Comment se défendre contre les attaques 2.0

Les attaques contre les systèmes informatiques des entreprises se multiplient et se diversifient. Et elles peuvent affecter le climat interne d'une société. Un exemple ? Des salariés reçoivent un e-mail de leur DRH pour un entretien préalable de licenciement... Imaginez l'ambiance... avant que l'on s'aperçoive qu'il s'agit d'un faux : la DRH n'était pas à l'origine de cet e-mail intempestif. Mais imaginez la suite : qui a pu faire une blague aussi douteuse ? « Souvent, les attaques informatiques en entreprise sont plus internes qu'externes, prévient Alexandra Neri, avocate associée au cabinet Herbert Smith. Il faut donc sécuriser en interne par des codes de conduite et chartes informatiques sans oublier de les annexer au règlement intérieur pour les rendre opposables aux salariés. »De tels documents favorisent une prise de conscience par le personnel sur la confidentialité des données. Parmi les précautions à prendre dans une charte informatique, il est préférable d'interdire aux salariés l'accès à tous les réseaux sociaux (Facebook, LinkedIn, etc.) qui sont de vrais dangers. « Car ces réseaux sociaux sont une mine pour les personnes mal intentionnées », insiste l'avocate. Les entreprises peuvent ainsi se voir extorquer des informations confidentielles, alors même que pèse sur elles une obligation de sécurité des données personnelles de leurs salariés. La moindre violation de cette obligation peut être punie de cinq ans d'emprisonnement et de 300.000 euros d'amende au regard de l'article 226-17 du Code pénal. Même si une entreprise a externalisé son système informatique, elle ne s'exonère pas de sa responsabilité en se défaussant sur son sous-traitant. De plus, la jurisprudence a admis qu'une société peut consulter les e-mails de son personnel sauf ceux ayant la mention « Personnel ».Du bon usage des loisAttention aussi à ne pas se tromper sur la qualification juridique d'un éventuel délit. Faut-il par exemple aller sur le terrain de l'usurpation de nom sanctionnée par l'article 434-23 du Code pénal ? Trop restrictive, cette disposition ne prend pas en compte l'usurpation d'identité informatique. Un salarié dont son collègue informaticien avait usurpé l'adresse électronique pour aller sur des sites pédophiles n'a pas obtenu gain de cause en justice. Le gouvernement veut combler ce vide. Prévu dans le projet de loi LOPPSI 2 (loi d'orientation et de programmation pour la performance de la sécurité intérieure) dont l'examen a commencé mardi dernier au Parlement (texte sans doute applicable en 2011), le nouvel article 222-16-1 du Code pénal réprime l'utilisation malveillante, dans le cadre des communications électroniques, de l'identité d'autrui ou de toute autre donnée personnelle, en vue de troubler sa tranquillité ou de porter atteinte à son honneur ou à sa considération. Une peine d'un an d'emprisonnement et de 15.000 euros d'amende sera alors encourue. Mais les personnes morales pourront-elles prétendre à ce nouvel article du Code pénal ?Les intrusions dans un système informatique sont également condamnables. L'article 323-1 du Code pénal prévoit jusqu'à deux ans de prison et 30.000 euros d'amende le fait d'accéder ou de se maintenir frauduleusement dans un système de traitement automatisé de données. Une entreprise peut par ailleurs agir en justice contre des vols de données informatiques grâce à l'article 311-1 du Code pénal qui sanctionne le vol en général. C'est une jurisprudence de 2008 qui a permis cette évolution. Et « il n'est pas nécessaire de démontrer que l'information a été acquise par le biais de méthodes frauduleuses (intrusion dans le système informatique, usurpation d'identité, corruption, escroquerie, etc.) », précise l'avocate. Frédéric Hastings