de porter le litige devant les tribunaux.


                                                                   * * * * * * * * * *

(1) « Nouveau record de plaintes pour cybersquattage (+12%) déposées auprès de l’OMPI en 2018 », Communiqué de presse du 15 mars 2019, OMPI

(2) Site de l’OMPI

(3) La procédure UDRP (Uniform Dispute Resolution Policy) et les Principes directeurs et les règles d’application éditées le 24 octobre 1999, sont accessibles sur le site du Centre d’arbitrage de l’OMPI
 

(4) Il existe deux types de procédures similaires - la procédure Syreli (Système de règlement des litiges) et la procédure PARL Expert (Procédures alternatives de résolution de litiges) administrées par l’Afnic pour l’extension en .fr et les extensions gérées gérées par l’Afnic 

(5) Pour les conditions de recours à la procédure UDRP, voir notre précédent article sur le sujet “Conflit entre une marque et un nom de domaine : le choix du recours à la procédure extrajudiciaire”

(6) Voir la page “Impact of Changes to Availability of WhoIs Data on the UDRP: WIPO Center Informal Q&A”


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2019

Cybermalveillance - lancement d’une plateforme d’accompagnement des victimes

La cybermalveillance recouvre les actes de cybercriminalité tels que le hameçonnage (phishing - faux emails comprenant des liens vers des sites frauduleux pour collecter mots de passe et autres données confidentielles des utilisateurs), la diffusion de virus par messagerie ou SMS (logiciel contenant du code malveillant), ou la diffusion de rançongiciels (ransomware - logiciels qui forcent l'utilisateur au versement d'une rançon pour récupérer des données bloquées), infractions punies pénalement.

Ces activités ne cessent de se développer depuis plusieurs années et ciblent tous les acteurs de la société : particuliers, entreprises de toutes tailles et de tous secteurs d’activités et administrations. Malgré les conseils régulièrement diffusés concernant les mots de passe à adopter, la nécessité des mises à jour logicielles, etc., le nombre de victimes explose.

Fin mai 2017 en France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a lancé un projet de plateforme d’aide aux victimes d'actes de cybermalveillance. Cette première phase d’expérimentation était limitée à la région Hauts de France.

La plateforme Cybermalveillance.gouv.fr a été lancée sur l’ensemble du territoire français le 17 octobre 2017.

Les objectifs de cette plateforme, à finalité à la fois pédagogique et curative, sont triples :
    1 - la mise en place de campagnes de prévention et de sensibilisation à la sécurité du numérique ;
    2 - pour les victimes d’un acte de cybermalveillance, la mise en relation des victimes via la plateforme avec des prestataires de proximité susceptibles de restaurer leurs systèmes ;
    3 - la création d’un observatoire du risque numérique permettant de l’anticiper.

La plateforme cybermalveillance.gouv.fr est conçue comme un guichet unique. Après l’établissement d’un diagnostic de la situation de la victime (particulier, entreprise (PME/TPE) ou collectivité territoriale - hors OIV), la plateforme permet sa mise en relation avec des prestataires de proximité, compétents et présents sur l’ensemble du territoire français, des administrations de I‘État (Gendarmerie, Police, représentants locaux de I’ANSSI) ou des collectivités et acteurs locaux (chambres consulaires, fédérations professionnelles, réseaux “transition numérique”, etc.).

Les victimes sont guidées, lors de leur déclaration d’acte de cybermalveillance, pour l’identification du problème : virus, blocage informatique suite à l’activation d’un rançongiciel, piratage (réseau social, compte bancaire, messagerie, etc.). À la fin de la déclaration, les victimes sont informées sur les étapes suivantes de la procédure : déposer une plainte, prévenir sa banque, faire appel à un expert informatique…

L’un des objectifs de la plateforme étant la prévention et la sensibilisation aux cyber risques, plusieurs outils et démarches de sensibilisation sont proposés : principes de base à respecter pour assurer sa cyber sécurité, guides de bonnes pratiques en matière de cyber sécurité.

Enfin, la plateforme doit permettre de collecter et centraliser l’information sur les actes de cybermalveillance : types d’atteintes cyber, nombre et profil des victimes.

Ce dispositif est incubé par l’ANSSI et copiloté avec le ministère de l’Intérieur.


                                                                             * * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

Délit d’usurpation d’identité numérique, un nouveau fondement juridique pour lutter contre la cybercriminalité

L’usurpation d’identité numérique n’est pas un phénomène nouveau. Ce type d’escroquerie sur internet, visant à se faire passer pour un autre (entreprise, administration) pour accéder à des données ou des comptes bancaires et détourner des fonds, ou porter atteinte à la réputation d’une entreprise ou d’une personne physique s’est développé parallèlement à l’essor de l’internet. En ces périodes troublées, le détournement de comptes bancaires pour en soutirer les fonds, ou de comptes personnels sur les réseaux sociaux à des fins de propagande par exemple, est plus que jamais un phénomène d’actualité.

Avant l’entrée en vigueur de la loi LOPPSI II, adoptée le 14 mars 2011, la victime d’une usurpation d’identité sur internet ne pouvait poursuivre l’auteur de l’infraction que sur des fondements généraux du droit pénal, tels l’escroquerie, la prise du nom d’un tiers aux fins de commission d’une infraction pénale (ex. diffamation, escroquerie), l’atteinte à un traitement automatisé de données, l’atteinte à la vie privée et l’atteinte au droit à l’image.

La LOPPSI II de 2011, qui comprend un chapitre dédié à la lutte contre la cybercriminalité, a créé une nouvelle infraction spécifique : l’usurpation d’identité numérique. (1)

La première condamnation sur le fondement de l’usurpation d’identité numérique a été prononcée par le Tribunal de grande instance de Paris le 18 décembre 2014, dans une affaire concernant la création d’un faux site web. (2)

Toutefois, la collecte des preuves, et surtout, l’identification de l’auteur du délit reste un obstacle difficile à surmonter pour la victime souhaitant engager des poursuites.

Nous analysons ci-dessous les aspects spécifiques de la notion d’usurpation d’identité numérique puis les moyens de défense dont disposent les victimes.


1. La notion d’usurpation d’identité numérique

    1.1 La définition légale

L’usurpation d’identité est constituée quand elle porte sur l’identité même de la victime (nom, prénom, surnom, pseudonyme, identifiants électroniques) ou sur toute autre donnée de nature à l’identifier. Cette dernière expression permet de s’affranchir de la notion de données à caractère personnel, au sens de la loi Informatique et Libertés, et de rechercher tous autres éléments permettant une identification. Il est donc possible d’y inclure les adresses IP, les URL, les mots de passe, ainsi que des logos, images, voire même un avatar, tous ces éléments permettant de pointer vers une personne physique. Les juges seront amenés à interpréter et affiner cette notion et son périmètre.

L’usurpation d’identité “numérique”, telle que prévue à l’article 226-4-1 al. 2 du code pénal, est commise sur un réseau de communication au public en ligne, ce qui comprend notamment les courriers électroniques, les sites web, les messages publiés en ligne et les profils en ligne sur les réseaux sociaux (Facebook, Twitter). (3)

Le préjudice effectif ou éventuel s’analyse en un trouble de la tranquillité de la personne dont l’identité est usurpée ou celle d’un tiers, ou en une atteinte à son honneur ou à sa réputation.

L’auteur de l’infraction, personne physique, encourt un an d’emprisonnement et 15.000€ d’amende. La condamnation peut atteindre 75.000€ lorsque l’auteur de l’infraction est une personne morale.

    1.2 Usurpation d’identité numérique : phishing, faux sites web et faux profils

L’usurpation d’identité numérique peut porter préjudice à deux catégories de victimes :

    - la personne dont l’identité a été usurpée : l’auteur de l’infraction nuit à son image, à sa réputation, à sa marque ou trouble sa tranquillité ;
    - le tiers trompé : l’auteur de l’infraction induit l’internaute en erreur et lui soutire des informations et/ou de l’argent.

L’usurpation d’identité numérique est généralement commise de deux manières : par la technique du phishing (ou hameçonnage), ou par la création d’un faux site web ou d’un faux profil sur un service de réseau social.

