Usurpation de codes informatiques, détournement des systèmes de protection, introduction d’opérations fictives dans le système d’information, autant de pratiques relancées par les récents événements survenus dans le secteur bancaire. Ces agissements sont susceptibles de recevoir une qualification pénale.Ainsi, de nombreuses dispositions (1) répriment avec rigueur la fraude informatique. Articulée autour de quatre incriminations, la répression des atteintes aux systèmes de traitement automatisé de données porte sur :
- le fait d’accéder ou de se maintenir frauduleusement dans toute ou partie d’un système d’information, avec ou sans influence ;
- le fait d’entraver ou de fausser le fonctionnement d’un système d’information ;
- le fait d’introduire frauduleusement des données dans un système d’information ou de supprimer ou modifier frauduleusement les données qu’il contient ;
- le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçue ou spécialement adaptée pour commettre une fraude informatique.
La fraude informatique donne lieu à de lourdes sanctions, notamment financières, à l’encontre des personnes physiques et des personnes morales(2).
Cette délinquance toujours plus ingénieuse est souvent le fruit de la malveillance interne. Certains y voient le résultat d’une absence d’étique(3) qu’un dispositif de régulation doit permettre de compenser. En matière d’usage des ressources des systèmes d’informations de l’entreprise, on veillera ainsi à disposer d’une charte d’utilisation adjointe à la charte des administrateurs systèmes. La charte d’utilisation, dont la vocation est de réguler l’usage des systèmes informatiques et de télécommunications, permet aussi de sensibiliser les utilisateurs à ce qui est interdit par la loi, par exemple, contrefaçon, traitement de données à caractère personnel et fraude informatique. La charte administrateur, qui encadre les fonctions assurées par ce personnel, permet aussi de faciliter l’administration de la preuve des usages indélicats, ou tout simplement pénalement répréhensibles, ce qui fait parfois défaut en la matière (fiabilité des preuves numériques et difficultés de la preuve du caractère intentionnel et de l’imputabilité).
(1) C. pén., art. 323-1 et s.
(2) TGI Paris, 12e ch., 02/06/2006.
(3) Les entreprises et la fraude, étude Grant Thornton, juin 2002. www.grantthornton.fr
Autres brèves
- La gouvernance des systèmes d’information (SI) : une nécessité ! (Mise en ligne Mars 2006)
- Gérer la convergence des systèmes d’information (Mise en ligne Juin 2006)
- Renforcer la politique de sécurité : une préocupation constante de l’entreprise (Mise en ligne Mars 2004)
- Les implications de la SOX sur les SI (Mise en ligne Juillet-Août 2002)