Embed Size (px)
DESCRIPTION
Citation preview
1
La cyber-criminalité du point de vue de l’employeur Conférence du 16 novembre 2011
1
2
Prolégomènes: • L’employeur a un rôle ingrat, car il doit être à l’écoute des employés, tout en s’assurant de leur loyauté (
• La connaissance de l’employé est une nécessité: la loyauté des collaborateurs diminue, 85% des fraudeurs n’ont aucun passé judiciaire, un employé sur deux conserve des données liées à son précédent poste de travail (Le Temps, 11 avril 2011).
• Les fraudes commises le sont désormais également par des cadres et des membres de la direction de l’entreprise.
• La tendance naturelle est celle de protéger l’infrastructure contre des personnes extérieures à l’entreprise, ce qui est une grave erreur; exemple: réseau où les brevets sont accessibles à tous.
2
3
Casus introductif: • Le Tribunal cantonal valaisan a jugé que celui qui, au bénéfice d’un
mot de passe communiqué par son employeur, accède à des serveurs lui permettant de disposer de données spécifiques ne se rend pas coupable de soustraction de données, ceci à défaut de protection spécifique!
• En étant simplement au bénéfice du mot de passe lui permettant de s'acquitter de ses obligations contractuelles, X. a pu accéder aux serveurs contenant les données dont il s'est ensuite emparé. Bien que lesdits serveurs aient fait l'objet de diverses protections contre des intrusions de l'extérieur (chambre forte, contrôles d'accès biométriques, pare-feu), cet employé n'a rencontré aucune mesure de sécurité spécifique lui entravant l'accès aux logiciels du "Back Office" recherchés ou encore aux données d'Y. SA relatives aux adresses e-mail des abonnés au service de messagerie A.ch, de même que celles afférentes à la liste des clients du site B., le tout "logins" et mots de passe compris.
3
4
Casus introductif:
• Il importe peu qu'en fonction de la formation ou des capacités de celui-ci, voire des renseignements fournis par des collègues mieux aguerris en ce domaine, l'employé indélicat ait mis plus ou moins de temps pour trouver le chemin des données recherchées, dès lors l'intéressé n'a dû surmonter aucun obstacle de sécurité mis en œuvre volontairement par son employeur.
• Au contraire, faisant prévaloir des raisons de rentabilité dont il n'appartient pas à la cour de vérifier le bien-fondé, les organes d'Y. SA ont opté pour une barrière dite morale, qui ne suffit évidemment pas à réunir les réquisits posés à l'art. 143 CP, alors même - tel que déjà évoqué en droit - que cette barrière aurait été assortie d'instructions voire d'interdictions orales ou écrites.
4
5
Casus introductif:
• Avec la société lésée, on peut s'interroger sur le sens de la protection pénale restreinte ainsi accordée par le législateur, dans sa volonté de renoncer à réprimer ce qui équivaut à un abus de confiance au sens large du terme. C'est bien la raison pour laquelle ont déjà été relevés le peu d'incidence pratique de l'art. 143 CP et même le caractère dépassé des moyens légaux mis en œuvre dès 1995 pour lutter contre la criminalité informatique. Il suit de là qu'un renvoi en jugement fondé sur l'art. 143 CP ne saurait se justifier.
• Pour des motifs similaires, l'application de l'art. 143bis CP n'entre pas en ligne de compte, outre que l'activité de l'employé X. ne peut être assimilée à celle d'un "hacker" qui visite le site d'autrui en vue d'en percer les défenses et d'en violer le domicile informatique.
5
6
Casus introductif:
• La cause pénale concernant X. a en revanche été renvoyée à jugement s'agissant de la violation du secret des postes et des télécommunications.
• Ainsi, celui-ci ne semble pas avoir échappé à une sanction justifiée; toutefois, cet arrêt signifie clairement que pour éviter tout problème ultérieur, mieux vaut sécuriser «en interne» vos systèmes informatiques.
• À défaut, toute poursuite pénale fondée sur l’article 143 du Code pénal risque fort d’être vouée à l’échec!
6
7
Enseignements:
• Les instructions et/ou interdictions orales ou écrites sont insuffisantes. Une barrière électronique et des contre-mesures sont nécessaires.
• Le règlement informatique et les clauses contractuelles ne sont donc, du point de vue pénal, d’aucun secours pour démontrer la réalisation des conditions objectives d’infractions, telles que la soustraction de données ou l’accès indu à un système informatique.
• Elles pourront, par contre, fonder une action civile.
• Les erreurs de vos employés vous seront imputées; ex: un client d’une banque voit ses données communiquées au fisc de son pays et dépose une plainte contre X. Il existe un risque que l’employeur doive justifier des mesures de sécurité prises et de grands risques qu’il doive assumer les conséquences civiles du comportement illicite soient à sa charge (action récursoire possible).
