18
L’attaque rebond L’attaque rebond Réunion de crise Réunion de crise Olivier ITEANU Olivier ITEANU Avocat à la Cour d’Appel de Avocat à la Cour d’Appel de Paris Paris Avec le concours de la Sté NTI Avec le concours de la Sté NTI

Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Embed Size (px)

Citation preview

Page 1: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

L’attaque rebond L’attaque rebond Réunion de criseRéunion de crise

Olivier ITEANUOlivier ITEANUAvocat à la Cour d’Appel de ParisAvocat à la Cour d’Appel de Paris

Avec le concours de la Sté NTIAvec le concours de la Sté NTI

Page 2: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Votre entreprise est victime d’une attaque Votre entreprise est victime d’une attaque rebond. Un de ses serveurs a été pénétré rebond. Un de ses serveurs a été pénétré à son insu puis à servi de rebond pour à son insu puis à servi de rebond pour attaquer les serveurs de l’un de vos attaquer les serveurs de l’un de vos concurrents. Ce concurrent, qui n’a concurrents. Ce concurrent, qui n’a identifié que des traces émanant de votre identifié que des traces émanant de votre entreprise sur son serveur, exige entreprise sur son serveur, exige aujourd’hui une explication. En outre, à aujourd’hui une explication. En outre, à l’occasion de l’attaque, une base de l’occasion de l’attaque, une base de données clients et prospects a été données clients et prospects a été partiellement pillée.partiellement pillée.

Page 3: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI
Page 4: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

PrécisionsPrécisions

L ’attaque a eu lieu il y a trois mois L ’attaque a eu lieu il y a trois mois et vient seulement de se révéleret vient seulement de se révéler

On sait que l ’attaquant vient de On sait que l ’attaquant vient de l ’étranger et qu ’il va être très l ’étranger et qu ’il va être très difficile, voire illusoire, de l ’identifier difficile, voire illusoire, de l ’identifier pour le poursuivrepour le poursuivre

Page 5: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

AVOCATATTAQUANT

Société d’Avocats – Law Office

: oi- ENTREPRISE VICTIME / NOITRE ENTREPRISE:

NOTRE ENTREPRISEMonsieur le Président

Paris, le 14 juin 2005

re Recommandée AR

Monsieur le Président,

Je vous écris en ma qualité de Conseil de l’entreprise concurrente.

Mon client m’indique qu’il a été victime d’une attaque sur ses serveurs identifiée comme émanantsans contestation possible de votre entreprise. A cette occasion, des milliers de coordonnées de nosclients et prospects ont été , dérobées.

Ainsi donc, à la date de ce jour, le préjudice subi par ma cliente s’élève à plusieurs millions d’euros,sauf à parfaire.

La présente a pour objet de VOUS METTRE EN DEMEURE de, sous 72 ouvrées à compter desa réception, d’une part, me confirmer par retour que vous prenez sans délai toutes dispositionsafin qu’une telle situation ne se renouvelle pas, d’autre part, que vous m’indiquiez le montant dedédommagement que votre entreprise consent dès à présent à régler à mon client en réparation dupréjudice subi. Je me tiens à votre entière disposition pour vous produire tous justificatifs dupréjudice provisoire subi par mon client.

La présente a également pour objet de vous mettre en demeure dans les mêmes délais de détruiretoutes données appartenant à mon client dont vous être entrés en possession à l’occasion del’attaque.

A défaut de vous exécuter dans les délais précités, je vous indique que j’ai reçu instructions deporter l’affaire sur le plan judiciaire à l’effet de défendre les intérêts de mon client.

Je reste à la disposition de votre Conseil habituel pour toutes informations complémentaires.

Je vous prie de croire, Monsieur le Président, à l’expression de mes sentiments les meilleurs.

Avocat à la Cour

Page 6: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Les responsabilités encourues Les responsabilités encourues RappelRappel

PénalePénale– Atteinte à l’ordre Atteinte à l’ordre

publicpublic– AmendeAmende– Peine privative de Peine privative de

libertéliberté– Susceptible Susceptible

d’atteindre les d’atteindre les personnes personnes physiquesphysiques

CivileCivile– Atteinte à des Atteinte à des

intérêts privésintérêts privés– Dommages et Dommages et

intérêtsintérêts– PublicationsPublications

Page 7: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Responsabilité PénaleResponsabilité Pénale

Page 8: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Délit d’accès frauduleuxDélit d’accès frauduleux

Article 323-1 du Code PénalArticle 323-1 du Code PénalLe fait d’accéder ou de se maintenir Le fait d’accéder ou de se maintenir

frauduleusement dans tout ou partie frauduleusement dans tout ou partie d’un STAD est puni de deux ans d’un STAD est puni de deux ans d’emprisonnement et de 30K€ d’emprisonnement et de 30K€ d’amended’amende

Délit constitué par la simple tentativeDélit constitué par la simple tentative

Qu’il y ait ou non des dégâtsQu’il y ait ou non des dégâts

Le simple accès est sanctionnéLe simple accès est sanctionné

Page 9: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Application à notre casApplication à notre casNotre entrepriseNotre entreprise