Le phishing ou hameçonnage
Le cyber-escroc usurpe l’identité d’un tiers, généralement une entreprise (banque, opérateur téléphonique) ou une administration, en communiquant via un faux courrier électronique et/ou via un site web contrefait. L’escroc reproduit alors les identifiants visuels et graphiques de la marque, en vue d’obtenir de la part d’internautes trompés, des informations personnelles (identifiants, mots de passe ou coordonnées bancaires). Ces informations sont ensuite utilisées pour accéder à leurs comptes et effectuer des opérations sous l’identité de l’internaute (virement, souscription d’un crédit, abonnement). (4)

Par exemple, dans un jugement rendu le 21 septembre 2005, le Tribunal de grande instance de Paris a condamné un internaute pour contrefaçon de marque et contrefaçon d’un site web. Ce dernier avait imité la page d’enregistrement du service Microsoft MSN Messenger, et sa marque figurative (le papillon MSN), pour obtenir des données personnelles des personnes au moment de leur enregistrement sur le service. (5)

La création d’un faux site web ou d’un faux profil sous l’identité d’une tierce personne
L’usurpation d’identité numérique est également réalisée via la création d’un faux site web, reprenant à l’identique les composants d’un site “légitime” (charte graphique, reproduction de tout ou partie du contenu, etc.). Cette technique est souvent liée à une “campagne” de phishing.

La création d’un faux site web ou d’un faux profil a pour objet ou pour effet de porter atteinte à l’honneur ou à la réputation du titulaire du site ou du profil, personne physique ou morale.

    1.3 Le jugement du 18 décembre 2014

Le Tribunal de grande instance de Paris a rendu un premier jugement le 18 décembre 2014 condamnant l’auteur d’une usurpation d’identité numérique sur le fondement de l’article 226-4-1 du Code pénal.

Dans cette affaire, un informaticien avait créé un faux "site officiel" de la députée-maire Rachida Dati. Le faux site reprenait la photo de Rachida Dati ainsi que la charte graphique du site officiel et permettait aux internautes de publier des commentaires sous la forme de communiqués de presse, soi-disant rédigés par Rachida Dati, mais au contenu trompeur. L’internaute se trouvait en réalité sur le site officiel, très similaire au faux site. L’auteur de cette usurpation avait utilisé une faille de sécurité du site de la députée-maire, permettant d'y injecter du code indirect (opération dite "XSS" ou cross-site scripting).

Le directeur du Cabinet de Madame Dati a déposé plainte contre X pour usurpation d’identité sur support numérique et atteinte aux systèmes de traitement automatisé de données. L’enquête, menée par la BEFTI (Brigade d’enquête sur les fraudes aux technologies de l’information), a permis d’identifier l’auteur des agissements.

Dans un jugement du 18 décembre 2014, le TGI de Paris a retenu les deux chefs d’accusation à l’encontre du prévenu. Le Tribunal considère en effet, que l’identité de Madame Rachida Dati avait été numériquement usurpée, dans la mesure où “ces mentions [“je vous offre un communiqué…" ou “merci pour ce geste citoyen “], aux côtés du nom de Madame Rachida Dati et sur un site reprenant la photographie officielle de la député-maire, sa mise en page et sa charte graphique, ne peut que conduire l’internaute à opérer une confusion avec le site officiel de celle-ci“.

Par ailleurs, le Tribunal a retenu que l’auteur du faux site avait mis en place un dispositif permettant la mise en ligne par les internautes de faux communiqués au contenu sexiste et dégradant. Or, en sa qualité de modérateur du site, il avait la possibilité de fermer son site ou de désapprouver les termes des commentaires mis en ligne par les internautes.

Le prévenu a également été considéré coupable d’introduction frauduleuse de données dans un système de traitement de données, du fait d'avoir exploité la faille de sécurité du site officiel pour y introduire des instructions dans le but d’en modifier son comportement. L’ensemble de ces éléments entraînant la confusion avec le site officiel de la femme politique, l’internaute a été reconnu coupable d’usurpation d’identité numérique. Condamné à une amende de 3.000€, l’auteur du faux site a fait appel de la décision.

Le fournisseur d’hébergement a quant à lui été reconnu complice de cette infraction.


2. Les moyens de défense à la disposition des victimes

    2.1 Pour la personne usurpée

Face à ce type d’agissement, il est possible de prendre des mesures proactives, ou en cas de constatation d’une infraction, de prendre des mesures en réaction.

Les institutions fournissent des recommandations, proactives - concernant la sécurité des comptes personnels, et réactives - concernant les mesures de retrait de contenu ou de dépôt de plainte.

L’Hadopi (Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet) fournit une série de recommandations aux fins d’éviter l’usurpation d’identité numérique. Ces recommandations, qui relèvent souvent du bon sens, consistent notamment, à utiliser des mots de passe complexes et de ne pas les communiquer à des tiers, activer les protections anti-phishing existant dans certains navigateurs web, éviter de se connecter sur des sites sensibles (sites de banques ou de vente en ligne) dans les lieux publics ou chez des tiers, ne pas répondre à des emails provenant de prétendus organismes de confiance et demandant de communiquer mots de passe ou autres coordonnées personnelles confidentielles, ne jamais cliquer sur les liens ni ouvrir les documents contenus dans ces messages, etc. (6)

Si des informations d’identification ont été publiées sans autorisation et/ou détournées, le responsable du site sur lequel ces informations ou données sont publiées doit être contacté pour en demander leur suppression. A cet effet, la CNIL (Commission nationale de l’informatique et des libertés) propose sur son site des modèles de courriers pour formuler cette demande. (7) A défaut de réponse, il conviendra alors de porter plainte en ligne via le site de la CNIL. La Commission aide ainsi à la suppression des informations détournées et à la récupération de l’accès à sa messagerie électronique. (8)

    2.2 Les moyens de preuve à l’appui d’une action en usurpation d’identité numérique

La difficulté à identifier l’auteur de l’infraction
Il existe encore peu de décisions judiciaires condamnant ces pratiques. La victime se heurte en effet à deux difficultés majeures : l’identification des auteurs de l’escroquerie, rendue difficile notamment à cause des procédés d’anonymisation ; et la localisation de l’auteur. Lorsqu’il est possible de remonter jusqu’à l’auteur, celui-ci est souvent situé à l’étranger, rendant les poursuites difficiles et la procédure coûteuse.

Comme mentionné ci-dessus, la victime d’une usurpation d’identité numérique peut adresser une plainte à la CNIL. Elle peut également porter plainte soit auprès des forces de l’ordre (police ou gendarmerie), soit directement auprès du procureur de la République.

Afin que l’affaire ne soit pas classée sans suite, il est fortement recommandé de fournir des éléments de preuve remontant jusqu’à l’auteur de l’infraction. A cette fin, la victime peut contacter le fournisseur d’accès à internet ou le fournisseur d’hébergement afin d’obtenir la communication des données permettant d’identifier l’auteur de l’infraction.

Les moyens de preuve
Afin de faciliter l’identification des auteurs d’une infraction, la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN), impose aux prestataires techniques, fournisseurs d’accès à internet et hébergeurs, la conservation des données “de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles (ces personnes) sont prestataires” (article 6 II). (9)

Ainsi, à la demande de l’autorité judiciaire, FAI et hébergeurs doivent transmettre toute information en leur possession, nécessaire à la constitution du dossier, dans le respect des délais de prescription. Il est à noter cependant que, suivant les catégories de données concernées, différents délais de prescription s’appliquent. Ainsi, les données de connexion ne seront conservées que pendant un an.

Par ailleurs, il peut être utile de faire établir un constat d’huissier afin de conserver la preuve des écrans, pages web et autres éléments à l’appui des poursuites.

Une infraction “autonome”
Depuis la LOPPSI II, le délit d’usurpation d’identité numérique est une infraction autonome. Ainsi, le seul fait de commettre un acte de phishing, même sans accès effectif aux comptes dont les données ont été récupérées, est suffisant pour être qualifié d’acte d’usurpation d’identité numérique. Il n’est donc pas obligatoire de rapporter la preuve selon laquelle l’usurpation a été commise en vue de la réalisation d’une infraction (telle que le détournement de fonds ou l’apologie du terrorisme par exemple).

Le législateur exige cependant un dol spécial : l’accusation doit rapporter la preuve que l’usurpateur a agi en vue de troubler la tranquillité de la personne dont l’identité est usurpée ou de celle d’un tiers, ou afin de porter atteinte à son honneur ou à sa considération.

Toutefois, le législateur n’impose pas de prouver une répétition des agissements fautifs, alors que la rédaction initiale de l’article 226-4-1 al. 2 dans le projet de loi LOPPSI II avait prévu une condition de réitération.

