Hacking interne : Outrepasser ses privilèges
Le hacking interne est visé à l’article 550bis du Code pénal. Cet article punit toute personne qui outrepasse son pouvoir d’accès à un système informatique, tout en étant animé d’une intention frauduleuse ou dans le but de nuire.
La sanction prévue est un emprisonnement de six mois à deux ans et d’une amende de vingt-six à vingt-cinq mille euros ou d’une de ces peines seulement.
En cas de téléchargement, d’usage ou de dommage causé au système informatique, la peine sera aggravée. Les sanctions peuvent alors s’élever à un emprisonnement d’un à trois ans et d’une amende de vingt-six à cinquante mille euros ou d’une de ces peines seulement.
La curiosité : un vilain défaut ou une infraction pénale ?
Concrètement, les administrateurs des systèmes informatiques confèrent des droits aux utilisateurs. Ceux-ci peuvent alors accéder à différents fichiers ou applications.
Toutefois, certains cèdent parfois à la tentation, par curiosité ou par appât du gain. Les remous médiatiques autour des accès non autorisés au dossier médical d’un célèbre pilote automobile sont le parfait exemple.
La Cour d’appel correctionnelle de Gand avait été saisie d’un cas de hacking interne par un employé. Ce dernier avait accédé à des informations confidentielles auxquelles il n’aurait pas dû avoir accès vu sa fonction.
Condamné en appel, l’employé avait introduit un pourvoi en cassation. Il faisait notamment valoir qu’il disposait effectivement d’un droit d’accès à l’ensemble du système informatique, puisqu’il était responsable de la maintenance du réseau.
Dans un arrêt du 24 janvier 2017, la Cour de cassation l’a suivi. Selon la Cour, l’infraction de hacking interne doit s’apprécier au regard des droits d’accès effectivement accordé à l’employé. Et non au regard des éléments auxquels il devrait avoir accès vu les objectifs de sa fonction.
Limiter effectivement les accès
Il peut être tentant de laisser un accès le plus large possible au système informatique. C’est évidemment bien plus simple à gérer pour les sysadmin.
Un log des accès permettra éventuellement d’intervenir a posteriori pour sanctionner tout dépassement.
L’arrêt de la Cour de Cassation ci-dessus démontre toutefois les limites inhérentes à ce modèle.
Le Règlement Général sur la Protection des Données a renforcé les obligations qui pèsent sur vous en terme de sécurité des données à caractère personnel et surtout les sanctions en cas de manquement.
Notre conseil :
Faites régulièrement le point sur l’organisation et la protection de votre patrimoine informationnel.
Vos données sont-elles bien protégées ? Vos employés sont-il bien informés de leurs droits et obligations en matière d’accès ? Ont-ils accès uniquement aux catégories de données qui sont pertinentes pour leur activité ?
Il est toujours utile d’envisager ces questions à la lueur des développements techniques et des incidents vécus.