FLASH INFORMATIQUE FI



La contribution du droit à la sécurité des systèmes d’information




Bertrand WARUSFEL


On sait que la sécurité des systèmes d’information est un domaine très technique. On peut donc s’interroger sur la contribution que les outils juridiques peuvent néanmoins apporter à l’établissement et au maintien de cette sécurité.
La première réponse qui vient généralement à l’esprit concerne l’apport du droit pénal, qui doit permettre de sanctionner l’auteur d’une atteinte délibérée à un système d’information. En effet, lorsque la fiabilité des mesures techniques de protection n’a pas dissuadé ou empêché le fraudeur d’agir, il ne reste plus qu’à souhaiter que le droit et les moyens judiciaires puissent entrer en jeu.
Mais l’attention croissante portée depuis quelques années à ces aspects de lutte contre la cybercriminalité ne doit pas cacher d’autres contributions essentielles du droit à la sécurité des systèmes, qu’il s’agisse de créer un cadre juridique pour l’utilisation des technologies de confiance ou des pratiques contractuelles de prévention des risques en amont d’un projet informatique.

Réprimer les infractions informatiques

Nous disposons depuis novembre 2001 d’une convention internationale conclue sous les auspices du Conseil de l’Europe (mais à laquelle ont adhéré les États-Unis, le Japon et le Canada notamment) qui fixe, en particulier, la typologie commune des atteintes malveillantes aux systèmes d’information et décrit les moyens judiciaires et les procédures favorisant leur répression.
Cette Convention sur la cybercriminalité, adoptée à Budapest le 21 novembre 2001, établit notamment la liste des différents actes malveillants qui sont considérés comme une infraction et donc punis pénalement. Mais elle dote aussi les autorités judiciaires de nouveaux moyens d’enquête.

Les atteintes malveillantes à la sécurité des systèmes

Cinq catégories d’infractions ont été décrites par la Convention au titre des atteintes aux systèmes informatiques et à leur sécurité :

L’accès illégal

L’accès illégal se définit par l’accès intentionnel et sans droit à tout ou partie d’un système informatique (article 2).
En droit français, l’accès illégal est réprimé par l’article 323-1 du Code pénal. En droit suisse, c’est l’article 143 bis du Code pénal fédéral qui punit également ce type d’infraction.

L’interception illégale

L’interception illégale se définit par l’interception intentionnelle et sans droit, effectuée par des moyens techniques, de données informatiques, lors de transmissions non publiques, à destination, en provenance ou à l’intérieur d’un système informatique (article 3).
En droit français, l’interception illégale est réprimée par les articles 226-15 CP (lorsque l’interception est le fait d’une personne privée) ou 432-9 CP (lorsqu’elle est commise par un agent public ou un fournisseur de services de communication).
En droit suisse, s’appliquent à ces mêmes cas, l’article 179 bis du Code pénal ou l’article 321ter.

Les atteintes à l’intégrité

Les articles 4 et 5 de la Convention imposent de sanctionner pénalement le fait, intentionnel et sans droit, d’endommager, d’effacer, de détériorer, d’altérer ou de supprimer des données informatiques (atteinte à l’intégrité des données) ou l’entrave grave, intentionnelle et sans droit, au fonctionnement d’un système informatique, par l’introduction, la transmission, l’endommagement, l’effacement, la détérioration, l’altération et la suppression de données informatiques (atteinte à l’intégrité du système).
Le Code pénal français sanctionne de tels agissements par ses articles 323-2 CP (atteinte au fonctionnement d’un système) et 323-3 CP (atteintes aux données).
En Suisse, l’atteinte à l’intégrité des données paraît essentiellement punissable sur le fondement de l’article 321ter du Code pénal.

La falsification informatique

La falsification informatique se définit par l’introduction, l’altération, l’effacement ou la suppression intentionnels et sans droit de données informatiques, engendrant des données non authentiques, dans l’intention qu’elles soient prises en compte ou utilisées à des fins légales comme si elles étaient authentiques (article 7).
Seule la finalité de cet acte le distingue des infractions précédentes : il y a falsification informatique - au sens de la Convention - lorsque l’atteinte à l’intégrité a pour but de favoriser la constitution d’une fausse preuve (en particulier, mais non exclusivement, dans tout le domaine des télé-procédures administratives dématérialisées).
Tant le droit suisse que le droit français ne connaissent pas d’infractions particulières, préférant s’en rapporter à la sanction générale des faux en écriture privée ou publique (v. les articles 251 et 252 du Code pénal suisse et les articles 441-1 et suivants du Code pénal français).