Une infraction “instantanée”
L’usurpation d’identité numérique étant un délit, la victime dispose d’un délai de prescription de trois ans pour agir. Le délit d’usurpation d’identité numérique est une infraction instantanée : le point de départ du délai de prescription se situe au jour où l’identité a été usurpée.

Cependant, comme mentionné plus haut, il convient d’agir sans attendre. En effet, selon les catégories de données concernées, différents délais de prescription peuvent avoir pour conséquence que certaines d’entre elles ne seront plus disponibles au moment de la constitution du dossier.

                                                        * * * * * * * * * * *

(1) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, et

(2) TGI Paris, 13e ch. corr., 18 décembre 2014, MP c/ X.

(3) art. 226-4-1 du code pénal : “Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende.
Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne.”

(4) Les auteurs de l’escroquerie utilisent régulièrement la technique du ”social engineering”, ou ingénierie sociale, méthode de manipulation abusant de la crédulité de personnes, afin qu’elles divulguent des données confidentielles.

(5) TGI Paris, 31e ch. corr., 21 septembre 2005, Microsoft Corporation c/ Robin B

(6) Fiche Hadopi relative aux moyens de sécurisation : Identité numérique//Usurpation d’identité publiée en décembre 2011, accessible à : http://www.hadopi.fr/sites/default/files/page/pdf/UsurpationIdentite.pdf

(7) Accessibles sur le site de la CNIL à : http://www.cnil.fr/vos-droits/les-courriers-pour-agir/

(8) Voir http://www.cnil.fr/vos-droits/plainte-en-ligne/ et http://www.cnil.fr/vos-droits/la-cnil-a-vos-cotes/

(9) Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2015

Quelles obligations pour les OIV en matière de cybersécurité : exigences européennes et françaises comparées

Dans le cadre de l’élaboration d’une stratégie européenne de lutte contre la cybercriminalité, la Commission européenne a adopté, en février 2013, une proposition de directive visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union. Ce texte vient d’être modifié et adopté en première lecture par le Parlement européen. (1)

Cette proposition de directive repose sur un triple objectif : i) fixer des obligations aux Etats membres en matière de prévention et de gestion de risques et incidents touchant les réseaux et systèmes informatiques, ii) faciliter la coopération entre les Etats membres pour garantir l’harmonisation des règles de cybersécurité au sein de l’UE, et iii) établir des exigences en matière de sécurité pour “les acteurs du marché”.

Ce texte précise notamment les obligations à la charge des “opérateurs d’infrastructure essentielle”. Ces obligations sont en partie similaires à celles imposées aux opérateurs d’importance vitale (OIV) par la loi de programmation militaire française 2014-2019 du 18 décembre 2013. (2) Nous proposons ci-dessous une synthèse des principales dispositions européennes en regard des nouvelles règles fixées par la loi de programmation militaire.


1. Les acteurs concernés par les nouvelles dispositions

Toutes les entreprises ne sont pas concernées, ni par la future directive, ni par la loi de programmation militaire (LPM 2014-2019).

La proposition de directive prévoit que seuls les “acteurs du marché” qualifiés d’opérateurs d’infrastructure essentielle, et dont l’effectif excède 10 personnes et le chiffre d’affaires annuel est supérieur à 2 millions d’euros, sont concernés par ces nouvelles obligations. Sont donc exclues les micro et petites entreprises, sauf exception. (3)

Ce texte rejoint les dispositions de la LPM 2014-2019, puisque les nouvelles obligations françaises en matière de cybersécurité concernent uniquement les opérateurs d’importance vitale. La notion française d’OIV est cependant plus large que la notion européenne d’opérateur d’infrastructure essentielle, dans la mesure où l’on ne distingue pas selon que l’OIV est une grande entreprise ou une PME, une société privée ou une administration publique.

Pour rappel, la réglementation relative aux OIV figure aux articles L.1332-1 et s. du Code de la défense. Il s’agit d’opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement : (i) d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ; (ii) ou de mettre gravement en cause la santé ou la vie de la population.


2. Les obligations de “cyber” sécurité

On relève trois grandes catégories d’obligations, portant sur la détection et la gestion des risques, la notification des incidents, et les mesures de sécurité et audits.

    2.1 Détection et gestion des risques
La proposition de directive dispose que les organismes concernés doivent prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI). Ces mesures doivent permettre d’éviter les incidents portant atteinte à la sécurité des RSI et réduire au minimum leur impact sur les services qu’ils fournissent.

Ces obligations sont à mettre en parallèle avec l’obligation de détection prescrite par la LPM 2014-2019. La loi française prévoit que dans certains cas, les OIV ont l’obligation de mettre en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. La procédure de qualification des outils de détection (sondes, etc.) et des prestataires proposant ce type de système doit être définie par décret.

    2.2 Notification des incidents
Le projet de texte européen prévoit que les acteurs du marché doivent notifier à l’autorité compétente, sans retard injustifié, “les incidents qui ont impact significatif”. Il s’agit d’incidents qui portent atteinte à la sécurité et à la continuité d’un réseau ou d'un système d'information et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles.

Afin de déterminer l’ampleur de l’impact, trois critères à prendre en compte ont été proposés par le Parlement : le nombre d’utilisateurs dont le service essentiel est concerné, la durée de l’incident et la portée géographique eu égard à la zone touchée par l’incident.

Par ailleurs, la proposition de directive prévoit la possibilité, pour les autorités compétentes, d’informer le public d’un incident, si sa sensibilisation est nécessaire pour prévenir ou gérer un incident en cours, ou lorsque l’organisme concerné refuse de remédier à “une grave faiblesse structurelle sans délai injustifié”. Les informations rendues publiques seront anonymes.

La LPM 2014-2019 met également, à la charge des OIV, une obligation de déclarer sans délai au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. La loi ne définit pas la notion d’incident, qui doit être précisée par décret, ainsi que les modalités de la notification. En outre, la loi française ne prévoit pas expressément la possibilité pour l’Anssi ou les services de l’Etat d’informer le public en cas d’incident.

    2.3 Mesures de sécurité et audit
La proposition de directive dispose que les autorités compétentes des Etats membres doivent être en mesure de veiller au respect des obligations par les acteurs du marché. Ces autorités doivent ainsi être dotées de pouvoirs leur permettant (i) de donner des instructions contraignantes, et (ii) d’exiger des acteurs du marché qu’ils fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d’un audit réalisé par un organisme qualifié indépendant ou une autorité nationale.

La LPM 2014-2019 prévoit des obligations similaires. Les OIV doivent, d’une part respecter les règles et mesures de sécurité élaborées par le Premier ministre et, d’autre part soumettre leur SI à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité. Ces contrôles seront réalisés par des prestataires de service “qualifiés” ou les agents de l’Anssi.


3. Les sanctions en cas de non-respect des obligations

Le projet de texte européen précise que les Etats membres fixent eux-mêmes les sanctions applicables en cas de manquement aux obligations précitées. Il est intéressant de souligner que le texte amendé par le Parlement européen dispose que lorsque les acteurs du marché ne respectent pas les obligations, mais qu’ils n’ont pas agi de manière intentionnelle ou à la suite d’une négligence grave, aucune sanction ne doit être prononcée.

La LPM 2014-2019 sanctionne les manquements à la loi d’une amende de 150.000€, s’élevant à 750.000€ pour les personnes morales. La loi française ne distingue pas selon que le manquement est ou non intentionnel. La simple négligence est donc en principe condamnable.


     La proposition de directive adoptée en première lecture par le Parlement doit maintenant être examinée par le Conseil. Si ce dernier accepte le texte tel quel, celui-ci sera définitivement adopté. A contrario, si le Conseil modifie le projet de texte, il sera renvoyé au Parlement en deuxième lecture. Dans un récent communiqué, Neelie Kroes, Vice-présidente de la Commission européenne, a précisé que les institutions européennes avaient émis le souhait que le projet final soit voté d’ici fin 2014.

Une fois la directive cybersécurité adoptée, les Etats membres devront la transposer dans leur législation interne dans un délai d’un an et demi. La France a pris les devants avec l’adoption de la loi de programmation militaire en décembre 2013 et la modification de son Code de la défense. Si les dispositions de la LPM 2014-2019 sont conformes aux orientations de politique européenne, la transposition du texte définitif de la directive est néanmoins susceptible de nécessiter quelques aménagements en droit français.


                                                            * * * * * * * * * *

(1) Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7 février 2013. Voir à ce sujet notre article : http://dwavocat.blogspot.fr/2013/03/cybersecurite-le-developpement-dune.html ; et Résolution législative du Parlement européen du 13 mars 2014 sur la proposition de directive NIS.

