REVUE

Recommendations

Info

droit réGImE JurIDIQuE Du rAnSomWArE ou PrISE D'oTAGE numérIQuE rGPD, cette notification doit intervenir dans les 72 heures à compter de sa connaissance auprès de l’autorité de contrôle et lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne, la notification à la personne concernée doit s’opérer dans les meilleurs délais (art. 34 du rGDP). D’un autre côté, il ne faut pas oublier qu’il existe aussi l’impossibilité d’accéder aux autres données, qui portent sur les produits, les services ou les marchés, de nature technique, économique et ne concernent pas les traitements de données à caractère personnel. Cela fait référence, par exemple, à celles qui auraient été marquées comme relevant du secret des (5) Directive (uE) 2016/943 du Parlement Européen et du Conseil du 8 juin 2016 sur la protection des savoirfaire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites ; Sabine marcellin et Thibaut manoir de Juay, Le secret des affaires, Lexisnexis, 2016. (6) Jean-Laurent Santoni, Cybercriminalité, Le ransomware est-il assurable ?, Expertises, Juin 2016, v. p. 219. affaires 5 et ne sont pas protégées par les droits de propriété intellectuelle. Le ransomware est-il assurable ? Le fait que le ransomware soit assurable suscite une objection majeure : cela « pourrait favoriser la collusion frauduleuse entre l’assuré et l’auteur de l’extorsion 6 ». Si l’on raisonne par analogie, on peut également s’interroger sur la licéité de l’assurance portant sur les rançons versées à l’occasion d’enlèvement de personnes physiques. mais pourquoi interdire en droit français des assurances ce qui serait autorisé aux concurrents étrangers ? Cela risquerait de créer une forte distorsion de concurrence au préjudice des assureurs français. ii/. Quelles qualifications juridiques ? Les infractions juridiques Face à ces nouvelles formes de menaces numériques, le Code pénal dispose d’un arsenal de dispositions aptes à apporter des réponses à ces pratiques délictuelles. À ce titre, on observera tout d’abord que les textes légaux classiques depuis la loi Godfrain de 1988 (modifiés à plusieurs reprises) permettent de réprimer les atteintes aux systèmes d’information avec les articles 323-1 et 323-3 du Code pénal : introduction, maintien frauduleux dans un système d’information, altération du fonctionnement du SI, introduction frauduleuse des données dans un STAD (extraction, détention, reproduction, transmission, suppression modification). Les sanctions varient entre 2 et 5 ans d’emprisonnement et de 60 à 150.000 euros d’amende, sauf dans l’hypothèse où l’on est en présence d’un système de traitement de données à caractère personnel mis en œuvre par l’état, pour lequel le Code pénal prévoit des sanctions plus lourdes (articles 323-1, al.3 7 , 323-2, al. 2 8 et 323-3, al.2 du Code pénal). Dans le cadre du ramsonware, on aura plutôt recours à une qualification se fondant sur l’article 323-3 du Code pénal: 182 Revue de la Gendarmerie Nationale 4 e trimestre 2016
droit réGImE JurIDIQuE Du rAnSomWArE ou PrISE D'oTAGE numérIQuE (7) « Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d'amende. » (8) « Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300 000 € d'amende ». (9) CA Paris, pôle 4, ch. 10, 5 févr. 2014, n° 13/04833 : Comm. com. électr. 2014, comm. 40, éric A. Caprioli. ; Cass. Crim. 20 mai 2015, n° de pourvoi : 14-81.336, JurisData n° 2015-011834 ; Comm. com. électr. septembre 2015, comm. 74, éric A. Caprioli. « le fait d’introduire frauduleusement des données » dans un SI, « d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient », puisqu'il y a modification lorsque les données sont chiffrées par un tiers de sorte qu’elles soient inutilisables. L’introduction frauduleuse de données est réalisée (les données de chiffrement). En revanche, la qualification de vol, telle que l’a consacrée la Cour de cassation le 20 mai 2015 9 n’est pas possible car en l’espèce, il n’y a ni soustraction, ni reproduction des données contenues dans le système. D’un autre côté, il semble également envisageable de s’appuyer sur l’article 323-3-1 du Code pénal qui permet de sanctionner l’offre, l’importation, la détention, la mise à disposition ou la cession de programme malveillant si tant est que l’on puisse saisir « un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ». De plus, ces infractions sont encore plus sévèrement réprimées dès lors que la préparation s’effectue en groupe ou qu’elles sont commises en bandes