1 / 18

L’attaque rebond Réunion de crise

L’attaque rebond Réunion de crise. Olivier ITEANU Avocat à la Cour d’Appel de Paris Avec le concours de la Sté NTI.

donar
Télécharger la présentation

L’attaque rebond Réunion de crise

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. L’attaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour d’Appel de Paris Avec le concours de la Sté NTI

  2. Votre entreprise est victime d’une attaque rebond. Un de ses serveurs a été pénétré à son insu puis à servi de rebond pour attaquer les serveurs de l’un de vos concurrents. Ce concurrent, qui n’a identifié que des traces émanant de votre entreprise sur son serveur, exige aujourd’hui une explication. En outre, à l’occasion de l’attaque, une base de données clients et prospects a été partiellement pillée.

  3. Précisions • L ’attaque a eu lieu il y a trois mois et vient seulement de se révéler • On sait que l ’attaquant vient de l ’étranger et qu ’il va être très difficile, voire illusoire, de l ’identifier pour le poursuivre

  4. Pénale Atteinte à l’ordre public Amende Peine privative de liberté Susceptible d’atteindre les personnes physiques Civile Atteinte à des intérêts privés Dommages et intérêts Publications Les responsabilités encourues Rappel

  5. Responsabilité Pénale

  6. Délit d’accès frauduleux • Article 323-1 du Code Pénal Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un STAD est puni de deux ans d’emprisonnement et de 30K€ d’amende Délit constitué par la simple tentative Qu’il y ait ou non des dégâts Le simple accès est sanctionné

  7. Notre entreprise Oui L’entreprise concurrente Oui Application à notre cas

  8. Un délit aggravé en cas de dégats • Article L 323-1 alinéa 2 du CP Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende • Article L 323-3 du CP Le fait d’introduire frauduleusement des données dans un STAD ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75 K€. Le cas du sabotage

  9. Notre entreprise A priori non L’entreprise concurrente A priori Oui Application à notre cas

  10. Les victimes à ne pas oublier • Les fichiers clients / prospects • Des données à caractère personnel (personnes physiques susceptibles d ’être identifiées)

  11. Une obligation générale de sécurité sévèrement réprimée par la loi • Article 226-17 du Code Pénal « Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 300.000 euros d'amende. » Le responsable du traitement: l ’entreprise concurrente

  12. Responsabilité Civile

  13. Article 1382 du Code CivilTout fait quelconque de l ’homme qui cause à autrui un dommage oblige celui par la faute duquel il est arrivé à le réparer. Article 1383 Chacun est responsable du dommage qu ’il a causé non seulement par son fait, mais encore par sa négligence ou son imprudence Article 1384 du code CivilOn est responsable non seulement du dommage que l ’on cause par son propre fait mais encore de celui qui est causé par les personnes dont on doit répondre (…) Les maîtres et les commentants du dommage causé par leurs domestiques et leurs préposés dans les fonctions auxquelles ils les ont employées. Les textes de base

  14. Trois hypothèses pas forcément alternatives • On négocie, « on paie » • On porte plainte • Ministère de l’Intérieur (confidentiel) • Plainte simple Procureur • Plainte Juge d ’Instruction • On monte un dossier pour montrer notre bonne foi (pas toujours exonératoire), l ’absence de fautes et de négligences Dans tous les cas, on répond.

  15. Remarque • Article L 39-3 du CPCE I. - Est puni d'un an d'emprisonnement et de 75 000 euros d'amende le fait pour un opérateur de communications électroniques ou ses agents :1º De ne pas procéder aux opérations tendant à effacer ou à rendre anonymes les données relatives aux communications dans les cas où ces opérations sont prescrites par la loi ;2º De ne pas procéder à la conservation des données techniques dans les conditions où cette conservation est exigée par la loi.Les personnes physiques coupables de ces infractions encourent également l'interdiction, pour une durée de cinq ans au plus, d'exercer l'activité professionnelle à l'occasion de laquelle l'infraction a été commise.

  16. Olivier ITEANU Avocat à la Cour d ’Appel de Paris contact@iteanu.com www.iteanu.com

More Related