(2) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

(3) Voir article 14 §8 de la Résolution législative du 13 mars 2014 qui prévoit que les obligations précitées ne s’appliquent pas “aux micro-entreprises telles qu'elles sont définies dans la recommandation de la Commission 2003/361/CE du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises, à moins que la micro-entreprise n'agisse comme succursale d'un acteur du marché”.


Bénédicte DELEPORTE
Betty SFEZ
Deleporte Wentz Avocat

www.dwavocat.com

Avril 2014

Vers une protection juridique des secrets d’affaires en Europe

Selon une étude récente, 25% des entreprises européennes ont signalé un vol d'informations confidentielles en 2013, contre 18% en 2012. (1) Ces atteintes au patrimoine économique et scientifique des entreprises prennent des formes diverses : vol de documents par effraction, captation de données par intrusion dans un système d’information ou recoupement d’informations par élicitation. Elles concernent des sociétés de toutes tailles et tous secteurs d’activités. Or, ces atteintes peuvent être lourdes de conséquences en termes économiques et commerciaux.

Aujourd’hui, la réglementation relative à la protection des informations sensibles de l’entreprise, ou à ses secrets d’affaires, varie fortement d’un pays à l’autre, même au sein de l’Union européenne. Outre les règles propres à la propriété intellectuelle et à la concurrence déloyale, seuls quelques pays disposent d’une protection spécifique relative aux secrets d’affaires. La France ne dispose pas encore de loi spécifique, malgré une proposition de loi de novembre 2011. (2)

Partant du constat que l'espionnage industriel et la cybercriminalité faisaient désormais partie de la réalité quotidienne des entreprises, la Commission européenne a élaboré une proposition de directive relative à la protection des secrets d’affaires, en date du 28 novembre 2013. (3)

Bien que cette proposition de directive soit encore soumise à la validation du Parlement et du Conseil européens, nous en étudions ci-après les principales dispositions visant à renforcer les voies de recours des entreprises victimes d’appropriation illicite de secrets d’affaires.


1. Les notions clefs de la protection des secrets d’affaires

Il n’existe actuellement pas de définition unique en matière de secrets d’affaires, ni de protection juridique spécifique. (4) La proposition de directive sur la protection des secrets d’affaires nous fournit une définition de la notion de secret d’affaires, ainsi qu’un cadre pour leur protection juridique et pour la réparation des victimes de vol de secrets d’affaires.

La proposition de directive définit les secrets d’affaires comme toutes informations secrètes, à savoir les informations qui :
    (i) ne sont généralement pas connues, ou aisément accessibles, de personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question ;
    (ii) ont une valeur commerciale ; et
    (iii) ont fait l'objet, de la part de leurs détenteurs légitimes (personnes qui en ont licitement le contrôle), de dispositions destinées à les garder secrètes, ces dispositions devant être “raisonnables”, compte tenu des circonstances.

Cette définition du secret d’affaires pose cependant le problème de la qualification, et donc de l’identification, des informations pouvant bénéficier de ce régime de protection. En effet, comment définir de manière objective ce qui constitue un secret d’affaires ? A titre d’exemples de secrets d’affaires, on pourra citer la composition d’un produit alimentaire ou d’une boisson, la méthode de fabrication d’un produit industriel ou les codes source d’un logiciel. Ces éléments, composant le patrimoine de l’entreprise, sont essentiels notamment pour sa valorisation financière.

En pratique, il reviendra donc aux entreprises de mettre en place une politique de gestion de l’information formelle dont l’objet sera de classifier les informations, et notamment, d’identifier les informations sensibles et secrètes.

Par ailleurs, la définition de la directive, dans sa version actuelle, ne paraît pas assez fine pour couvrir toutes les catégories d’informations que auraient vocation à être protégées au titre des secrets d’affaires. Il nous semble ainsi trop réducteur que de limiter les informations susceptibles de relever des secrets d’affaires aux informations ayant une valeur commerciale. En effet, certaines informations de nature économique, industrielle, technique, ou scientifique peuvent ne pas avoir de valeur commerciale directe ou immédiate, notamment lorsque ces informations relèvent de données de R&D technique ou scientifique. Il conviendra donc de suivre l’évolution de cette définition lors des discussions qui auront lieu devant le Parlement et le Conseil européens.

La proposition de directive dispose ensuite que l’acquisition illicite de secrets d’affaires consiste en l'obtention, l'utilisation ou la divulgation illicite du secret, c’est-à-dire sans le consentement du détenteur du secret.

L’infraction est constituée par des moyens d’accès non autorisés, de vol, d’acte de corruption, d’abus de confiance ou du non-respect d'un accord de confidentialité, d'une obligation contractuelle et de tout autre comportement contraire aux usages commerciaux honnêtes.

L’utilisation d’un secret obtenu de façon illicite ou la mise sur le marché de produits bénéficiant d'un secret obtenu de façon illicite rentrent également dans la liste des infractions.


2. Les voies de recours et garanties offertes aux entreprises

La Commission souhaite que les Etats membres offrent aux entreprises détentrices de secrets d'affaires des recours judiciaires permettant d'empêcher l’acquisition ou l’utilisation illicite d'un secret ou d’obtenir réparation en cas d’atteinte à leur patrimoine économique.

L’action judiciaire devra pouvoir être engagée dans un délai de 2 ans au plus, à compter de la date à laquelle le détenteur du secret aura pris connaissance du dernier acte d'acquisition illicite.

Les autorités judiciaires devront pouvoir prononcer une ou plusieurs mesures à titre provisoire et conservatoire à l'encontre du contrevenant présumé, telles la cessation provisoire de l'utilisation du secret d'affaires, l'interdiction de mettre sur le marché des produits en infraction et la saisie des produits présumés en infraction.

En outre, et en toute logique, pourront également être ordonnées, toutes mesures visant à préserver la confidentialité des secrets faisant l'objet de litiges durant la procédure judiciaire. Ainsi, toute personne prenant connaissance, au cours d’un procès, d’un secret d’affaires, aura l’interdiction de le divulguer. De même, à la demande motivée d'une partie, les juridictions devront prendre des mesures pour protéger le caractère confidentiel de tout secret d’affaires, telles la restriction de l'accès aux documents et aux audiences ou la mise à disposition d’une version non confidentielle du document litigieux.

Si de nouvelles règles relatives aux recours judiciaires ouverts aux sociétés victimes d’appropriation illicite de secrets d’affaires viendront effectivement compléter les règles actuelles, il conviendra néanmoins de qualifier au préalable les informations divulguées, le caractère illicite de l’appropriation, et identifier la personne physique ou morale à l’origine de cette appropriation (salarié de l’entreprise, ancien salarié, stagiaire, partenaire commercial, prospect, etc.). La constitution de la preuve de l’infraction par l’entreprise victime sera d’autant plus difficile à établir si celle-ci n’a pas de politique de gestion de ses secrets d’affaires.


3. Les sanctions encourues en cas d’acquisition illicite de secrets d’affaires

En cas d’acquisition illicite de secrets d’affaires par une entreprise, la proposition de directive prévoit que les autorités judiciaires puissent prononcer à son encontre :
    - des mesures d’interdiction provisoire ou définitive (telle l’interdiction d’utiliser un secret d’affaire ou de mettre sur le marché des produits en infraction),
    - des mesures de saisie ou de destruction des produits en infraction ainsi que des mesures de publicité des décisions judiciaires. 

En outre, la société propriétaire des informations pourra obtenir réparation pécuniaire par l’obtention de dommages et intérêts dont le montant serait calculé en prenant en compte notamment le manque à gagner subi, les bénéfices injustement réalisés par le contrevenant et le préjudice moral causé au propriétaire légitime des informations.


Ce texte doit encore faire l’objet de discussions par le Parlement et le Conseil européen, avant d’être adopté en principe d’ici 2015. La version définitive de la directive, ne donnera aux Etats membres que les grandes lignes à respecter en matière de protection des secrets d’affaires. La directive devra ensuite être transposée dans les différents droits nationaux dans un délai de 24 mois.