La fraude informatique

La fraude informatique se définit par le fait de causer un préjudice patrimonial à autrui par :(a). l’introduction, l’altération, l’effacement ou la suppression de données informatiques, (b). toute forme d’atteinte au fonctionnement d’un système informatique, dans l’intention, frauduleuse ou délictueuse, d’obtenir sans droit un bénéfice économique pour soi-même ou pour autrui (article 8).
Là encore, la matérialité de l’acte commis ne se différencie pas nettement de ceux susceptibles d’être considérés comme de simples atteintes à l’intégrité. C’est toujours la finalité de celui-ci qui caractérise l’infraction en tant que fraude informatique : il s’agit d’obtenir par le biais de cette manipulation du système, un avantage économique (par exemple, se faire verser une somme indue).
Le Code pénal suisse sanctionne ainsi par son article 147 une utilisation frauduleuse d’un ordinateur. En revanche, le droit pénal français ne comporte pas de dispositions particulières, la répression de tels actes résultant de la combinaison possible entre les dispositions des articles 323-2 et 323-3 CP (sur les atteintes aux systèmes et aux données) et celles qui répriment, plus généralement, le vol ou l’escroquerie.

En complément, l’article 6 de la Convention de Budapest enjoint également aux États de sanctionner pénalement la production et la mise à disposition (vente, location ou par un autre canal de diffusion) d’un dispositif (matériel ou logiciel) principalement conçu ou adapté pour permettre la réalisation de ces différentes infractions.

La création et la diffusion numérique de certains contenus illicites

La Convention de novembre 2001 oblige également à réprimer trois catégories d’infractions se rapportant aux contenus numériques [1] :

La production et la diffusion numérique de pornographie infantile

L’article 9 de la Convention définit la pornographie enfantine comme toute matière pornographique représentant de manière visuelle un mineur (ou une personne qui apparaît comme un mineur) se livrant à un comportement sexuellement explicite.
Doit donc être sanctionnée pénalement le fait de se livrer, intentionnellement, à la production de tels contenus numériques ou de concourir à leur offre, leur diffusion, leur transmission, leur réception ou leur stockage par le biais d’un système de traitement de l’information.

La production et la diffusion numérique de contrefaçons

L’article 10 de la Convention impose de poursuivre tous les actes réalisés à l’aide d’un système informatique qui portent atteinte à un droit de propriété intellectuelle (à savoir principalement, les droits d’auteur et leurs droits voisins, les droits de brevet, de marque et de dessin ou modèle).

La production et la diffusion numérique de matériel raciste et xénophobe

Le protocole additionnel à la Convention de janvier 2003 concerne la diffusion par voie numérique de tout matériel raciste ou xénophobe. De même doivent être poursuivies les menaces, insultes et propos négationnistes tenus et diffusés au travers d’un système de traitement de l’information, lorsqu’elles ont un objectif et une motivation raciste ou xénophobe.

Les nouveaux moyens d’enquête pénale

Pour favoriser la répression de tous ces actes commis à l’encontre des systèmes d’information ou par leur biais, la Convention sur la cybercriminalité dote les différents états signataires de nouveaux moyens d’enquête, supposés être adaptés aux particularités techniques des réseaux numériques qui sont à la fois très facilement délocalisables et très facilement réversibles (ce qui empêche souvent de retrouver a posteriori des preuves de certains agissements commis sur ces réseaux).
Désormais, la justice de chaque pays (et donc les forces de police judiciaire travaillant sous le contrôle des juges) peut recourir aux moyens suivants :

  • la conservation rapide des données, c’est-à-dire enjoindre à toute personne concernée (et notamment aux fournisseurs de service) de sauvegarder provisoirement les données utiles (notamment les données de trafic) (article 16).
  • l’injonction à tout utilisateur de communiquer des données informatiques en sa possession (lorsqu’elles peuvent être utiles à l’établissement de la preuve d’une infraction) ainsi qu’à tout fournisseur de service (article 18).
  • la perquisition et l’accès à tout système informatique installé sur le territoire national, pour saisir ou copier toute information numérique stockée, y compris à distance sur un autre système situé sur le territoire national (article 19).
  • la collecte par les fournisseurs de service en temps réel des données de trafic (article 20).
  • enfin, dans les cas d’infractions graves, intercepter (ou faire intercepter) le contenu de certaines communications (article 21).

