Lattaque rebond Runion de crise

1
Lattaque rebond Réunion de crise

• Olivier ITEANU
• Avocat à la Cour dAppel de Paris
• Avec le concours de la Sté NTI

2

• Votre entreprise est victime dune attaque
  rebond. Un de ses serveurs a été pénétré à son
  insu puis à servi de rebond pour attaquer les
  serveurs de lun de vos concurrents. Ce
  concurrent, qui na identifié que des traces
  émanant de votre entreprise sur son serveur,
  exige aujourdhui une explication. En outre, à
  loccasion de lattaque, une base de données
  clients et prospects a été partiellement pillée.

3
(No Transcript)
4
Précisions

• L attaque a eu lieu il y a trois mois et vient
  seulement de se révéler
• On sait que l attaquant vient de l étranger et
  qu il va être très difficile, voire illusoire,
  de l identifier pour le poursuivre

5
(No Transcript)
6
Les responsabilités encourues Rappel

• Pénale
• Atteinte à lordre public
• Amende
• Peine privative de liberté
• Susceptible datteindre les personnes physiques

• Civile
• Atteinte à des intérêts privés
• Dommages et intérêts
• Publications

7
Responsabilité Pénale
8
Délit daccès frauduleux

• Article 323-1 du Code Pénal
• Le fait daccéder ou de se maintenir
  frauduleusement dans tout ou partie dun STAD est
  puni de deux ans demprisonnement et de 30K
  damende
• Délit constitué par la simple tentative
• Quil y ait ou non des dégâts
• Le simple accès est sanctionné

9
Application à notre cas

• Notre entreprise
• Oui

• Lentreprise concurrente
• Oui

10
Un délit aggravé en cas de dégats

• Article L 323-1 alinéa 2 du CP
• Lorsqu'il en est résulté soit la suppression ou
  la modification de données contenues dans le
  système, soit une altération du fonctionnement de
  ce système, la peine est de trois ans
  d'emprisonnement et de 45000 euros d'amende
• Article L 323-3 du CP
• Le fait dintroduire frauduleusement des données
  dans un STAD ou de supprimer ou de modifier
  frauduleusement les données quil contient est
  puni de cinq ans demprisonnement et de 75 K.
• Le cas du sabotage

11
Application à notre cas

• Notre entreprise
• A priori non

• Lentreprise concurrente
• A priori Oui

12
Les victimes à ne pas oublier

• Les fichiers clients / prospects
• Des données à caractère personnel (personnes
  physiques susceptibles d être identifiées)

13
Une obligation générale de sécurité sévèrement
réprimée par la loi

• Article 226-17 du Code Pénal
•  Le fait de procéder ou de faire procéder à un
  traitement automatisé d'informations nominatives
  sans prendre toutes les précautions utiles pour
  préserver la sécurité de ces informations et
  notamment empêcher qu'elles ne soient déformées,
  endommagées ou communiquées à des tiers non
  autorisés est puni de cinq ans d'emprisonnement
  et de 300.000 euros d'amende. 
• Le responsable du traitement l entreprise
  concurrente

14
Responsabilité Civile
15
Les textes de base

• Article 1382 du Code CivilTout fait quelconque
  de l homme qui cause à autrui un dommage oblige
  celui par la faute duquel il est arrivé à le
  réparer.
• Article 1383
• Chacun est responsable du dommage qu il a
  causé non seulement par son fait, mais encore par
  sa négligence ou son imprudence

• Article 1384 du code CivilOn est responsable non
  seulement du dommage que l on cause par son
  propre fait mais encore de celui qui est causé
  par les personnes dont on doit répondre () Les
  maîtres et les commentants du dommage causé par
  leurs domestiques et leurs préposés dans les
  fonctions auxquelles ils les ont employées.

16
Trois hypothèses pas forcément alternatives

• On négocie,  on paie 
• On porte plainte
• Ministère de lIntérieur (confidentiel)
• Plainte simple Procureur
• Plainte Juge d Instruction
• On monte un dossier pour montrer notre bonne foi
  (pas toujours exonératoire), l absence de fautes
  et de négligences
• Dans tous les cas, on répond.

17
Remarque

• Article L 39-3 du CPCE
• I. - Est puni d'un an d'emprisonnement et de 75
  000 euros d'amende le fait pour un opérateur de
  communications électroniques ou ses agents 1º
  De ne pas procéder aux opérations tendant à
  effacer ou à rendre anonymes les données
  relatives aux communications dans les cas où ces
  opérations sont prescrites par la loi 2º De ne
  pas procéder à la conservation des données
  techniques dans les conditions où cette
  conservation est exigée par la loi.Les personnes
  physiques coupables de ces infractions encourent
  également l'interdiction, pour une durée de cinq
  ans au plus, d'exercer l'activité professionnelle
  à l'occasion de laquelle l'infraction a été
  commise.

18

• Olivier ITEANU
• Avocat à la Cour d Appel de Paris
• contact_at_iteanu.com www.iteanu.com