Cette proposition de directive a un précédent en France avec la proposition de loi relative à la protection des informations économiques, présentée par Bernard Carayon en novembre 2011. Cette proposition de loi donnait une définition plus large de la notion de secrets d’affaires (à savoir, les données économiques, commerciales, industrielles, financières, scientifiques ou stratégiques de l’entreprise) et créait le délit de violation du secret des affaires. Ce texte punissait la divulgation d'informations de nature commerciale, industrielle, financière, scientifique ou technique, compromettant gravement les intérêts d'une entreprise, de 3 ans d'emprisonnement et 375.000€ d’amende. Il proposait également d’identifier les secrets d’affaires en apposant sur ces informations un cachet portant la mention “secret”. Critiquée au moment de son examen, cette proposition de loi a depuis été suspendue avec l’élection de François Hollande et la nouvelle législature en mai 2012.

L’adoption de la directive européenne offrirait donc à la France une nouvelle chance de construire une protection juridique efficace autour des informations et des connaissances sensibles de l’entreprise.


                                                      * * * * * * * * * * *

(1) Communiqué de presse de la Commission européenne du 28 novembre 2013 : “La Commission propose des règles pour la protection du secret d’affaires".

(2) Proposition de loi de M. Bernard Carayon visant à sanctionner la violation du secret des affaires n°3985 déposée le 22 novembre 2011, modifiée et adoptée en 1ère lecture par l’Assemblée nationale le 23 janvier 2012.

(3) Proposition de Directive du Parlement européen et du Conseil sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites (2013/0402(COD).

(4) Il convient cependant de noter que les règlements CEE n°4087/88 du 30 novembre 1988 et CE n°2790/1999 du 22 décembre 1999 mentionnent que pour être retenues comme secret d’affaires, les informations doivent répondre à trois critères cumulatifs, c’est-à-dire être : (i) secrètes ; (ii) substantielles ; et (iii) identifiées. Voir également à ce sujet Le droit de l’intelligence économique par Olivier de Maison Rouge, éd. Lamy 2012.

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2014

Cybercriminalité : la réponse pénale de l'Union européenne aux attaques contre les systèmes d'information

Partant du constat que les cyberattaques contre les Etats et les entreprises se multiplient et qu'à grande échelle ces d'attaques sont susceptibles de provoquer "des dommages économiques notables, tant du fait de l'interruption des systèmes d'information et des communications qu'en raison de la perte ou l'altération d'informations confidentielles importantes d'un point de vue commercial ou d'autres données", le Parlement européen vient d'adopter, en première lecture, une proposition de directive relative aux attaques visant les systèmes d’information. (1)

Ce texte, adopté à la majorité absolue (541 voix, 91 contre et 9 abstentions), définit les infractions punissables et les sanctions en cas d'attaques contre les systèmes d'information. En outre, il vise à faciliter la prévention de ces infractions et à améliorer la coopération entre les autorités compétentes des Etats membres. Voici ce qu'il faut retenir.


1. Les actes de cybercriminalité sanctionnés

La proposition de directive exige que les États membres érigent en infraction pénale punissable les cinq types d'agissements suivants :

    - l'accès illégal à tout ou partie des systèmes d'information, à savoir l'accès commis en violation d'une mesure de sécurité ;

    - l'atteinte illégale à l'intégrité d'un système d'information, à savoir le fait de provoquer une perturbation grave ou une interruption du fonctionnement d'un système, en introduisant, effaçant, altérant, ou rendant inaccessibles des données informatiques ;

    - l'atteinte illégale à l'intégrité des données, à savoir le fait d'endommager, de détériorer, de supprimer ou de rendre inaccessibles des données informatiques d'un système ;

    - l'interception illégale (par des moyens techniques de transmissions non publiques) de données informatiques à destination, en provenance ou à l'intérieur d'un système d'information ;

    - enfin la mise à disposition (production, vente, importation, diffusion) d'outils (logiciels ou codes d'accès) utilisés dans l'intention de commettre l’une des infractions visées ci-dessus.

Ces actes doivent être commis de manière intentionnelle et sans droit, à savoir sans l'autorisation du propriétaire du système. Le texte exclut de la liste des infractions les "cas mineurs" d'attaques.  Il appartiendra à chaque Etat membre de définir ces "cas mineurs" et le cas échéant, de sanctionner ces attaques, selon leur droit national.

Le droit français sanctionne déjà une partie de ces agissements, à savoir les "atteintes aux systèmes de traitement automatisé de données" (STAD)(articles 323-1 et s. Code pénal).


2. Les personnes punissables de cyberattaques

Les auteurs des infractions mentionnées ci-dessus seront sanctionnés. Il en va de même pour la personne qui aura incité l'auteur à commettre l'une de ces infractions ou qui sera son complice. En outre, sera également punie la personne qui aura tenté de commettre une atteinte illégale à l'intégrité d'un système ou des données.

Par ailleurs, la proposition de directive prévoit que les personnes morales pourront être tenues responsables des infractions, lorsque celles-ci sont commises pour leur compte (par exemple “pirate” informatique mandaté pour attaquer la concurrence). Le droit français sanctionne également les personnes morales en cas d'atteintes à un STAD.

Si la proposition de directive sanctionne les entreprises, ce texte ne prévoit aucune sanction en cas de cyberattaque orchestrée par un Etat.


3. L'adoption de sanctions pénales : des peines plancher d'emprisonnement

La proposition de directive précise que les sanctions doivent être effectives, proportionnées et dissuasives. Ainsi, le texte exige que les Etats membres punissent les cyberdéliquants de peines d'emprisonnement, dont la durée minimum est fixée par le Parlement et le Conseil. Ces peines varient selon les infractions commises, allant de 2 à 5 ans.

Ainsi, la proposition de directive prévoit notamment qu'une personne coupable d'avoir utilisé un réseau d'ordinateurs zombies ("botnet") doit être punie d'un minimum de 3 ans d'emprisonnement. Quant aux pirates informatiques qui attaquent le système d'information d'une infrastructure critique (ex: centrales nucléaires, réseaux de transport et gouvernementaux), qui agissent dans le cadre d'une organisation criminelle ou qui causent de graves préjudices, ils devront être punis d'un minimum de 5 ans d'emprisonnement. La notion de "grave préjudice" n'est cependant pas définie dans le texte.

Le texte prévoit également des sanctions spécifiques à l'encontre des personnes morales, à savoir des amendes et des peines complémentaires telles que la fermeture temporaire ou définitive d'établissements ayant servi à commettre l'infraction.

En France, les infractions existantes en matière d'atteintes à un STAD sont punies de peines d'emprisonnement - de 2 à 7 ans, et d'amendes - de 30.000€ à 100.000€. Toutefois, contrairement aux dispositions de la proposition de directive, ces sanctions sont des peines maximales. Le recours aux peines plancher est peu utilisé dans notre système pénal ; traditionnellement, la loi pénale française fixe pour chaque infraction la peine maximale encourue, que le juge ne peut dépasser mais dont il est libre de faire une application partielle en fonction des faits de l'espèce et de la personnalité du condamné. Aussi, lorsque la directive sera adoptée, il appartiendra à la France de renforcer ses sanctions.


4. La poursuite des infractions et la coopération entre les Etats membres

La compétence des Etats membres  -  La proposition de directive prévoit que les Etats membres sont compétents lorsque l'une des infractions, mentionnées ci-dessus, a été commise, soit en tout ou en partie sur leur territoire, soit par l’un de leurs ressortissants, sous réserve que l'acte frauduleux constitue une infraction dans le pays où il a été commis.
En outre, lorsque l'acte cybercriminel a été commis en tout ou en partie sur son territoire, un État membre veille à se déclarer compétent lorsque : a) l'auteur de l'infraction a commis celle-ci alors qu'il était physiquement présent sur son territoire, que l'infraction vise un système d'information situé sur son territoire ou non ; ou b) l'infraction vise un système d'information situé sur son territoire, que l'auteur de l'infraction soit physiquement présent sur son territoire ou non lors de la commission de l'infraction.

Enfin, le texte prévoit qu'un Etat membre peut établir sa compétence, après en avoir informé la Commission européenne, lorsqu'une infraction a été commise en dehors de son territoire mais que, soit l'auteur de l'infraction réside habituellement sur son territoire, soit l'infraction a été commise pour le compte d'une personne morale établie sur son territoire.

La proposition de directive offre donc aux Etats membres une compétence juridictionnelle très étendue en matière de cyberattaques. Cette extension est telle que, selon les cas, plusieurs Etats pourraient se déclarer compétents à l'égard d'une même infraction. Or, le texte ne prévoit pas de solution particulière dans l'hypothèse où plusieurs Etats revendiqueraient une telle compétence.