Ces moyens d’enquête renforcée sont complétés par des engagements de coopération internationale permettant aux juridictions et aux services de police d’échanger leurs informations et de se prêter assistance en matière de cybercriminalité.
Mais cette approche répressive ne doit pas (et ne peut pas) être la seule parade juridique aux différentes formes d’insécurité qui peuvent affecter les systèmes de traitement de l’information. Plutôt que réprimer a posteriori des abus, il vaut mieux favoriser a priori un usage juridiquement sécurisant des systèmes et des réseaux numériques. Et pour établir - comme le dit joliment le titre d’une récente loi française [2] - la confiance dans l’économie numérique, il faut mettre en oeuvre des outils techniques auxquels le droit peut accorder un certain niveau de confiance.

Mettre en oeuvre des moyens numériques de confiance

Dans les échanges numériques sur les réseaux, la confiance commence par la nécessité de réaliser une authentification préalable des parties, ce qui va permettre juridiquement d’assurer l’imputabilité de leurs actes effectués par voie électronique (et de leur en attribuer les effets et la responsabilité).
Il faut ensuite que soit garanti un niveau satisfaisant d’intégrité des contenus afin que chacun soit prémuni contre toute altération, accidentelle ou volontaire, de ce qui va être échangé. On rencontre là aussi une fonction technique bien connue en sécurité des systèmes.
Et cette exigence d’intégrité se perpétue dans le temps puisqu’il est généralement indispensable de pouvoir en garantir la conservation à moyen ou long terme (notamment jusqu’aux délais de prescription légaux). Il ne suffit pas de recueillir à l’instant de l’échange la preuve de l’intégrité de celui-ci, encore faut-il pouvoir la stocker et pouvoir en assurer à nouveau la vérification plus tard en cas de litige.
Enfin, il est souvent nécessaire à celui qui accède à une ressource numérique d’identifier celui qui a la charge de cette ressource, mais également la nature des droits qu’il peut exercer sur celle-ci (droit de copie, d’utilisation, ...). Là aussi, il faut donner force juridique à des mécanismes d’authentification susceptibles de fournir à l’utilisateur une information fiable sur les droits qu’il peut prétendre mettre en oeuvre en ligne.
Pour satisfaire à tous ces besoins indispensables à la sécurité juridique des échanges numériques, le droit doit fournir un cadre précis qui fixe les conditions de la reconnaissance et de l’utilisation de certaines technologies destinées à créer la confiance et la sécurité. C’est pour cette raison qu’ont été adoptées ces dernières années des réformes législatives concernant la signature électronique et la preuve numérique.

La reconnaissance des signatures électroniques

La directive communautaire du 13 décembre 1999 a défini dans l’Union européenne la notion juridique de signature électronique et les effets que l’emploi de celle-ci peut avoir en matière de preuve des échanges numériques.
Selon l’article 2 de cette directive, une signature électronique est : « une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification ». En Suisse, la loi du 19 décembre 2003 a adopté une définition identique [3].
On retrouve dans cette définition les deux aspects qui sont communément retenus pour définir juridiquement une signature : d’un côté, authentifier ; de l’autre, établir une relation avec le contenu du document signé [4].
Mais pour accorder un effet juridique fort à la signature électronique (notamment à titre de preuve des transactions numériques et des contrats conclus en ligne), celle-ci doit satisfaire en sus à des conditions de fiabilité particulière.
Les lois européennes ou suisses définissent dans des termes très proches ces caractéristiques techniques et organisationnelles auxquelles doivent satisfaire les différents éléments du système de signature employé (c’est-à-dire le procédé cryptographique, le logiciel qui le met en oeuvre et les certificats qui permettent de vérifier les signatures). Ces conditions concernent :

  • d’une part, le niveau de sécurité du procédé cryptographique de signature et des moyens techniques (logiciels et éventuellement matériels associés - tels que carte à mémoire, par exemple) qui permettent de créer les signature [5] ;
  • d’autre part, le niveau de fiabilité et de qualité des certificats et du processus de certification sur lesquels s’appuie le système de signature.
    Par exemple, le Code civil suisse -tel qu’il a été modifié à partir du 1er janvier 2005- prescrit désormais à son article 14.2bis que : la signature électronique qualifiée, basée sur un certificat qualifié émanant d’un fournisseur de services de certification reconnu au sens de la loi du 19 décembre 2003 sur la signature électronique est assimilée à la signature manuscrite.

L’admission des preuves numériques

Conséquence de la reconnaissance juridique de l’utilisation des techniques cryptographiques de signature (notamment, les techniques à clé publique), il devient aussi possible de prévoir que des écrits électroniques peuvent être admis juridiquement en tant que preuves, dès lors qu’ils présentent les qualités requises en matière d’authentification et de préservation de leur intégrité.

