#333 cyber attaque: responsabilité pénale civile et contractuelle

Pourquoi traiter des cyber attaques et de la responsabilité pénale, civile et contractuelle ? 

Parce que ce 26 mai 2021, il m’a été demandé de mettre à jour le savoir des enseignants en droit de l’informatique des IUT.

Je vous propose une (longue) introduction préliminaire pour saisir l’ampleur en 2021 du phénomène des cyber attaques, avant de nous pencher sur les conséquences juridiques à en tirer en termes de responsabilité pénale, civile (négligence) et contractuelle.

introduction et présentation de la matinée du 26 mai 2021

le phénomène des cyber attaques : 2000 à 2021

Avant de s’intéresser à la responsabilité pénale, civile et contractuelle applicable aux cyber attaque, il est nécessaire de saisir la réalité du phénomène actuel.

Commençons donc par une petite chronologie, qui mélange la technique du numérique (et son apparition avec le programme militaire de décryptage des messages Enigma), la législation depuis la loi de 1978 “Informatique et Liberté” en France et les cyber attaques les plus emblématiques. 

Nous ferons ce survol des grandes cyber attaques en faisant un focus sur les attaques contre les systèmes d’information industriels (dits “SCADA”), les moins médiatisés, mais de loin les plus graves.

Si vous souhaitez vous documenter sur les aspects techniques des cyber attaques, je vous recommande le podcast NoLimitSecu (qui me sert de formation professionnelle continue !).

"système d'information" ? "sécurité" ? "cyber attaque" ? des définitions légales ?

Avant d’envisager toute question de responsabilité applicable aux cyber attaques, il est nécessaire de savoir de quoi l’on parle en droit.

Voyons donc la définition légale de ce qu’est un système d’information (merci à la Directive NIS de 2016 et à la loi française du 26 février 2018).

Ce sont ces deux mêmes textes qui nous donnent une définition légale de ce qu’est la “sécurité” informatique.

La définition des cyber attaques est, elle, officielle (à défaut d’être légale) : il faut pour cela aller chercher dans la doctrine militaire officielle française.

cyber attaque : une typologie ? pour quoi faire ?

Dernier aparté pour comprendre ce que sont les cyber attaques en 2021.

Voyons d’abord une rapide typologie, puis regardons le modus operandi des attaquants, avant de nous pencher sur l’épineux problème de l’identification des attaquants. Car c’est bien cette dernière étape qui pose le plus de problème aux juristes, notamment aux forces de l’ordre et aux juges, qui peinent techniquement à déterminer “qui” attaque…

cyber attaque : la responsabilité pénale

La responsabilité des cyber attaques n’est pas une difficulté sur le plan pénal.

La loi “Godfrain” du 6 janvier 1988 (article 323-1 à 323-3-1 Code pénal) permet de réprimer l’ensemble des intrusions et autres délits de maintien frauduleux dans un système d’information.

La loi “Informatique et Libertés” version 2021 permet sans aucun problème d’envisager la responsabilité pénale des cyber attaquants qui viendraient à traiter sans consentement des données à caractère personnelles.

Le droit de mettre en oeuvre des logiciels ou des services de chiffrement est entièrement régulé (et sanctionné pénalement) par la loi du 21 juin 2004 “LCEN” pour la confiance dans l’économie numérique.

Il est même possible d’appliquer certaines incriminations pénales “classiques” aux nouveaux délits commis par voie numérique. Nous prendrons l’exemple du délit d’extorsion, tout à fait adapté aux chantages exercés par “ransomware”.

cyber attaque : la responsabilité civile pour négligence + jurisprudence 2017 à 2020

Hélas, le peu de jurisprudence pénale disponible conduit à conclure que la répression des cyber attaquants n’a aujourd’hui aucun effet dissuasif.

Alors ? S’il n’est apparemment pas efficace de brandir l’arme de la sanction pénale, le législateur (Europe en tête) change son fusil d’épaule et décide de “réprimer” l’attaqué négligent (merci @Maryange Dichi pour sa relecture attentive).

C’est la grande nouveauté juridique du phénomène des cyber attaques depuis le Règlement UE “RGPD” entré en vigueur le 25 mai 2018 : l’entreprise qui ne sécurise pas “à l’état de l’art” son traitement de données à caractère personne peut être sanctionnée de manière pécuniaire.

La CNIL, en France, a déjà produit depuis 2017 des décisions de condamnation en se fondant expressément sur les notions de “vulnérabilité” ou des faits avérés de cyber attaques.

cyber attaque et responsabilité contractuelle

Dernière étape de ce parcours juridique autours de la responsabilité lié aux cyber attaques : la manière dont les professionnels rédigent leurs contrats BtoB.

Regardons comment les cyber attaques influent sur les contrats de “maintenance logicielle” et “qui” – du Client utilisateur professionnel ou de l’Editeur – est tenu de gérer le problème des bugs, des malwares et des vulnérabilités.

Si vous souhaitez creuser cet aspect des choses, cliquez sur ce lien pour accéder à la vidéo de mon cours aux étudiants du Master 2 pro “droit du numérique” enregistrée en novembre 2020.

CYBER ATTAQUE responsabilité pénale civile contrat : conclusion (rapide)

Pas de long discours mais une citation en 1 slide, qui – hélas – reflète la réalité des cyber attaques en 2021