Une coopération renforcée  -  Afin de lutter efficacement contre les attaques de cyberdéliquants, la proposition de directive souhaite mettre en place un système d'échange d'informations relatives aux infractions entre les Etats.

Pour ce faire, le texte exige que les États membres mettent en place un système de suivi des infractions (nombre d'infractions et nombre de personnes poursuivies et condamnées enregistrées), puis transmettent à la Commission les statistiques recueillies. Ces statistiques seront ensuite communiquées aux agences et organes spécialisés compétents de l'Union.

Par ailleurs, la proposition de directive créerait un réseau d'information et imposerait ainsi aux Etats membres de disposer de points de contact nationaux opérationnels chargés de relayer les informations pertinentes. Ces points de contact devraient être disponibles 24h/24 et 7j/7 et capables de répondre, dans un délai de 8 heures, à une demande urgente d'un autre Etat membre. Le texte ne donne pas d'information quant à l'organisation et la composition des équipes de ces points de contacts.


Cette proposition de directive doit désormais être votée par le Conseil. Une fois adoptée, les 28 Etats membres auront deux ans pour transposer la directive dans leurs droits nationaux.

Ce texte, qui vise à mettre en oeuvre une approche cohérente et globale de lutte contre la cybercriminalité, se situe dans le prolongement de la publication d'une stratégie commune de cybersécurité ainsi d’une proposition de directive relative à la sécurité des réseaux et de l’information. (2)

Cependant, face aux cybermenaces, les Etats membres n'attendent pas que la politique commune de l'Union soit définitivement adoptée pour agir aux niveaux nationaux et commencer à s’organiser. C'est ainsi qu'en avril 2013, la France a publié un nouveau Livre blanc sur la Défense et la Sécurité nationale. Ce livre blanc définit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques. (3) De même, le gouvernement britannique vient d'entériner un accord visant à lutter contre les cybermenaces, avec neuf sociétés du secteur des télécommunications, de la défense, de l’aéronautique et des technologies de l’information. Cet accord a pour objectif d'établir un environnement collaboratif propice au partage du savoir et de l’expertise en matière de cyberdéfense. Il comporte plusieurs volets, tels que la protection des infrastructures, la surveillance préventive des systèmes ennemis et la sécurisation des réseaux au sein des agences gouvernementales. (4)


                                                     * * * * * * * * * *

(1) Résolution législative du Parlement européen du 4 juillet 2013 sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision-cadre 2005/222/JAI du Conseil.

(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).

(3) Voir notre article "Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale", publié le 21 mai 2013 sur le blog du Cabinet (http://dwavocat.blogspot.fr/).

(4) Voir un article "Cyberdéfense : le Royaume-Uni consolide son arsenal", publié le 5 juillet 2013, sur http://www.itespresso.fr/.


Betty SFEZ - Avocat

Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com/
Juillet 2013

Une nouvelle norme AFNOR pour assainir le domaine des avis de consommateurs sur internet

On connaît l’importance de l’influence des avis de consommateurs sur la décision d’achat en ligne, que ce soit pour les achats de biens ou de prestations (choix d’un hôtel ou d’un restaurant) et donc sur l’e-réputation des produits et commerces référencés.
Selon une enquête réalisée par le cabinet Easypanel en mars 2013, citée par la société Testntrust, 82% des e-consommateurs consulteraient “toujours” ou “parfois” les avis pour les guider dans leur décision d’achat. (1) Par ailleurs, selon LaFourchette.com, site comparateur de restaurants, l’augmentation d’un point de la note moyenne d’un restaurant se traduirait par une augmentation de 6% du nombre de réservations mensuelles. (2) A contrario, la baisse de cette note entraîne une baisse du chiffre d’affaires du commerce en cause.
Malheureusement nombre de sites affichent de faux avis de consommateurs : personnes n’ayant jamais acheté le produit ou séjourné à l’hôtel en référence, personnes rédigeant des avis contre rémunération, ou sites achetant de faux avis à des agences “spécialisées”.

Afin d’assainir ce domaine, une nouvelle norme “Avis en ligne des consommateurs” vient d’être publiée par l’AFNOR le 4 juillet. Cette norme, qui concerne tous types de produits et services et tous types de sites (sites comparateurs ou sites de e-commerce), a pour objet de maintenir la confiance des consommateurs sur ces avis en prônant plus de transparence. (3)


1. Les trois étapes du traitement des avis de consommateurs sur internet

La norme traite les avis en trois étapes, à savoir : l’étape de la collecte de l’avis, sa modération par le site web et enfin la restitution ou publication de l’avis sur le site.

- La collecte de l’avis
La collecte de l’avis du consommateur doit être conforme aux principaux points suivants : l’auteur s’engage à avoir effectivement acheté le produit ou utilisé le service et cette expérience doit pouvoir être vérifiée ; l’auteur de l’avis doit être identifié (l’avis peut cependant être anonymisé sur le site) et pouvoir être contacté (adresse email et téléphone par exemple) ; le site a interdiction d’acheter des avis.

- La modération par le site
Les avis doivent être modérés a priori, de manière automatique ou humaine. Le modérateur doit maîtriser la langue dans laquelle l’avis a été rédigé. Les règles de modération des avis sont décrites aux conditions de vente (CGV) ou d’utilisation (CGU) du site. Le délai de modération doit être rapide et les motifs de rejet d’un avis doivent être indiqués. Une fois en ligne, l’avis ne peut être modifié, mais il peut être supprimé à la demande de son auteur.

- La restitution (publication) de l’avis
Les avis doivent être publiés par ordre chronologique (plus récent au plus ancien), d’autres types de tri étant possibles. Les méthodes de calcul des notes globales et les délais de prise en compte des notes doivent être claires. Enfin, le délai de restitution (publication) doit être rapide et affiché.


2. Les conditions de mise en conformité par les sites de e-commerce

Pour rappel, la norme n’est pas une loi mais un texte consensuel élaboré par un panel de professionnels et qui reflète l’état de l’art. Les normes sont en principe revues tous les cinq ans environ, et sont donc évolutives.

La norme sur les avis en ligne des consommateurs n’est pas d’application obligatoire. Les professionnels qui le souhaitent peuvent soit décider de l’appliquer volontairement, soit obtenir une certification.

- L’auto-déclaration
Les sites comparateurs et de e-commerce collectant des avis de consommateurs peuvent décider de se mettre en conformité avec la norme NF Z74-501 par une auto-déclaration de conformité. Cependant, l’auto-déclaration de conformité à la norme engage la responsabilité de l’exploitant du site en cas de contrôle de la DGCCRF par exemple.

L’utilisation abusive d’une norme AFNOR est sanctionnée par le code de la consommation au titre des pratiques commerciales trompeuses. (4)

- La certification
La certification a pour objet de faire contrôler et attester par un organisme certificateur tiers la conformité des pratiques à la norme en référence.


Les critères figurant dans cette norme sur les avis en ligne de consommateurs peuvent paraître soit relever du bon sens (interdiction d’acheter de faux avis) soit poser des règles trop contraignantes (règles de modération). Cependant, la norme a le mérite de créer un référentiel de confiance pour assainir le domaine des avis, qui, comme nous l’avons rappelé plus haut, est un élément clé dans la décision d’achat des consommateurs. La question sera de voir comment cette norme sera accueillie par les sites comparateurs, et si elle sera par la suite étendue à l’international.

Enfin, bien que cette norme soit générique en ce qu’elle a vocation à s’appliquer à tous types de biens et de services et à tous types de sites recueillant des avis de consommateurs, elle ne prend a priori pas en compte les avis publiés sur les réseaux sociaux (Facebook, Twitter), qui restent à prendre avec “modération”, ni les “likes” (j’aime) et autres “followers”, mais il s’agit là d’un autre sujet.

                                                        * * * * * * * * * *

(1) Communiqué de la société Testntrust du 17 avril 2013

(2) Cité dans l’article des Echos “Le e-commerce chasse les faux avis de consommateurs”, publié le 2 juillet 2013

(3) Norme AFNOR Avis en ligne des consommateurs NF Z74-501

(4) Voir art. L.121-1 et s. et art. L.213.1 et s. du code de la consommation. Les peines maximum encourues s’élèvent à 37 500€ pour l’exploitant du site personne physique et 187 500€ pour les personnes morales.