organisées, ce qui est souvent le cas des attaques de type ramsonware (ex : près de 325 millions de dollars au même groupe de cybercriminels avec cryptoWall 3.0). Deux autres délits non spécifiques au numérique pourraient trouver à s’appliquer : l’extorsion de fonds et le chantage. S’agissant du premier, l’article 312-1 du Code pénal dispose : « L'extorsion est le fait d'obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque. L'extorsion est punie de sept ans d'emprisonnement et de 100 000 euros d'amende. » La qualification semble délicate à établir dans la mesure où il sera difficile de considérer que le fait de chiffrer des données appartenant à autrui soit de la violence ou une menace de violence ou encore une contrainte. L’action réalisée avec le ransomware est d’un autre type non prévu par le texte. En ce qui concerne le chantage, là encore, la formulation du délit n’est pas adaptée au cas de prise d’otage de données numériques. Ce délit est réprimé à l’article 4 e trimestre 2016 Revue de la Gendarmerie Nationale 183
Page 1 and 2:
INTERNATIONAL > Safe Harbour DROIT
Page 3 and 4:
avant-ProPos numéro 256 Ce que pro
Page 5 and 6:
Dossier Une sécurité intelligente
Page 7 and 8:
internationaL Vers un agenda franco
Page 9 and 10:
internationaL VErS un AGEnDA FrAnCo
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
internationaL Les implications juri
Page 17 and 18:
internationaL LES ImPLICATIonS JurI
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
société La DAcG et la lutte contr
Page 25 and 26:
Les acteurs régaLiens LA DACG ET L
Page 27 and 28:
société Les acteurs régaliens de
Page 29 and 30:
Les acteurs régaLiens LES ACTEurS
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
Page 45 and 46:
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
Page 57 and 58:
Page 59 and 60:
dossier Le dispositif d’assistanc
Page 61 and 62:
dossier Le dispositif d’assistanc
Page 63 and 64:
dossier PHAros : agir contre les co
Page 65 and 66:
dossier PHAroS : AGIr ConTrE LES Co
Page 67 and 68:
dossier PHAroS : AGIr ConTrE LES Co
Page 69 and 70:
dossier Les périphériques Usb en
Page 71 and 72:
dossier LES PérIPHérIQuES uSB En
Page 73 and 74:
dossier Le calculateur quantique, m
Page 75 and 76:
dossier LE CALCuLATEur QuAnTIQuE, m
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
dossier « bug bounty Program » :
Page 83 and 84:
dossier « BuG BounTy ProGrAm » :
Page 85 and 86:
dossier L’influence de la communa
Page 87 and 88:
dossier L’InFLuEnCE DE LA CommunA
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
dossier La formation en cybersécur
Page 95 and 96:
dossier LA FormATIon En CyBErSéCur
Page 97 and 98:
dossier Les crypto monnaies : une i
Page 99 and 100:
dossier LES CryPTo monnAIES : unE I
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
dossier Le cyberespace et les enjeu
Page 107 and 108:
dossier LE CyBErESPACE ET LES EnJEu
Page 109 and 110:
dossier LE CyBErESPACE ET LES EnJEu
Page 111 and 112:
dossier Les enjeux relatifs à la t
Page 113 and 114:
dossier LES EnJEuX rELATIFS À LA T
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
dossier Former des citoyens numéri
Page 123 and 124:
dossier FormEr DES CIToyEnS numérI
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
dossier La communication « Machine
Page 131 and 132: dossier LA CommunICATIon « mACHInE
Page 133 and 134: dossier LA CommunICATIon « mACHInE
Page 135 and 136: Comme le prône l'Institut de reche
Page 137 and 138: techniQue collectivités locales et
Page 139 and 140: techniQue CoLLECTIVITéS LoCALES ET
Page 145 and 146: techniQue La cybersécurité effica
Page 147 and 148: techniQue LA CyBErSéCurITé EFFICA
Page 153 and 154: techniQue La mission ecoter et les
Page 155 and 156: techniQue LA mISSIon ECoTEr ET LES
Page 161 and 162: droit Les évolutions en matière d
Page 163 and 164: droit LES éVoLuTIonS En mATIèrE D
Page 165 and 166: droit LES éVoLuTIonS En mATIèrE D
Page 167 and 168: droit cybercriminalité et compéte
Page 169 and 170: droit CyBErCrImInALITé ET ComPéTE
Page 171 and 172: droit CyBErCrImInALITé ET ComPéTE
Page 173 and 174: droit Un autre aspect de la sécuri
Page 175 and 176: droit un AuTrE ASPECT DE LA SéCurI
Page 177 and 178: droit un AuTrE ASPECT DE LA SéCurI
Page 179 and 180: droit régime juridique du ransomwa
Page 181: droit réGImE JurIDIQuE Du rAnSomWA
Page 185 and 186: droit réGImE JurIDIQuE Du rAnSomWA
Page 187: Le CECyF Le centre expert contre la
show all

REVUE

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?