7
8
Enseignements:
• Ne comptez sur personne pour vous aider en cas de pépin: la Suisse va probablement ratifier la Convention du Conseil de l’Europe sur la cybercriminalité signée en 2001… en 2011.
• Aucun article juridique, ni aucun jugement n’ont été publiés en matière de DLP à ce jour!
• Il n’y a qu’un DIEU informatique, c’est le responsable de la sécurité des données de vos clients et de vos données!
• Ni un juge, ni un policier, ni un politicien ne pourront rétablir une réputation ternie et vous permettre de vous soustraire aux procédures qui ne manqueront pas d’être diligentées (ex: procédure disciplinaire contre un avocat dont l’épouse a subtilisé les données client pour démontrer le niveau de revenu… avant de demander le divorce!).
8
9
Introduction - notion: • Le Data Loss Prevention (DLP) est un concept qui peut être défini
téléologiquement de la manière suivante: il vise à identifier, surveiller et protéger les données, qu’elles soient stockées, en cours d’utilisation ou en mouvement et ce, quel qu’en soit le support.
• Il s’agit donc, brièvement dit, d’un ensemble de techniques de
protection contre la fuite d’information, qu’il s’agisse de vol ou de fuite par mégarde.
• Ces techniques peuvent trouver application: - au niveau du réseau (analyse de trafic); - au niveau du serveur; - au niveau de l’identification de données sensibles.
9
10
Introduction - contexte: • Selon le dernier rapport de la Central d’enregistrement et d’analyse
pour la sûreté de l’information (Melani, rapport semestriel 2010/1): • Les affaires d’espionnage et de vols de données ont augmenté au
premier semestre 2010 sur le plan mondial.
• Selon les études de sinistralité conduites notamment par Melani, plus d’une personne sur deux a déjà perdu des données stockées sur des PC portables ou sur des médias amovibles (cf. étude sécurité informatique dans les entreprises suisses, Zurich, août 2006).
• Les programmes d’espionnage et de vols de données sont en
constante augmentation: les logiciels espions ont connu une augmentation de 51% depuis le 2ème semestre 2009 (Gdata SecurityLabs, 7 septembre 2010).
10
11
DLP & contraintes légales:
• Les solutions DLP sont soumises aux règles légales ordinaires, tant du point de vue du droit civil ou administratif que du droit pénal ou disciplinaires.
• Ainsi, les règles de protection de la personnalité des employés
figurant à l’article 328 CO trouvent-elles application (surveillance du travailleur par l’employeur), de même que celles en matière de protection des données.
• Exemples: en principe, l’employeur n’a pas le droit de lire et de
contrôler les courriels et les recherches sur internet d’un travailleur, puisqu’il risque de pouvoir accéder à des éléments et informations de la sphère privée et de découvrir ainsi des faits et gestes qui ne le regardent pas.
11
12
DLP & contraintes légales:
• La surveillance de la part d’un supérieur n’est admissible que si elle ne permet pas d’obtenir un contenu ou un renseignement strictement personnel. Cette règle s’applique aussi bien au courrier électronique qu’à la navigation sur internet.
• Avant d’effectuer un contrôle justifié, l’employeur doit annoncer au travailleur qu’il a l’intention d’examiner son usage e-mail et internet privé et qu’il entend sanctionner d’éventuelles incorrections que son intervention permettra de découvrir. Même lorsqu’il existe des indices concrets d’emploi abusif, le devoir d’avertissement préalable subsiste pour l’employeur (JU-TRAV 2005 p. 14).
• Le Préposé fédéral à la protection des données a édité un guide relatif à la surveillance d’internet et du courrier électronique au lieu de travail.
12
13
DLP & contraintes légales:
• Lorsqu’un employeur suspecte une personne d’avoir transmis des secrets commerciaux à un tiers, il doit se demander comment préserver physiquement les preuves de nature privée et s’il a le droit d’en consulter le contenu et, dans l’affirmative, selon quelles modalités.
• Deux conditions cumulatives doivent être remplies pour que la
consultation soit possible: • il doit exister un motif justificatif (accord de l’employé ou
intérêt prépondérant); • le soupçon d’infraction doit reposer sur un motif, un indice concret. Si l’accord de la personne ne peut être obtenu, il faut faire appel à des
professionnels (forensic scientists).
13
14
DLP & contraintes légales:
• L’article 328b CO trouve également application. Cet article a trait au respect des normes en matière de traitement des données par l’employeur et renvoie à la LPD.
• Le Préposé indique clairement que l’heure est désormais venue pour l’employeur de changer d’attitude; il lui faut désormais concentrer ses efforts sur la prévention technique: plutôt que de surveiller ses employés, il mettra en oeuvre les mesures d’ordre technique permettant de contenir les abus et de protéger l’entreprise. Il ne sera autorisé à analyser nominativement les fichiers journaux que si les mesures prises s’avèrent inefficaces.
