Cette attaque qui a pour but de rendre indisponible des dispositifs réseaux type messageries électroniques, systèmes d’impression ou, plus fréquemment, portail internet. Cela dans le but d’empêcher les utilisateurs légitimes d’y accéder.

Si, sur le plan juridique, le déni de service n’a pas de qualification propre, il rentre cependant dans le cadre légal des délits informatiques définis par le droit pénal. Pour être incriminé, trois conditions doivent être réunies : un aspect légal (le fait que l’acte soit réprimé pénalement), un élément matériel (c’est-à-dire une exécution ou son commencement), et une donnée morale (le fait de commettre l’acte répréhensible sciemment).

Précisons que le pouvoir d’interprétation du juge est également important.

Les trois éléments juridiques

Dans le cas du déni de service, l’élément matériel consiste à entraver, ou fausser, le fonctionnement d’un système de traitement automatisé. Il représente une perturbation flagrante, accompagnée d'une volonté d’empêcher l’usage normal et légitime du service.

L’élément intentionnel est caractérisé, quant à lui, par l’intention de causer un dommage à autrui.

Enfin, plusieurs qualifications s'avèrent possibles pour faire sanctionner le déni de service.

Tout d'abord, l’application de l’article 323-2 du code pénal, qui réprime « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données » et le punit « de trois ans d’emprisonnement et de 45 000 euros d’amende ».

Ensuite, la notion abordée par certains auteurs « d’arme numérique », au sens de l’article 323-3-1 du Code pénal qui décrit « le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévus par les articles 323-1 à 323-3 du Code pénal. » Celle-ci est passible « des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »

Conséquences

Indépendamment des spécificités d’une activité sectorielle (Sarbanes-Oxley pour les entreprises cotées), le RSSI doit respecter la législation sur les données à caractère personnel (déclaration auprès de la Cnil), ou encore les obligations de conservation et d’archivage des données de connexion.

La recherche d’informations, par exemple, doit s’opérer avec une grande prudence, notamment dans le cadre du respect du secret des correspondances et de la protection des données à caractère personnel. A défaut de respecter les prescriptions légales dans la collecte de preuves, ces dernières ne seraient pas recevables dans le cadre d’une procédure.

Une charte d’utilisation des outils informatiques devra, à cet effet, être mise en place au sein de l’entreprise, en concertation avec les différents institutions représentant le personnel, tout en informant individuellement le salarié. Il s'agit d’encadrer la pratique tant en interne qu’en cas de connexion externe au système d’information de l’entreprise. Cette charte aura pour fonction, notamment, d’encadrer l’usage et de collecter, éventuellement, des éléments.

Auteur : Garance Mathias, pour 01net.
Avocate, elle a décidé de créer sa propre structure consacrée à l'activité des entreprises et plus particulièrement aux problématiques de sécurité informatique, de contrats tant en conseil qu'en contentieux. Garance Mathias a accepté de nous apporter un éclairage à partir de son expérience issue de la rencontre entre juridique et sécurité informatique.

A lire sur le même sujet : "Le déni de service, nouveau fléau", par Stéphane Bellec.