1. Réagir juridiquement à
une attaque informatique
CYBER@HACK
10 avril 2014
/ /BenjaminBenifei Juriste ITrust

2. Sommaire
1. De quoiparle-t-on ?
2. Agir avantl'attaque
3. Le cyber-droit?
4. Aperçu de laprocédure
5. Obligations légales

3. Attaque informatique,
cyberattaque, incident
de sécurité ?

4. Point de vue technique
« Une cyberattaque toutes les deux secondes » (L'Express)
« 10 à100 attaques automatiques àlaseconde » (Le Figaro)
Est-ce vraimentsérieux ?

5. Point de vue technique
Un ping?Une tentative de connexion ?L'ensemble de ces
tentatives ayantmené au DDoS du site ou àlafuite de données ?
In fine, c'estsurtoutlaprise de conscience de lavaleur croissante
du patrimoine informationnel

6. Point de vue juridique
L'attaque, dans sadiversité, n'estpas définie en droit
Ce seraitdonc un faitpouvantêtre constitutif d'une faute dont
résulte un préjudice (droitcivil) ou une infraction (droitpénal)
exercé par ou contre un système d'information

7. Point de vue juridique
Une attaque informatique pourraitdonc être :
Un acte malveillant
Un sinistre
Une négligence

8. La nécessaire gestion ex ante
des attaques informatiques

9. Limiter techniquement le
risque d'attaques
Analyse de risques, sensibilisation, solutions logicielles, etc.
Ces moyens doiventrépondre àde multiples exigences,
notammentjuridiques

10. Anticiper juridiquement
le risque d'attaques
Gestion des responsabilités, PSSI, vérification de lapolice
d'assurance, préparation de l'aménagementdes preuves, etc.

11. Reconnaissance des
cyberattaques par le droit

12. Loi du 5 janvier 1988
Loi Godfrain
Lutte contre lafraude informatique (le piratage ou l'atteinte aux
systèmes automatisés de données)
Sontpunis les cas de fraude :
1. Visantles systèmes (accès/maintien)
2. Visantles données (suppression/altération)

13. Loi Godfrain (2)
Sanction de latentative
Punition majorée en cas d'atteinte au STAD de l'État
Arrêtde laCour d'appelde Paris du 5 février 2014

14. Le droit de la propriété intellectuelle
Propriété littéraire etartistique (œuvres de l'esprit) : œuvre
écrite, œuvre graphique, logiciel, etc.
Propriété industrielle (formalités préalables) : brevet, marque,
dessins etmodèles, etc.

15. Droit sui generis du producteur de base de
données
Monopole d'exploitation permettantd'interdire l'extraction etla
republication sous conditions
Sanction de 300 000 euros d'amende etde cinq ans
d'emprisonnement

16. La protection du secret des affaires
Révéler un secretde fabrication estpunid'une amende de
30 000 euros etde deux ans d'emprisonnement
Plusieurs projets en cours :
Délitd'atteinte au secretd'une information
économique protégée
Protection du secretd'affaires

17. Procédures légales

18. Préparer l'action
Dresser une liste des atteintes (journalisation, traces de logiciels
illégitimes, etc.) etdes préjudices subis
Adresse exacte des appareils touchés par l'attaque
Éventuellementun constatsur internet(norme Afnor Z676147)
ou une saisie-contrefaçon (voie civile)
Voie civile ou pénale ?

19. Voie civile
Contrefaçon : atteinte portée aux droits de propriété
intellectuelle réparée financièrement
(gain manqué etperte générée)
Action en concurrence déloyale (responsabilité délictuelle)

20. Voie pénale
Lavictime d'une infraction dépose plainte
Perquisitions etsaisies : recherche des preuves (avec les moyens
de l'action publique)
Laloid'orientation etde programmation pour laperformance de
lasécurité intérieure de 2011 adapte les perquisitions au
contexte numérique

21. Des obligations pour les
victimes d'attaques

22. Obligation de sécurité des données
personnelles
Toutresponsable d'un traitementde données àcaractère
personnelesttenu d'assurer lasécurité des données
« Toutes précautions utiles » (article 34 LIL)
Cinq ans d'emprisonnementet300 000 euros d'amendes (article
226-17 du Code pénal)

23. Obligation de notification à l'ANSSI des
incidents de sécurité des opérateurs de
communication
Vise le secteur des réseaux de communications publics ou
services de communications électroniques
Notification des atteintes àlasécurité ou des pertes d'intégrité
ayantun « impactsignificatif »

24. Obligation de notification à la CNIL
des atteintes aux données personnelles
Vise essentiellementles FAI etopérateurs de téléphonie
Cas de violation de données àcaractère personnel
Sanction de 300 000 euros d'amende etde cinq ans
d'emprisonnement

25. Obligation de notification à la CNIL (2)
CNIL doitêtre avertie sans délai
Information de l'utilisateur des services en cas d'atteinte àsavie
privée (sauf moyens cryptographiques)
Illustration récente avec Orange

26. Notification des failles et attaques entre
partenaires
Avez-vous pensé àl'intégrer dans vos contrats ?

27. Réagir juridiquement à
une attaque informatique
CYBER @HACK
/ /
PrésentationsouslicenceCC-BY-ND4.0réaliséeavec publiésouslicenceMIT
BenjaminBenifei Juriste ITrust
reveal.js

28. Quelques lectures
, CabinetBensoussan.
, Céline Castets-Renard
,
Stéphane Bortzmeyer
, Le Comptoir Sécu
,
ThiébautDevergranne
Droitinternational des TIC
Droitde l'internet
Compter sérieusementle nombre d'attaques informatiques ?
Juridique, réponse àincidentetLPM
Etvous pensiezdéposer plainte pour attaque informatique ?