Droit de la sécurité des systèmes d'information, infractions pénales, accès frauduleux, recel de données, complicité de délit, article 323-3 du Code pénal, article 226-18 du Code pénal, article 321-1 du Code pénal, article 323-1 du Code pénal, Sécurité informatique, RGPD Règlement Général sur la Protection des Données, protection des données personnelles, article 413 du Code pénal, devoir de confidentialité, obligation de secret, infraction de chantage, STAD Système de Traitement Automatisé des Données, CNAM Conservatoire National des Arts et Métiers, vol de données, Défense nationale, SI Sécurité Intérieure, article 312-10 du Code pénal
Ensemble de 2 cas pratiques en droit de la sécurité des systèmes d'information :
- Après enquête, il s'avère qu'un salarié de DataSanté, M. Naïf, est à l'origine de la fuite de données. Il aurait été payé par un tiers (l'attaquant) pour transférer le contenu d'une clé USB sur le poste du responsable du projet, M. Imprudent. Pour cela, il a récupéré le double des clés dans le coffre à clé non surveillé, puis a profité de l'absence de M. Imprudent pour accéder à son bureau. M. Imprudent ne verrouillant jamais son ordinateur, M. Naïf n'a éprouvé aucune difficulté à téléverser (uploader) le contenu de la clé sur l'ordinateur. Cette clé contenait un logiciel malveillant permettant d'activer le transfert de données vers l'attaquant tous les week-ends pendant six mois à l'insu des administrateurs du système. [...]
- M. Polichinelle a décidé de créer un service qui consiste à aller sur des sites notoirement connus comme publiant des « leaks » (fichiers issus de fuites de données faisant suite à un vol, piratage, exploitation d'une vulnérabilité...), et y récupérer tous les documents contenant les termes « secret », « confidentiel », « Diffusion Restreinte » ou « Confidentiel Défense ». Il en analyse alors le contenu afin de retrouver le propriétaire légitime du fichier et lui proposer, contre une certaine somme bien entendu, de supprimer le document ou l'information de l'ensemble des sites, y compris lorsqu'elle a été reprise par des sites légitimes d'information. En cas de refus, il vend l'information et le document à la concurrence. [...]
[...] En l'espèce, Monsieur Polichinelle menace les propriétaires légitimes des informations classifiées de les vendre à la concurrence ce qui pourrait provoquer des divulgations mettant en cause la responsabilité de leur propriétaire et donc en danger leur réputation. En conséquence, Monsieur Polichinelle exerce bien un acte de chantage. Le résultat En droit, le chantage a pour résultat l'obtention d'une signature, d'un engagement, d'une renonciation ou encore la remise de fonds, valeurs ou d'un bien quelconque. En l'espèce, Monsieur Polichinelle demande de l'argent en échange des documents et informations classifiées. En conséquence, Monsieur Polichinelle se voit remettre des fonds et réalise bien les actes constitutifs d'un chantage. [...]
[...] En conséquence, l'infraction est matériellement constituée. - L'élément moral En droit, l'infraction est un comportement volontaire dont l'auteur avait conscience des conséquences pénales. En l'espèce, Monsieur Naïf avait conscience d'introduire une clé USB pouvant altérer le STAD et il ne pouvait pas ignorer que cette clé était potentiellement le support d'un logiciel ayant pour but de transmettre les données personnelles de DataSanté à une tierce personne. En conséquence, Monsieur Naïf pourra être reconnu coupable de cette infraction. - La qualification de la complicité du délit de vol des données - L'élément matériel de la complicité En droit, la complicité est pénalement répréhensible pour la commission d'un crime ou délit (article 121-7 du Code pénal). [...]
[...] - L'élément matériel Condition préalable : des données à caractère personnelles En droit, les données à caractère personnel sont toutes données relatives à des informations qui peuvent permettre d'identifier une personne de manière directe ou indirecte. Ces informations peuvent donc être relatives à son nom, adresse, numéro de téléphone? En l'espèce, l'entreprise DataSanté gère les données de la CNAM qui sont donc relatives à des assurées et peuvent contenir leur noms, prénoms et autres informations personnelles. En conséquence, il s'agit d'informations qui correspondent à des données personnelles donc l'infraction est applicable. Acte délictuel En droit, cette infraction sanctionne le fait de collecter des données par un moyen déloyal, frauduleux ou illicite. [...]
[...] L'acte d'acquisition En droit, le fait d'acquérir des informations classifiées est réprimée par les articles 413-9 à 413-12 du Code pénal. En l'espèce, Monsieur Polichinelle a conçu un site pour récupérer les informations classifiées divulguées sur d'autres sites internet. En conséquence, Monsieur Polichinelle a commis une infraction portant atteinte au secret de la défense nationale. - L'élément moral En droit, les infractions sont volontaires. En l'espèce, Monsieur Polichinelle avait la volonté et la conscience de récupérer des documents classifiées « Secret » « Confidentiel Défense ». [...]
[...] Droit de la sécurité des systèmes d'information Cas pratiques * À noter : Les réglementations européennes NIS DORA et REC ne sont pas prises en compte pour cet examen, du fait des doutes entourant son application en l'absence de la publication du projet de loi résilience, retardée. Lorsque plusieurs réglementations s'appliquent ou pourraient s'appliquer pour conduire à la réponse, elles sont toutes à étudier. I. Le cas de M. Naïf A. Les infractions commises par Monsieur Naïf En l'espèce, Monsieur Naïf est à l'origine d'une fuite des données de DataSanté (données de la CNAM) puisqu'il a été payé par une tierce personne pour transférer le contenu d'une clé USB sur le poste informatique du responsable du projet. [...]
Bibliographie, normes APA
Citez le doc consultéLecture en ligne
et sans publicité !Contenu vérifié
par notre comité de lecture