• L’employeur a donc un rôle désagréable et ingrat: garantir la sécurité
des données (art. 7 LPD et 8 OPD) et sévir à juste titre.
14
15
DLP & contraintes légales:
• Selon l’article 8 OPD, celui qui traite des données personnelles, protège les systèmes notamment contre les risques de destruction accidentelle ou non autorisée, perte accidentelle, erreurs techniques, falsification, vol ou utilisation illicite, modification, copie, accès ou autre traitement non autorisés.
• Plus les données sont sensibles et plus les mesures à prendre seront nombreuses, strictes, et, revers de la médaille, intrusives.
• Le principe de proportionnalité prend tout son sens dans un tel environnement.
• Ces contraintes légales ne prennent pas en considération les spécificités liées à certaines activités (ex: evernote pour les avocats).
15
16
DLP & contraintes légales: quelques pistes de réflexion
• Celui qui ne met pas en place les dernières technologies se verra reprocher sa passivité à prévenir les pertes et fuites d’information;
• Celui qui est trop prospectif et intrusif se verra reprocher de violer le droit à la vie privée et le droit de la personnalité;
• La voie médiane passe par un usage accru de technologies susceptibles de collecter de manière automatisée les indices pour pouvoir ensuite intervenir dans le respect des conditions cumulatives fixées;
• L’intervention automatisée ne pourra se voir reprocher d’être orientée…
16
17
Mesures de surveillance • Un employeur suspecte l’un des collaborateurs qui va quitter
l’entreprise de vouloir emporter avec lui la liste des clients et des secrets d’affaires;
• Il craint en particulier l’utilisation d’une clé USB pour s’emparer de ces données à son insu;
• Cet employeur vous consulte et sollicite que vous l’orientiez sur la licéité du procédé qu’il entend adopter, respectivement que vous lui indiquiez si un logiciel de surveillance peut être implémenté;
• Selon vous, l’employé doit-il être informé préalablement?
• Pouvez-vous invoquer une disposition légale pour passer outre cette information?
17
18
Mesures de surveillance • Que risque cet employeur s’il agit sans en informer l’employé?
• En cas de vol avéré, cela change-t-il quelque chose?
• Si vous êtes l’avocat de l’employé que pouvez-vous entreprendre?
18
19
Usurpation d’identité - introduction - notion: • Il s’agit du fait de prendre délibérément l’identité d’une autre
personne, généralement dans le but de réaliser une action frauduleuse, comme accéder aux finances de la personne usurpée, ou de commettre en son nom un délit ou un crime, ou d’accéder à des droits de façon indue.
• Dans le monde virtuel, les attributs de la personnalité ne sont octroyés par aucune autorité publique. La seule identification effective sur Internet est l’adresse de chaque machine connectée au réseau, dite adresse IP, constituée d’une suite de chiffres séparée de points.
• Selon la jurisprudence du Tribunal fédéral (Logistep), l’adresse IP est
une donnée personnelle.
• En France, plus de 210’000 personnes sont victimes d’une telle usurpation chaque année (coût moyen 2’229 euros).
19
20
Usurpation d’identité – régime légal applicable: • L’usurpation d’identité est punie sévèrement tant en France (Loopsi
2) qu’en Angleterre.
• En Suisse, l’usurpation d’identité est un composant d’infraction et non une infraction en tant que telle. Ex: un aigrefin pirate le compte e-mail d’un notaire et d’un agent immobilier pour se faire verser grâce à Western Union une partie du prix de vente en Angleterre; seul le vol entre en considération.
• Les trois mots de passe les plus utilisés sont: 123456; password et 12345678.
• La signature électronique permet d’éviter nombre de cas d’usurpation d’identité. Depuis le 1er janvier 2011, elle peut également être utilisée dans les échanges avec les tribunaux notamment.
20
21
Responsabilité de l’entreprise • Complicité liée à un défaut de sécurité?
• Une entreprise possède un site avec possibilité de laisser des commentaires sur chaque article de leur shop on-line. Mal sécurisé, le site permet l’insertion de code malveillant qui infecte (virus) les personnes qui visitent le site en question. Négligente l’entreprise ne fait pas les démarches qui s’imposent pour garantir la sécurité. Est-elle responsable?
• Une entreprise confie le mandat à une agence de réaliser un site web clefs en main. L’agence choisit la solution d’hébergement, mais cela ne fait pas partie du contrat. L’entreprise ne met pas à jour le site qui se fait pirater, une image illicite étant publiée. Qui est responsable?
21
22
Cyber-espionnage industriel • Les entreprises sont plus exposées du fait de la généralisation des
réseaux de communication.
