Vers une répression accrue des attaques informatiques
Par STÉPHANIE LE BRIS, avocat, Alain Bensoussan-avocats - Publié le | L'Usine Nouvelle n° 3241
©
Les récents projets de loi sanctionnant les pirates et auteurs d'atteintes aux données tendent à conforter la protection des patrimoines immatériels.
« Afin de mieux punir les atteintes portées aux sites internet et de renforcer les sanctions contre les attaques informatiques envers les institutions, je vais déposer une proposition de loi », déclarait la députée Muriel Marland-Militello après l'attaque du ministère de l'Économie, des Finances et de l'Industrie survenue en janvier dernier. Son texte envisage une extension des dispositions pénales relatives aux systèmes de traitement automatisé de données. La députée souhaite en effet élargir leur champ d'application à tous les services de communication au public en ligne et doubler les peines en cas d'attaque sur un site « public », dans la mesure où leurs auteurs entravent l'utilisation d'un service public par les usagers. Enfin, s'inspirant du modèle de la loi dite Hadopi 2, la députée prône l'institution d'une peine complémentaire : la suspension de l'abonnement internet.
Diverses contestations ont pointé l'inutilité à la fois juridique et technique de ce nouveau dispositif, un arsenal de mesures couvrant déjà les scénarios d'attaques informatiques. Par exemple, l'article 323-1 du code pénal dispose que tout accès non autorisé à un système de traitement automatisé de données est puni de deux ans de prison et 300 000 euros d'amende. Les articles 323-2 et 323-3 sanctionnent les faits d'entraver, fausser ou introduire frauduleusement des données pour corrompre un tel système (cinq ans de prison, 75 000 euros d'amende). De plus, le contrôle de la confidentialité et de la sécurité des traitements de données entre dans les missions de la Cnil au titre de la loi relative à l'informatique, aux fichiers et aux libertés. Enfin, concernant la suspension d'abonnement internet, la proposition prévoit une durée de deux ans (au lieu d'une année dans Hadopi 2), et élargit son champ d'application (tout acte de « piraterie » au lieu des délits de contrefaçon).
Des préjudices chiffrés en milliards
Des critiques techniques frappent aussi ce projet de loi : notamment, le fait que la plupart des attaques DDOS (« distributed denial of service », qui cherchent à saturer les serveurs pour rendre inaccessibles les données d'un site) sont réalisées par des pirates utilisant des ordinateurs « zombies » (utilisés à l'insu de leurs possesseurs). Toutefois, l'enjeu de ce débat est crucial, comme l'illustre le piratage du service PlayStation Network de Sony Computer Entertainment. Quelque 77 millions de données personnelles d'utilisateurs ont été dérobées. Ponemon Institute a estimé le coût des pertes de Sony à 2 milliards de dollars.
Ce nouveau projet de loi démontre la prise en compte de la protection des données constituant le patrimoine immatériel de l'entreprise. Le sujet a d'ailleurs fait l'objet d'autres projets législatifs (proposition de loi sur la protection des informations économiques du 13 janvier 2011 ou, encore, la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique, datée du 6 novembre 2009).
Protéger le patrimoine informationnel des personnes morales en renforçant l'efficacité de la lutte contre les attaques informatiques.
Auditer la sécurité des systèmes d'information, notamment les mesures mises en oeuvre pour assurer la protection des données sensibles.