L’article 5.2 de la directive du 13 décembre 1999 a prescrit, en effet, que les états européens devaient veiller à ce que l’efficacité juridique et la recevabilité comme preuve en justice ne soient pas refusées à une signature électronique au seul motif que cette signature se présente sous forme électronique.
Allant plus loin dans ce sens, le Code civil français a même été modifié par la loi du 13 mars 2000 afin de transformer les règles relatives à la définition et aux conditions d’admission de toutes les preuves par écrit.
Désormais, la preuve par écrit est définie en France par l’article 1316 CCiv comme simplement constituée d’une suite de lettres, de caractères, de chiffres ou de tout autre signe ou symbole doté d’une signification intelligible, quels que soient leur support et leurs modalités de transmission (ce qui couvre tout à la fois la preuve papier et la preuve sur support numérique). Et le nouvel article 1316-1 CCiv précise que l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité.

À terme, cette large admissibilité des preuves numériques (et notamment des documents revêtus d’une signature électronique fiable) devrait largement contribuer à faire de l’espace numérique un espace régulé dans lequel chacun sera pleinement identifiable et devra assumer les conséquences juridiques de ses agissements. Et si cela peut susciter quelques inquiétudes, en cas d’abus, du point de vue de la protection de la vie privée, il est clair que cela devrait également améliorer sensiblement le niveau de sécurité des systèmes d’information.
En effet, tous ces moyens d’authentification et de contrôle de l’intégrité des échanges et des données vont rendre tout à la fois la traçabilité et la preuve plus aisées, et la fraude plus difficile tout en donnant aux relations numériques un cadre juridique fiable.
On voit bien ainsi que la contribution du droit à la sécurité des systèmes n’est pas seulement répressive, elle peut être aussi préventive. C’est également le cas s’agissant de la nécessaire utilisation des moyens contractuels pour encadrer et limiter à l’avance les risques d’insécurité qui peuvent apparaître dans tout projet de système d’information.

Contractualiser la sécurité d’un système


Utiliser le contrat est, en effet, un complément indispensable en amont à la mise en oeuvre des dispositions civiles relatives à la preuve et à la signature électronique ou des sanctions pénales réprimant les atteintes aux systèmes d’information.
Avant même de requérir les moyens de la loi, il est important de négocier et de fixer, entre les partenaires techniques qui vont contribuer à la mise en oeuvre du système, sa propre loi (car le contrat fait bien la loi des parties).
La mise en place d’un système d’information nécessite différents préalables techniques relatifs au choix et au paramétrage des moyens matériels et logiciels destinés à constituer le système. Mais parallèlement cette mise en place s’accompagne, le plus souvent, de l’établissement de relations contractuelles entre l’opérateur du système d’information et les différents fournisseurs et prestataires auxquels il a recours pour sa mise en oeuvre (société de services informatiques, hébergeur, prestataires de télécommunication, voire dans certains cas prestataire d’infogérance).
Tous ces prestataires doivent à leur client le respect de différentes obligations, les unes sont des obligations générales (qui convient de respecter même en l’absence de clauses prévues dans le contrat : c’est le cas de l’obligation de conseil et de l’obligation de délivrance), les autres dépendent des stipulations contractuelles qui ont été négociées.
Dans la mesure où les engagements relatifs à la sécurité du système d’information sont essentiels à la réussite d’un projet de système d’information, il est nécessaire que les différents contrats passés avec les prestataires comportent des dispositions particulières établissant et décrivant les obligations en la matière.
Les exigences de sécurité sont à prendre en compte dans tous les cas de figure : qu’il s’agisse de simples contrats de fourniture de moyen (matériel ou logiciel) dans lesquels il faut s’assurer que ce qui est fourni présentera bien le niveau de fiabilité et de sécurité requis pour la fonction que doit remplir le système ; ou qu’il s’agisse d’un cas où le prestataire assure un véritable service d’hébergement (de données, de site Web, d’applications, voire d’infogérance du système d’information dans son ensemble) pour lequel il doit garantir à son client qu’il prendra toutes les mesures appropriées, tant sur le plan physique que logique, pour assurer la sécurité des données ou des applications qui vont lui être confiées.