• Le social engineering n’a pas fait l’objet d’une jurisprudence à ce jour et certains auteurs considèrent que ce comportement ne tombe pas sous le coup d’une norme pénale.
• Si l’espion soustrait des secrets de fabrication (information connue d’un nombre restreint de personnes) ou d’affaires (listes de clients, accords avec les fournisseurs) et les utilise il se rend coupable d’un comportement déloyal au sens de l’article 6 LCD.
• Si les secrets n’ont pas encore été utilisés, l’entreprise peut exiger la restitution des données volées par le biais d’une action civile (art. 9 al. 1 LCD). À défaut, il faut faire constater l’illicéité et tenter d’obtenir des dommages et intérêts.
22
23
Expertise psychiatrique et protection des données • Un fonctionnaire suicidaire fait exploser son lieu de travail en
allumant une cigarette alors qu’il avait isolé la pièce et opéré une modification relativement à une conduite de gaz dans le but de mourir par ce biais.
• Le dommage au bâtiment dépasse le million de francs. • Dans le cadre de la procédure pénale qui s’ensuit, le Juge
d’instruction pénale sollicite l’établissement d’une expertise psychiatrique.
• Le résultat de cette expertise ne convient pas à l’ex-employeur dans
la mesure où l’expert considère que le fonctionnaire était au moment des faits incapable de discernement.
23
24
Expertise psychiatrique et protection des données • L’ex-employeur adresse ne sollicite aucune surexpertise dans la
procédure pénale, mais adresse cette expertise à un expert-psychiatre travaillant sur mandat.
• Le fonctionnaire n’est jamais informé de cette transmission de
données personnelles. • Le médecin mandaté par l’ex-employeur rend un rapport sans avoir
jamais eu en consultation le fonctionnaire. • Selon ce rapport, le fonctionnaire est pleinement capable de
discernement et doit être condamné civilement et pénalement.
24
25
Expertise psychiatrique et protection des données • Quelles sont les normes légales applicables à ce casus?
• À qui vous adressez-vous si vous souhaitez alléguer une violation des règles en matière de protection des données?
• De quel type de procédure s’agit-il?
• Les différents magistrats saisis de la cause sont-ils tenus par le résultat des instructions de leurs confrères?
• Quelle serait votre décision si vous étiez saisi comme Préposé?
25
26
Réseaux sociaux et protection des données • Un employé se fait porter pâle alors qu’il doit effectuer en qualité de
chauffeur un transport de supporters lors d’un match de Super League.
• Régulièrement, des déprédations et des violences sont commises lors de ces transports et une crainte s’est installée.
• L’employeur connaît les appréhensions de ses collaborateurs et il de plus en plus de peine à organiser un tournus pour ces événements à risque.
• Les bus sont pourtant équipés de caméras de surveillance.
• L’employeur est informé par un autre collaborateur que sur son mur Facebook, l’employé a mentionné qu’il avait pris la «biturée du siècle» le soir du match.
26
27
Réseaux sociaux et protection des données • L’employeur sûr de son bon droit vous consulte et veut licencier avec
effet immédiat son collaborateur.
• Il vous remet les print screen du mur Facebook et sur un ton taquin vous informe que le collaborateur qui lui a remis ces preuves a été accepté comme ami sur FB en se prévalant d’une fausse identité.
• L’installation de caméras de surveillance dans les bus vous paraît-elle licite?
• Combien de temps les images peuvent-elles être conservées?
• Le mur FB est-il un espace privé si les paramètres de confidentialité n’autorisent sa consultation que par des amis FB?
27
28
Réseaux sociaux et protection des données • L’employeur peut-il se prévaloir des preuves qui lui sont remises?
• Respectivement s’agit-il de preuves licites?
• Cela influerait-il sur votre raisonnement si le collaborateur cafteur avait été admis de manière fair parmi les amis FB de celui qui s’est fallacieusement fait porter pâle?
• Les réseaux sociaux en tant que leur exploitant n’a aucun siège en CH peuvent-ils être sollicités de collaborer à l’établissement de la vérité?
• Le licenciement immédiat est-il justifié?
• Peut-on évoquer un délit pénal et si oui, lequel?
28
29
Conclusions:
• Le renforcement des normes est la tendance actuelle.
• Les entreprises doivent prévenir l’introduction de ces normes en se montrant proactives (veille juridique, intégrer à toute réflexion relative au domaine informatique et technologique la dimension protection des données, etc.).
• La sécurité des systèmes d’information est un enjeu stratégique majeur. Dans un environnement très concurrentiel, les dommages consécutifs à une perte ou à un vol de données peuvent s’avérer fatals.
• Les investissements liés à la sécurité des données et leur protection doivent être proportionnés à la sensibilité des données traitées et aux moyens de l’entreprise.
29
