Centre de Recherche sur l Information Scientifique et Technique Protection des Systèmes d Information: Aspects Juridiques Par Mme BOUDER Hadjira Attachée de Recherche
Introduction La décentralisation des échanges et l accès immédiat à l information, grâce aux systèmes d information, ont fait apparaître de nouvelles vulnérabilités au sein des entreprises: Atteintes volontaires ou involontaires à l intégrité du système d information lui-même ou aux données contenues dans ce système, Atteintes aux «droits de propriété» sur de nouveaux types de biens nés des nouvelles technologies( logiciels, données, ), Atteintes aux droits de la personne dues à la croissance des capacités de stockage de données et surtout aux possibilités de recoupements entre fichiers (utilisation,collecte, ou conservation illicite de données à caractère personnel )
Afin de gérer efficacement la sécurité de son système d information, l entreprise doit renforcer son dispositif de protection COMMENT?
La mise en place d un dispositif technique de sécurité fiable + Prendre en compte son environnement réglementaire: Etat de la législation relative au technologies de l information et de la communication
Caractéristique de la protection juridique des SI C est une protection défensive, à la fois préventive et C est une protection applicable à tout type de système d information, contrairement à la protection technique, dans laquelle il faut tenir compte de la nature et de la valeur du contenu du SI,
I- La fonction préventive du droit dans la protection des SI d entreprise Contrairement à ce que l on pourrait croire: l activité économique n échappe pas au droit. (qu il s agisse des règles du jeu économique fixées par l État, ou des principes légaux instaurés par les instances judiciaires et d arbitrages, ou encore ceux consacrés dans les contrats) La conformité au droit devrait être observée dans toutes les activités menées par les entreprises afin d éviter de voir leur responsabilité engagée
I- La fonction préventive du droit dans la protection des SI d entreprise Néanmoins, vue sous l angle du droit la vie de l entreprise connaît différents aspects que l on peut scinder en deux catégories: 1- Des aspects juridiquement bien encadrés: il s agit de ceux liés à sa structure ( droit des sociétés, droit financier, ), ainsi qu à ses activités (droit commercial, droit de la concurrence, ). 2- Des activités dont le cadre juridique reste imprécis: telles que les pratiques de l intelligence économique
I- La fonction préventive du droit dans la protection des SI d entreprise 1-La conformité des actions de l entreprise au droit Afin d éviter que certaines pratiques modernes dans l entreprise ( notamment d Intelligence économique) ne se transforme en un moyen pour la mise en cause de sa responsabilité et de sa déstabilisation, il faut veiller à la conformité de toutes ses actions au droit. Cette conformité s applique aussi bien: - Aux activités de recherche, de collecte et de traitement des données stratégiques, - qu aux actions visant la protection du patrimoine incorporel de l entreprise.
I- La fonction préventive du droit dans la protection des SI d entreprise 1-La conformité des actions de l entreprise au droit 1-1- Selon une vision classique : les pratiques de collecte et traitement de l information sont considérées d emblée légales Elles portent sur des informations «ouvertes» = Informations libres de droits (certaines sont soumises à des régimes de protection spécifiques.) Le recours à la collecte et au traitement d informations protégées, nécessite l observation des conditions légales de telles pratiques, sous peine de voir la responsabilité civile et/ou pénale de l entreprise engagée
I- La fonction préventive du droit dans la protection des SI d entreprise 1-La conformité des actions de l entreprise au droit 1-2- Il est également nécessaire de s assurer lors de l opération de recherche d informations pertinentes, qu on est pas dans une situation d accès illégale dans un système d information, qui constitue une infraction punie par la loi (voir ci-dessous).
I- La fonction préventive du droit dans la protection des SI d entreprise 2- Protection des biens incorporel de l entreprise 2-1-Protection du patrimoine intellectuel: Par le droit de la propriété industrielle (marques, brevets d inventions, ), ou par le droit d auteur. 2-2- Protection du patrimoine informationnel: Celui-ci comprend tout ce qui a de la valeur pour l entreprise, et qui n est pas protégé par la loi (informations confidentielles, savoir faire )
I- La fonction préventive du droit dans la protection des SI d entreprise 2- Protection des biens incorporel de l entreprise: En absence d un statut juridique pour l information dans la plupart des systèmes juridiques nationaux, les entreprises optent souvent pour la mise en place d une stratégie de protection de ce type de biens, qui se traduit par: La mise en place de stratégie de protection interne (charte informatique, politique de vie privée, contrat de travail, règlement intérieur) et externe (conditions générales de sécurité introduites dans les contrats avec les prestataires externes). Le recours à la cryptographie comme moyen technique de protection de ses biens informationnels, dans le cadre légal qui lui est fixé par la loi (notamment après la consécration récente de la reconnaissance juridique de la signature électronique en Algérie)
I- La fonction défensives du droit dans la protection des SI d entreprises : Protection contre la criminalité informatique L entreprise peut être victime d attaques multiples, visant la paralysie de son système d information ou encore l altération ou la suppression de ses informations stratégiques. Face à la vulnérabilité des systèmes de protection technique des SI existants, le recours aux instruments juridiques reste un des moyens les plus efficace pour la défense des biens et intérêts de l entreprise, notamment dans le contexte actuelle de criminalité informatique.