Ces dispositions spécifiques à la sécurité peuvent être, suivant les cas, de plusieurs natures :

  • soit un simple engagement général de chaque intervenant à mettre en oeuvre tous les moyens de sécurité nécessaires et conformes à l’état de l’art pour préserver la sécurité globale du système concerné (affirmation d’une obligation générale de sécurité) ;
  • soit une description plus précise des responsabilités respectives du client et du (ou des) prestataire(s) dans les différents aspects de la sécurité du système (répartition des rôles et des responsabilités en matière de sécurité) ;
  • soit la fixation détaillée (souvent dans une annexe de sécurité spécifique) des moyens et des procédures à mettre en oeuvre par les différents intervenants ;
  • soit encore, la détermination des objectifs techniques à respecter (en termes de disponibilité, de confidentialité, ...), par exemple dans le cadre de ce que l’on appelle (dans un contrat d’infogérance) un accord de Service Level Agreement ;
  • voire même, pour un projet particulièrement important, la conclusion d’un véritable accord de sécurité (security agreement) qui va lier tous les intervenants quant aux moyens et aux résultats à atteindre en matière de sécurité du futur système d’information à mettre en place.

Quel que soit le niveau de précision et d’engagement ou la forme retenue, ces clauses contractuelles relatives à la sécurité doivent être articulées entre elles. Si l’on a plusieurs prestataires ou fournisseurs (ce qui est le cas usuel), c’est bien une chaîne d’engagements contractuels relatifs à la sécurité qu’il faut organiser, de manière à éviter toute lacune, mais aussi tout recouvrement ou toute contrariété de responsabilité.
Bien évidemment, cette question de la contractualisation des engagements de sécurité conduit aussi à vérifier et à faire vérifier les aspects d’assurance qui doivent nécessairement sous-tendre lesdits engagements par les différents partenaires du projet de système d’information.
Ainsi, lorsque la prise en compte juridique des risques d’insécurité dans un projet de système d’information se traduit, dès l’amont du projet, au niveau des arrangements contractuels initiaux, on cumule généralement deux avantages décisifs pour la bonne sécurité globale du projet :

  • d’une part, l’opérateur-client du système d’information prend les meilleures garanties pour inciter ses partenaires à veiller à la sécurité et pour suivre au quotidien le maintien ou la dégradation des engagements pris et des résultats obtenus ;
  • d’autre part, ce faisant, la sécurité du système et son encadrement juridique vont s’intégrer très étroitement dans la stratégie globale de conception et de mise en oeuvre du système d’information concerné, ce qui est un gage certain d’efficacité sur le long terme.

En effet, comme le rappelait (à propos des systèmes de commerce électronique) notre collègue Vincent Gautrais, de l’Université de Montréal, la sécurité globale de ces outils de traitement de l’information repose largement sur la fiabilité et la rigueur qui doivent être apportées à leur organisation et aux procédures de mise en oeuvre : Alors que la gestion de l’information papier est chose connue, la gestion de l’information électronique balbutie et demeure en réalité une bien faible priorité. Au même titre que la vente à distance exigea au début du vingtième siècle une structure relationnelle solide, une vitrine efficace de commerce électronique requiert un encadrement sécuritaire stable. (...) il n’y aura pas, demain davantage qu’aujourd’hui, de commerce électronique sérieux et durable sans la mise en place d’une véritable structure organisationnelle de sécurité [6].

Les meilleurs instruments juridiques ne remplaceront jamais les moyens techniques nécessaires pour prémunir un système contre une tentative d’intrusion ou contre une manipulation frauduleuse de données. Mais en incitant chacun à définir son rôle, à assumer ses responsabilités et à utiliser des moyens dont la fiabilité est reconnue, le droit apporte une contribution modeste, mais indispensable, au processus global de sécurisation d’un système d’information.

[1] La troisième catégorie - concernant les contenus racistes et xénophobes - lui a été adjointe par un protocole additionnel en date du 28 janvier 2003.

[2] Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, Journal Officiel de la République Française, 22 juin 2004, p. 11168. Ce texte qui est en quelque sorte la loi-cadre du droit de l’Internet et du commerce électronique en France comporte d’ailleurs différentes dispositions relatives à la sécurité.

[3] Article 2a de la Loi fédérale sur les services de certification dans le domaine de la signature électronique (Loi sur la signature électronique, SCSE)

[4] Voir, par exemple, le nouvel article 1316-4 du Code civil français qui dispose - depuis la loi du 13 mars 2000 - que La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte.

[5] Voir, par exemple, la définition de la « signature avancée » donnée par l’article 2 de la directive du 13 décembre 1999, reprise à l’article de la loi suisse du 19 décembre 2003 ainsi que par l’article 1er du décret français du 30 mars 2001 (sous la dénomination de signature électronique sécurisée).

[6] Vincent Gautrais, Les aspects relatifs à la sécurité, Le guide juridique du commerçant électronique, Université de Montréal, 2003, p. 75



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.