Background Image
Table of Contents Table of Contents
Previous Page  69 / 72 Next Page
Information
Show Menu
Previous Page 69 / 72 Next Page
Page Background

Comment définir la cybercriminalité ?

Il s’agit de l’ensemble des infractions pénales commises à l’encontre

ou au moyen d’un système d’information et de communication. Ce

concept recoupe à la fois les atteintes aux biens (piratage d’ordina-

teurs ou de sites internet, vols de données, etc.) et aux personnes. Ces

atteintes se complexifient du fait des innovations technologiques et de

la dématérialisation (big data, cloud computing).

Les cibles principales sont les entreprises, victimes de cyber-attaques

(failles de sécurité, fuite de l’information, vol et divulgation de don-

nées sensibles, atteintes à leur e-reputation, etc.) et responsables

des données personnelles traitées en leur sein (fraudes externes ou

internes aux systèmes d’information).

Les entreprises mettent en œuvre des politiques de cybersécurité afin

de lutter contre le « risque externe » d’éventuelles intrusions fraudu-

leuses, et de limiter le « risque interne » de non-conformité à la régle-

mentation relative aux données personnelles (mise en place de chartes

de protection, codes éthiques, etc.) dont la sécurité est à leur charge

(article 226-17 du Code pénal).

On constate une prise de conscience des entreprises avec aujourd’hui

60 milliards de dollars dépensés chaque année dans le domaine de la

cybercriminalité et une hausse des dépenses évaluée à 10% par an du-

rant les 3 à 5 prochaines années (Etude PwC

1

).

Quel est le cadre juridique de la lutte contre la cybercriminalité ?

Cette lutte nécessite une politique de « cybersécurité », de contrôle et

de prévention des risques afin de sensibiliser les acteurs sur la protec-

tion des données personnelles.

Son cadre juridique se situe au niveau national (loi Informatique et

Libertés de 1978, loi Godfrain de 1988 relative aux fraudes informa-

tiques, loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie

numérique…) et européen (directive 95/46/CE sur les données person-

nelles, Convention de Budapest de 2001 sur la Cybercriminalité…). On

peut également citer la Charte des Droits Fondamentaux de l’UE et son

article 8, relatif à la protection des données personnelles.

Plusieurs organismes ont été créés, comme l’office central de lutte

contre la criminalité liée aux technologies de l’information et de la

communication, la brigade d’enquête sur les fraudes aux technologies

de l’information, etc.

La protection des données personnelles constitue le prolongement du

droit au respect de la vie privée consacré par l’article 12 de la Déclaration

Universelle des Droits de l’Homme et l’article 9 du Code civil.

L’impératif de sécurité doit s’accorder aux droits fondamentaux en vue

d’un équilibre entre la protection des intérêts de l’entreprise et la pro-

tection de la vie privée des salariés et leurs données personnelles.

Comment les entreprises gèrent-elles les risques nouveaux liés à la

cybercriminalité ?

Les entreprises mettent en œuvre une gestion de risques via une

cartographie et une hiérarchisation des risques. L’avènement de la

dématérialisation et le développement des objets connectés rendent

nécessaire la création d’un espace de confiance.

Parmi les mesures pouvant être mises en œuvre, on peut citer la sécuri-

sation du système d’information via un cryptage des données, la mise

en œuvre de chartes de sécurité, d’exercices de sécurité, ou encore la

sensibilisation des salariés des entreprises, premiers concernés par le

risque d’erreur humaine, lié notamment à l’apparition dans certaines

entreprises de la politique du « bring your own device ».

L’élimination totale des risques informatiques semble difficile pour une

entreprise, ce qui pose la question de l’externalisation de ces risques

et, bien sûr, de la souscription de couvertures d’assurance dédiées.

Le marché de l’assurance en matière de cyber-risques est encore limi-

té du fait de l’évolution constante des risques, de l’absence de recul

suffisant et de la difficulté d’évaluer leurs conséquences financières.

Néanmoins, des offres innovantes sont maintenant disponibles sur le

marché français, et méritent d’être étudiées par toute entreprise en

fonction de sa propre exposition.

LA CYBERCRIMINALITÉ

CADRE JURIDIQUE ET MOYENS

DE DÉFENSE DE L’ENTREPRISE

www.simmons-simmons.com

Par Sarah Bailey et Alexandre Regniault, Avocats, Simmons & Simmons LLP.

1

étude en date du 30 janvier 2013, intitulée «

Tendances et enjeux

de la sécurité de l’information

».

ATOUT RISK MANAGER, LA REVUE DE L’AMRAE

I N°7 I

DÉCEMBRE 2015

69

NOS PARTENAIRES

1 61 62 63 64 65 66 67 68 69 70 71 72  FlippingBook