OuiOuiL’entreprise L’entreprise concurrente concurrente

OuiOui

Page 10: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Un délit aggravé en cas de dégatsUn délit aggravé en cas de dégats

Article L 323-1 alinéa 2 du CPArticle L 323-1 alinéa 2 du CP

Lorsqu'il en est résulté soit la suppression ou la Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros est de trois ans d'emprisonnement et de 45000 euros d'amended'amende

Article L 323-3 du CPArticle L 323-3 du CP

Le fait d’introduire frauduleusement des données dans un Le fait d’introduire frauduleusement des données dans un STAD ou de supprimer ou de modifier frauduleusement STAD ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans les données qu’il contient est puni de cinq ans d’emprisonnement et de 75 K€.d’emprisonnement et de 75 K€.

Le cas du sabotageLe cas du sabotage

Page 11: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Application à notre casApplication à notre casNotre entrepriseNotre entreprise

A priori nonA priori non

L’entreprise L’entreprise concurrente concurrente

A priori OuiA priori Oui

Page 12: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Les victimes à ne pas oublierLes victimes à ne pas oublier

Les fichiers clients / prospectsLes fichiers clients / prospects

– Des données à caractère personnel Des données à caractère personnel (personnes physiques susceptibles (personnes physiques susceptibles d ’être identifiées)d ’être identifiées)

Page 13: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Une obligation générale de sécurité Une obligation générale de sécurité sévèrement réprimée par la loisévèrement réprimée par la loi

Article 226-17 du Code PénalArticle 226-17 du Code Pénal

« Le fait de procéder ou de faire procéder à un traitement « Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de non autorisés est puni de cinq ans d'emprisonnement et de 300.000 euros d'amende. »300.000 euros d'amende. »

Le responsable du traitement: l ’entreprise concurrenteLe responsable du traitement: l ’entreprise concurrente

Page 14: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Responsabilité CivileResponsabilité Civile

Page 15: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Les textes de baseLes textes de baseArticle 1382 du Article 1382 du Code CivilCode CivilTout fait quelconque de Tout fait quelconque de l ’homme qui cause à autrui l ’homme qui cause à autrui un dommage oblige celui un dommage oblige celui par la faute duquel il est par la faute duquel il est arrivé à le réparer.arrivé à le réparer.

Article 1383Article 1383 Chacun est responsable du Chacun est responsable du

dommage qu ’il a causé non dommage qu ’il a causé non seulement par son fait, mais seulement par son fait, mais encore par sa négligence ou encore par sa négligence ou son imprudenceson imprudence

Article 1384 du Article 1384 du code Civilcode CivilOn est responsable non On est responsable non seulement du dommage que seulement du dommage que l ’on cause par son propre l ’on cause par son propre fait mais encore de celui qui fait mais encore de celui qui est causé par les personnes est causé par les personnes dont on doit répondre (…) dont on doit répondre (…) Les maîtres et les Les maîtres et les commentants du dommage commentants du dommage causé par leurs domestiques causé par leurs domestiques et leurs préposés dans les et leurs préposés dans les fonctions auxquelles ils les fonctions auxquelles ils les ont employées.ont employées.

Page 16: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Trois hypothèses pas forcément Trois hypothèses pas forcément alternatives alternatives

On négocie, « on paie »On négocie, « on paie »On porte plainteOn porte plainte– Ministère de l’Intérieur (confidentiel)Ministère de l’Intérieur (confidentiel)– Plainte simple ProcureurPlainte simple Procureur– Plainte Juge d ’InstructionPlainte Juge d ’InstructionOn monte un dossier pour montrer notre On monte un dossier pour montrer notre bonne foi (pas toujours exonératoire), bonne foi (pas toujours exonératoire), l ’absence de fautes et de négligencesl ’absence de fautes et de négligences

Dans tous les cas, on répond.Dans tous les cas, on répond.

Page 17: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

RemarqueRemarque

Article L 39-3 du CPCEArticle L 39-3 du CPCEI. - Est puni d'un an d'emprisonnement et de 75 000 euros

d'amende le fait pour un opérateur de communications électroniques ou ses agents :1º De ne pas procéder aux opérations tendant à effacer ou à rendre anonymes les données relatives aux communications dans les cas où ces opérations sont prescrites par la loi ;2º De ne pas procéder à la conservation des données techniques dans les conditions où cette conservation est exigée par la loi.Les personnes physiques coupables de ces infractions encourent également l'interdiction, pour une durée de cinq ans au plus, d'exercer l'activité professionnelle à l'occasion de laquelle l'infraction a été commise.

Page 18: Lattaque rebond Réunion de crise Olivier ITEANU Avocat à la Cour dAppel de Paris Avec le concours de la Sté NTI

Olivier ITEANUOlivier ITEANU

Avocat à la Cour d ’Appel de Avocat à la Cour d ’Appel de Paris Paris

[email protected] [email protected] www.iteanu.comwww.iteanu.com