8 Alfred de Mortier 06000 Nice

images

Sécurité des systemes de traitements automatises

Sécurité des systemes de traitements automatises

SECURITE DES SYSTEMES DE TRAITEMENTS AUTOMATISES DE DONNEES (STAD). CONDAMNATION DU RESPONSABLE DE LA SECURITE INFORMATIQUE POUR MANQUEMENT A SON OBLIGATION DE LOYAUTE.

Le responsable de la sécurité informatique d’une société était poursuivi devant le Tribunal Correctionnel de RENNES pour « avoir frauduleusement introduit ou modifié des données dans le système de traitement automatisé de la société, en modifiant le logiciel « Open SSH » aux fins de récupérer les « login » et « mots de passe » des utilisateurs se connectant sur le serveur dénommé « galette » et en introduisant sur son ordinateur connecté au réseau interne de l’entreprise, des logiciels dits de « snif » permettant de capter les droits d’accès des utilisateurs et d’intercepter leurs messages électroniques ».

Pour sa défense, le prévenu faisait valoir qu’en sa qualité d’administrateur du réseau, il avait par nature accès à toutes les données et prétendait ses actes motivés par la recherche et le développement de la sécurité.

Le Tribunal le condamnait à 6 mois d’emprisonnement avec sursis et à une amende de 1.500 euros au visa des articles 323-3 et 323-5 du Code Pénal considérant qu’il avait manqué à son obligation de loyauté, puisqu’ « exerçant une profession plaçant ses partenaires dans un état de réelle dépendance impliquant qu’ils puissent lui accorder une confiance totale ».

Cette décision est révélatrice de la volonté des Tribunaux de faire dorénavant respecter des règles de loyauté et d’éthique par les personnes responsables de la sécurité de l’information et des systèmes d’information.

T.G.I RENNES 21 février 2008, n°0352216 – P. NB : Il est bien évidemment conseillé aux dirigeants de sociétés informatiques d’anticiper autant que faire se peut le problème en prévoyant des clauses spécifiques dans le contrat de travail des responsables de la sécurité informatique, voire en instituant au sein de l’entreprise une charte éthique relative à l’accès et à la conservation de l’information au sein de l’entreprise.