Virus dans l’entreprise

Publié le 01/03/2006 - Management & Budget Informatique

Selon une étude publiée en février 2005 par l’éditeur de logiciels de sécurité Mac Afee, 1500 menaces potentielles malveillantes naîtraient chaque mois. Une étude du Clusif sur un panorama de la cybercriminalité en 2004 publié en janvier 2005 indique que plus de 1500 virus seraient aujourd’hui en circulation, et près de 7000 adwares (logiciels commerciaux non désirés) et spywares (logiciels espions qui analysent l’activité d’un ordinateur à l’insu de son propriétaire et qui peuvent y récupérer des informations confidentielles) ralentiraient chaque jour le fonctionnement des ordinateurs. Il faut également compter avec la menace interne à l’entreprise puisque, dans 70 % des cas, ce sont des employés ou d’ex -salariés qui, pour des raisons diverses, portent atteintes aux systèmes d’information de leurs employeurs ou ex-employeurs.

Les solutions passent bien sûr par la mise en place de procédures internes de contrôle : gestion des droits d’accès, mots de passe, logiciels antivirus, récupération des badges et des codes au moment du départ des employés, voire même des prestataires, à l’issue de leurs missions. Ces mesures, si elles sont indispensables se révèlent souvent insuffisantes.

L’entreprise, confrontée à cette situation n’est pas démunie sur le terrain pénal. En effet, le « fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient » constitue une infraction sanctionnée d’une peine de prison (5 ans) et d’une peine d’amende (75.000 euros) (CP., art. 323-3). Ainsi, toute manipulation de données, qu’il s’agisse de les introduire, de les supprimer, de les modifier ou de les maquiller, provoque, en toutes circonstances, une altération du système qui peut tomber sous le coup de l’infraction visée. L’élément intentionnel de l’infraction consiste à vouloir « fausser » le système, à lui faire produire un résultat différent de celui qui était attendu, par exemple à bloquer l’appel d’un programme ou d’un fichier. S’agissant de l’introduction d’un virus, l’élément intentionnel de l’infraction peut se déduire assez logiquement des faits eux-mêmes puisque l’acte a nécessairement pour objet d’entraîner des désordres, par exemple un ralentissement de la capacité de serveurs concurrents. La rigueur de la voie pénale a parfois conduit certaines entreprises à donner la préférence au terrain civil, notamment en dénonçant les failles des détecteurs des virus. Mais dans ce cas et le plus souvent, le fournisseur d’un détecteur de virus a prévu contractuellement qu’il n’était tenu que dans la limite de son engagement contractuel et a pris la précaution d’énumérer les virus susceptibles d’être éradiqués par le détecteur. Or, la difficulté de l’exercice réside précisément dans la multiplication des virus, lesquels gagnent de plus en plus en sophistication.

Autres publications