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013

Accès frauduleux à un STAD : de la nécessité de sécuriser le système d'information de l’entreprise

1. Le contexte

La sécurité informatique doit être l'une des préoccupations majeures des entreprises. Et pour cause : la perte ou le vol d'informations ou l'indisponibilité du système d'information peuvent avoir de lourdes conséquences, telles l’atteinte à l'e-réputation de l'entreprise, la captation frauduleuse de clientèle, la perte de marchés et de compétitivité, la divulgation de secrets d’affaires et de savoir-faire.

Face à ces menaces, le système juridique français dispose d'un arsenal répressif issu, entre autres, de la loi Godfrain du 5 janvier 1988 (modifiée par la loi du 27 mars 2012). (1) Sont ainsi sanctionnées pénalement les atteintes aux systèmes de traitement automatisé de données (STAD), aux bases de données à caractère personnel, et au secret des correspondances, sans oublier l'usurpation d'identité numérique, l'escroquerie, la contrefaçon, etc. Mais la répression judiciaire n'est pas l'unique solution en réaction à une intrusion non autorisée. Il appartient aux entreprises d’être proactives et de définir et mettre en oeuvre une politique de sécurité de leurs réseaux et systèmes d'information, faute de quoi, celles-ci pourraient être considérées comme ayant commis une grave négligence.

Une décision récente rendue par le Tribunal de grande instance de Créteil illustre parfaitement ces obligations. Dans cette affaire, une personne avait accédé et récupéré des documents internes via l'extranet de l'Agence nationale de sécurité de l'alimentation, de l'environnement et du travail (l'Anses). L'auteur des faits a cependant été relaxé au motif que l'Anses n'avait pas sécurisé son système d'information. (2)


2. Le jugement du TGI de Créteil du 23 avril 2013

Dans cette affaire, la fraude avait été découverte par un salarié de l’Anses qui, en naviguant sur internet, avait retrouvé des documents internes à l'Agence et non divulgués au public. L'Anses a porté plainte auprès des services de police pour intrusion dans son système d'information et vol de données.

L’Anses étant considérée comme un opérateur d'importance vitale (ou OIV), l'enquête a été diligentée par la Direction centrale du renseignement intérieur (DCRI). (3) Les investigations ont permis de déceler une erreur de paramétrage du serveur hébergeant l'extranet de l'Agence, de découvrir depuis quelle adresse IP les documents de l'agence avaient été téléchargés et de remonter jusqu'à l'auteur de l'intrusion.

L'auteur des faits a ensuite été cité à comparaître pour d'une part, avoir accédé et s'être maintenu frauduleusement dans le STAD de l'Anses et d'autre part, avoir soustrait des documents sur l'extranet de l'Agence, via téléchargement. Pour mémoire, ces infractions sont punies d'un maximum de 5 ans d'emprisonnement et 75.000€ d'amende. (4)

Si le prévenu a reconnu avoir récupéré les documents de l'Anses via son VPN, il a néanmoins indiqué être arrivé par erreur au coeur de l'extranet de l'Anses et avoir eu librement accès aux documents litigieux, après une recherche complexe sur le moteur de recherche Google. En outre, le prévenu a précisé ne pas avoir récupéré de documents via la page d'accueil du site de l'Agence, dont l'accès était sécurisé (identifiant et mot de passe).

Le Tribunal a relaxé le prévenu des deux chefs d'accusation, pour les motifs exposés ci-après.

    2.1 Pas d'atteinte à un STAD non sécurisé
Le Tribunal a rappelé que le délit d'accès frauduleux à un STAD était constitué dès lors qu’une personne non habilitée pénétrait dans un système de traitement automatisé de données en sachant qu’elle n’y était pas autorisée.

Or, en l’espèce, une défaillance technique existait dans le système de l'Anses. Le prévenu, qui n’était pas ingénieur informatique et n’avait pas utilisé de moyens très sophistiqués pour s’introduire dans le système de l’Anses, avait pu récupérer les documents sans aucun procédé frauduleux.

Aussi, le Tribunal a jugé que "même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par (le prévenu) aux seules personnes autorisées".

Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que, si l’accès à certaines données du site de l'Agence nécessitaient un code d’accès et un mot de passe, les données qu’il avait récupérées étaient en libre accès.

    2.2. Pas de vol de données sans soustraction matérielle
Le vol consiste en la soustraction frauduleuse de la chose d’autrui (art. 311-1 du Code pénal). Or, dans le cas présent, le prévenu avait simplement téléchargé et enregistré sur des supports des fichiers informatiques de l’Anses, cette dernière n’ayant jamais été dépossédée de ces données, puisque les documents demeuraient disponibles et accessibles à tous sur le serveur.

Aussi, le Tribunal a jugé qu'en l’absence de soustraction matérielle des documents appartenant à l’Anses, et donc en l'absence d’appréhension d’une chose, le délit de vol n'était pas constitué.

Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que les documents litigieux étaient librement téléchargeables, puisque non protégés par un quelconque système. Il n’y a pas eu de la part du prévenu une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc pas d’élément intentionnel de l’infraction.


3. En conclusion : l’obligation de sécurisation du STAD

Ce jugement est dans la droite ligne de la jurisprudence relative aux accès frauduleux aux systèmes informatiques et permet de rappeler les obligations incombant aux entreprises en matière de sécurisation de leurs systèmes. (5)

Ainsi, pour que l’infraction soit constituée, les éléments suivants doivent être démontrés : intrusion  non autorisée dans le STAD (via phishing, hacking ou toute autre méthode permettant de s’introduire frauduleusement dans le système) et vol de données par soustraction matérielle. Ceci implique donc que le STAD doit être sécurisé.

La négligence en matière de sécurité est d'ailleurs expressément sanctionnée par la loi. Le Code pénal punit de 5 ans d'emprisonnement et 300.000€ d'amende, toutes entreprises qui traiteraient des données personnelles concernant leurs clients, par exemple, sans mettre en place des mesures de sécurité permettant d'en assurer l'intégrité et la confidentialité.

En outre, la tendance vers un renforcement de cette obligation de sécurité pesant sur les entreprises ressort de plusieurs projets et études, telle que la proposition de règlement européen  du 25 janvier 2012 relatif au traitement des données personnelles et les recommandations du livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013. (6)

Il est donc recommandé aux entreprises de s’assurer, via des audits juridique et de sécurité, de la protection de leurs réseaux et systèmes d'information et de la conformité de leur politique de sécurité à la loi. A défaut, il conviendra de prendre toutes mesures nécessaires de mise en conformité par la mise en oeuvre de procédés de sécurisation logique et physique de leurs systèmes d’information, la sensibilisation et la formation des salariés et utilisateurs via la publication de bonnes pratiques ou de codes de conduite en matière de sécurité et des audits réguliers.
                                                            * * * * * * * * * * *

(1) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité.

(2) TGI de Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. A noter que le Ministère public a interjeté appel de ce jugement

(3) Les opérateurs d'importance vitale - OIV - sont des organismes publics ou privés de production et de distribution de biens et de services indispensables à la satisfaction des besoins essentiels de la population, à l’exercice de l’autorité de l’État, au fonctionnement de l’économie, au maintien du potentiel de défense et à la sécurité de la nation. Un organisme est considéré comme OIV si l’arrêt ou la destruction de son activité peut avoir de graves incidences sur la santé, la sécurité, le bien-être économique des citoyens ou le fonctionnement de l’Etat. On trouve des OIV dans de nombreux secteurs de l'économie : banque et finance, transports et distribution, énergie, services de base, santé, approvisionnement alimentaire et communications, ainsi que certains services administratifs de base. Voir précisions aux articles R.1332-1 et suivants du Code de la défense

(4) Les atteintes aux systèmes de traitement automatisé de données (STAD) sont sanctionnées par les articles 323-1 et s. du Code pénal. Ces articles, issus de la loi Godfrain, ont été modifiés par la loi du 27 mars 2012 relative à la protection de l'identité. Cette loi a ajouté des pénalités majorées en cas d’atteinte à un STAD de l’Etat ; le vol est défini et sanctionné par les articles 311-1 et s. du Code pénal.

(5) Voir par exemple : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C.