I- La fonction défensives du droit dans la protection des SI d entreprises : Protection contre la criminalité informatique 1- Précision de la notion de criminalité informatique Afin de préciser la notion de criminalité informatique, il convient de distinguer deux situations différentes :
1-Précision de la notion de criminalité informatique (suite): - La première concerne les cas ou l`informatique ( le support informatique ) est lui même objet de l`infraction, il s`agit de la qualification spécifique des atteintes aux systèmes de traitement automatisé de données ou aux données informatique. cette catégorie comprend notamment les infractions commises via les réseaux électroniques de communication, on parle également de cybercriminalité. C`est dans cette hypothèse que l`on parlera véritablement de criminalité informatique qui aura la part de lion, dans le présent travail. - La deuxième concerne les cas ou l`informatique est le moyen d`accomplissement de l`infraction, il s`agit de délinquance assistée par ordinateur dont la qualification pénale se rattache aux infractions de droit commun ou à des textes spéciaux.
2- Typologie des infractions contre les SI Délinquance assistée par ordinateur infractions relevant de la criminalité informatique
3- Infractions relevant de la criminalité informatique Cette catégorie regroupe toutes les atteintes aux systèmes de traitement automatisé de données, et à la confidentialité, à l`intégrité ou à la disponibilité des données. Mais avant de dresser la liste des infractions informatiques relevant de cette catégorie, encore faut-il définir leurs objets. Qui comme nous pouvant le constater, ne sont autres que le système de traitement automatisé des données et les données informatiques.
3-1- Terminologie : a- Définition du système de traitement automatisé des données (STAD) ou système informatique : Au sens large, un système de traitement automatisé de données ou système informatique s`entend de l`ensemble des éléments physiques et des programmes employés pour le traitement de données, ainsi que des réseaux assurant la communication entre les différents éléments du système informatique. Il en est ainsi des ordinateurs, mais également des périphériques d`entrée/sortie et des terminaux d`accès à distance ainsi que tous vecteurs de transmission de données tels que des réseaux de télécommunication. (article 1 de la convention sur la cybercriminalité.
Relation avec le système d information: Définition du SI: «Le système d information est l ensemble des ressources humaines, organisationnelles, méthodologiques et techniques de l entreprise, affecté à l acquisition, au traitement, à la conservation et à la diffusion des informations nécessaires à l entreprise pour réaliser son activité» Personne Acquérir des informations Procédures Outils Système d information Traiter des informations Stocker des informations Données Communiquer des informations
b- Définition des données informatiques : données informatiques- désigne toute représentation de faits, d`information, ou de concepts sous une forme qui se prête à un traitement informatique, y compris un programme de nature à faire en sorte qu`un système informatique exécute une fonction. (convention sur la Cybercriminalité)
3-2- Classement des infractions relevant de la criminalité informatique en droit pénal algérien A l instar de ses homologues étrangers, Le législateur algérien, s est dés l année 2004 doté de nouvelles dispositions pénales incriminant certaines atteintes aux systèmes de traitement automatisé de données, à travers l adoption de la loi n 04-15 du 10 novembre 2004 modifiant et complétant l ordonnance n 66-156 du 8 juin 1966 portant code pénal. ces dispositions sont largement inspirées du code pénal français et de la loi belge sur la cybercriminalité, et sont classées comme suit: A- L accès ou le maintien frauduleux : Cette infraction qui consiste, comme déjà précisé, en l intrusion non autorisée à un STAD, est instituée par l article 394bis du code pénal pour une peine allant de trois(3) mois à un an(1) de prison et d une amende allant de 50.000000 à 100.000000 DA.
B- Atteintes au fonctionnement d un STAD Selon l article 394 bis paragraphe3, le législateur algérien ne considère que les atteintes involontaires au fonctionnement d un STAD résultant de l acte d accès et de maintien frauduleux ( avec une peine alourdie). A noter que seule l altération du fonctionnement du SATD, c'est à dire la modification du mode de fonctionnement du système est punie par la loi. Le législateur aurait de ce fait négligé les agissement intentionnels visant l atteinte au bon fonctionnement d un STAD indépendamment de tout autre acte, d une part. et aurait, d une autre part, laissé impuni les agissements visant la paralysie (l entrave) partielle ou totale du STAD ou encore ceux visant à fausser son fonctionnement. Par ailleurs, le législateur algérien, à l instar de ses homologues français et belge, semble ne pas faire de distinction entre les atteintes à l intégrité des données informatique et l introduction intentionnelle de données informatiques pouvant occasionner une entrave au fonctionnement d un STAD, comme l atteste l article 394 ter du CPA. Il est à noter également que le législateur n a pas traité du cas ou la commission des infractions sus-citées occasionnent des atteintes au fonctionnement des STADs connectés au STAD visé.
C- Atteintes aux données informatiques: C-1- Atteintes à l intégrité des données: Cette infraction est visée par l article 394 ter qui stipule dans sa deuxième partie: «Est puni d un [.], quiconque [ ] supprime ou modifie frauduleusement les données qu il contient». C-2- Atteintes involontaires aux données: Ces atteintes sont érigées en infractions par l article 394ter parag2 du CPA. Cette disposition incrimine l acte de suppression ou de modification de données lorsque elle résulte d un accès ou maintien frauduleux dans un STAD. A noter que le législateur ne considère pas également les atteintes aux données véhiculées par un système relié aux système visé.
D- Abus de dispositifs: D-1- Mise à disposition du public des données permettant la commission d infractions punies: Article 394 quater 1 D-2- Mise à disposition du public des données obtenues par l une des infractions punies: Article 394 quater 2
A noter, qu une commission chargée de la rédaction d un texte de loi spécifique pour la prévention et la lutte contre la criminalité informatique, a été mise en place par le chef du gouvernement en 2006. Cette loi, qui en principe verra le jour au cours de cette année 2008, a pour objet principal la définition des aspects procéduraux de la lutte contre la criminalité informatique. Elle, viendra ainsi renforcer le dispositif juridique existant. Ce qui garanti, entre autre, une meilleure protection pour les systèmes d information des entreprises.