(6) Voir : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013

Article publié sur le Journal du Net le 11/06/2013

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2013

Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale

Les cyberattaques contre les Etats, leurs institutions, leurs moyens de communications, les banques et les entreprises nationales sont régulièrement au cœur de l’actualité des TIC. Par exemple, dernièrement les médias ont rapporté deux types d’attaques : la première, en février 2013, avait ciblé la presse américaine en piratant les systèmes informatiques du New York Times, du Wall Street Journal et de la chaîne d'informations CNN ; la seconde, en mars 2013, avait ciblé les réseaux informatiques des chaînes de télévision et des banques de la Corée du Sud. Les Etats victimes ont publiquement désigné des gouvernements étrangers comme étant les commanditaires de ces attaques, si bien que l'on serait tenté de qualifier ces conflits de "cyberguerre".(1)

Face à la prolifération de ce type d’attaques, les institutions européennes (2) et les pays, dont la France, développent des politiques de sécurité des réseaux et des systèmes d’information. C'est dans ce contexte que le nouveau Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013, fait de la lutte contre la cybermenace une priorité nationale.(3) Ce livre établit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques.


1. L'existence d'une cybermenace pesant sur le territoire national

Des attaques croissantes dans le cyberespace  -  Le livre blanc fait état de l’accroissement du nombre d’attaques informatiques contre les systèmes d'information des entreprises nationales et de l'Etat, de leur diversification et de leur sophistication.

Ce texte qualifie la cybermenace de "menace majeure" pour la sécurité de la Nation. Ainsi, parmi les six menaces identifiées dans ce livre comme affectant gravement la sécurité nationale, les cyberattaques viennent en 3e position après les agressions par un autre Etat contre le territoire national et les attaques terroristes.

En outre, le livre blanc précise qu'une attaque informatique de grande envergure pourrait constituer un véritable "acte de guerre", si les intérêts stratégiques nationaux étaient menacés.

Enfin, le livre blanc qualifie le cyberespace de "milieu opérationnel". Le cyberespace constitue ainsi le 5e milieu opérationnel après la terre, la mer, l'air et l'espace. Ce texte précise également que le cyberespace constitue désormais "un champ de confrontation à part entière", et donc une zone de conflit potentiel sur laquelle doivent pouvoir être déployées des forces d'intervention.

Des risques à ne pas négliger  -  Bien que les cyberattaques n'aient jusqu'à présent causé la mort d'aucun homme, elles font courir des risques considérables pour les entreprises nationales et l'Etat.

En effet, le vol d'informations stratégiques et sensibles (informations industrielles, économiques, financières ou militaires) - ou la captation de savoir-faire par le biais d'intrusions informatiques, peut avoir un impact direct sur la compétitivité économique de la France.

En outre, les attaques visant la destruction ou la prise de contrôle à distance de services essentiels au fonctionnement du pays ou à sa défense, à savoir des actions malveillantes sur les systèmes d'informations et de communication d'opérateurs d'importance vitale (OIV) (4) ou sur les infrastructures et équipements militaires, pourraient engendrer la paralysie de pans entiers de l'activité du pays.

L'Estonie a ainsi été victime d'une vague d'attaques informatiques en avril 2007. Ces attaques, visant les sites web gouvernementaux et publics, ceux des opérateurs de téléphonie mobile, des banques commerciales et des organes d'information, ont perturbé durant plus d'un mois la vie courante du pays, en privant les Estoniens de l'accès à certains services en ligne essentiels.(5)

L'importance de la cybermenace est accentuée par la difficulté à établir l'origine géographique de l'attaque et donc à identifier les pirates. Or, la France doit être en mesure de se protéger contre de telles attaques. C'est pour cette raison que le gouvernement français a décidé d'inscrire la cyberdéfense parmi les priorités stratégiques nationales.


2. L'élaboration d'une stratégie de cyberdéfense nationale

Afin d'assurer la "continuité des fonctions essentielles de la Nation", le livre blanc préconise de renforcer le niveau de sécurité des systèmes d'information (SSI) des OIV et de l'Etat. Ce renforcement de la SSI passera par deux types d'actions : d'une part, l'élaboration et la mise en oeuvre de mesures législatives et réglementaires en matière de sécurité et d'autre part, le déploiement de forces armées destinées à la cyberdéfense.

L'adoption nécessaire de dispositions légales et de bonnes pratiques  -  Le livre blanc prévoit l'adoption prochaine de mesures législatives et réglementaires visant à permettre aux OIV et à l'Etat, de détecter et traiter les incidents informatiques touchant leurs systèmes d'information.

Aussi, seront imposés le respect de standards et référentiels de sécurité ainsi que l'obligation de déclarer les incidents. Cette dernière mesure, déjà prévue dans le rapport Bockel sur la cyberdéfense de juillet 2012, et le projet de directive européenne sur la sécurité de réseaux et de l'information, de février 2013, impose aux entreprises françaises de notifier à l'ANSSI tous incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent.

Le livre blanc prévoit par ailleurs que des audits de sécurité des systèmes d'information seront réalisés par l'Etat, qui, le cas échéant, pourra imposer des mesures de mise en conformité. Le texte préconise également d'inclure dans "les marchés publics comprenant des éléments numériques des clauses drastiques concernant la sécurité".

Enfin, le livre blanc précise que des budgets annuels seront alloués à des entreprises françaises pour la conception et le développement de produits de sécurité. Ce texte souligne en effet l'importance pour la France de produire "en toute autonomie" des dispositifs de sécurité et de maintenir une "industrie nationale performante".

Le renforcement des capacités militaires de cyberdéfense  -  Ce renforcement des moyens humains militaires passe par la consolidation des activités de renseignement, la création de forces nouvelles et une formation accrue à la sécurité numérique.

- Développement des capacités de renseignement : le livre blanc affirme la nécessité de développer l'activité de renseignement et les capacités techniques y afférentes, "afin d'identifier l'origine des attaques, évaluer les capacités offensives des adversaires potentiels et de pouvoir ainsi riposter de manière adéquate".

- Mise en place d'un vivier de réservistes : le livre blanc précise que deux catégories de réserves seront créées : d'une part, une réserve opérationnelle, rattachée aux services de renseignement et mobilisable en cas d'attaque majeure, et d'autre part, une réserve citoyenne cyberdéfense, mobilisant notamment des jeunes techniciens et informaticiens intéressés par les enjeux de sécurité numérique.

- Formation du personnel : enfin, le livre blanc insiste sur la nécessité de sensibiliser les administrations et salariés d'OIV aux règles élémentaires de sécurité ou "d'hygiène cybernétique", d’accroître le nombre d’experts français en sécurité informatique et de veiller à ce que ce domaine soit intégré aux enseignements supérieurs en informatique.


La cybersécurité est devenue un défi majeur tant pour les entreprises que pour les Etats. Le livre blanc insiste sur la nécessité de développer les capacités de la France à détecter les attaques, à en déterminer l'origine et, lorsque les intérêts nationaux sont menacés, à riposter.

Auteur du rapport de juillet 2012 sur la cyberdéfense, le sénateur Bockel a déclaré être satisfait du fait que les préconisations suivantes du rapport aient été reprises dans le livre blanc : faire de la cyberdéfense et de la protection des systèmes d'information une priorité nationale (priorité n°1) ; renforcer les effectifs et les moyens dédiés au sein des armées (priorité n°2) ; rendre obligatoire pour les entreprises et les OIV une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes d'information (priorité n°5) ; et soutenir notamment des PME spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique (priorité n°7).

L’élément positif à retenir est la détermination d’une politique de cybersécurité à l’échelon national. Cette politique devra cependant s’inscrire en amont, dans un plan pan-européen de cybersécurité. En aval, il est désormais capital de sensibiliser les entreprises et administrations, notamment mais pas uniquement les OIV, à la protection physique et logique de leurs infrastructures technologiques. Ceci passera par une approche pédagogique auprès des personnels des entreprises et des administrations et par le déploiement et la mise en oeuvre d’outils et de pratiques de cybersécurité.

                                                   * * * * * * * * * * *

(1) Voir les articles : "Cyber-attaques en série contre la presse américaine", publié le 1er février 2013 sur http://www.latribune.fr/ et "La cyberattaque, nouvelle arme de guerre des Etats ?", publié le 22 mars 2013 sur http://www.franceinfo.fr/.

(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).

(3) Le livre blanc est disponible en ligne, sur le site du Ministère de la défense à l’URL: http://www.defense.gouv.fr/actualites/articles/livre-blanc-2013

(4) Le livre blanc définit les secteurs d'activité d'importance vitale comme suit (p.105) : activités civiles de l'Etat, activités judiciaires, activités militaires de l'Etat, alimentation, communications électroniques, audiovisuel et information, énergie, espace et recherche, finances, gestion de l'eau, industrie, santé et transports.

(5) voir le rapport de J-M Bockel publié le 18 juillet 2012, "La cyberdéfense : un enjeu mondial, une priorité nationale".


Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013