2SIO CEJMA - TD n°1

LA REGLEMENTATION EN MATIERE DE LUTTE

CONTRE LA FRAUDE INFORMATIQUE : infractions
/sanctions

Compétences à maîtriser : identifier les infractions et les sanctions liées à la fraude

informatique
B3.4. Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et
des données de l’organisation face à des cyberattaques.

Les cyberattaques représentent de risques notamment économiques et juridiques pour

l’organisation.

SITUATION

Le Responsable de la sécurité des systèmes d’information

Cette fiche ne traite pas :

-des atteintes aux droits de la personne résultant des fichiers ou des traitements
informatiques
-de l’usurpation d’identité
-des infractions visées par d’autres codes que le Code pénal, notamment le Code de la

______________________________________________________________ page 1
2SIO – C .CORRE - CEJMA TD n°1
Propriété Intellectuelle ou encore le code de la Défense.
La cybercriminalité contre les biens s’inscrit dans un phénomène de virtualisation des
infractions et pour lesquelles les technologies de l’information et de la communication
apparaissent aujourd’hui comme un vecteur permettant leur réalisation.
On peut citer par exemple l’escroquerie qui se traduit dans le monde du numérique par le
«phishing» ou «hamecçonnage» ou encore «la fraude au président» ou encore l’extorsion
qui se traduit en «ransomware» ou «rançongiciel».
Les systèmes d’information et de télécommunication deviennent ainsi le moyen de
l’infraction.

Missions :
1. Analyser l’arrêt de la Cour de cassation du 20 mai 2015 qui consacre le vol de
données numériques (fiche méthode page 323)
2. puis rechercher les énoncés des articles du code pénal qui sanctionnent les
infractions commises.
3. Réaliser une carte mentale (idées essentielles) à retenir du TD.

Criminalité liée aux biens, piratage informatique

Les atteintes aux biens liées aux formes de criminalité traditionnelle

La consécration du vol de données par la Cour de cassation, 20 mai 2015

LA COUR DE CASSATION, CHAMBRE CRIMINELLE, a rendu l'arrêt suivant :
Statuant sur le pourvoi formé par :
- M. Olivier X...,contre l'arrêt de la cour d'appel de PARIS, en date du 5 février 2014
La COUR, […]
en ce que l'arrêt infirmatif attaqué a déclaré M. X... coupable des faits qui lui sont reprochés
de maintien frauduleux dans un système de traitement automatisé de données et l'a condamné
à une amende délictuelle de 3 000 euros ;
"aux motifs […]que l'accès qu'il ne conteste pas, lui a, en fait, été permis en raison d'une
défaillance technique concernant les certificats existants dans le système, défaillance que
reconnaît l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du
travail ;[…]
que le prévenu a parfaitement reconnu qu'après être arrivé par erreur au cœur de l'extranet de
l'ANSES, avoir parcouru l'arborescence des répertoires et être remonté jusqu'à la page
d'accueil, il avait constaté la présence de contrôles d'accès et la nécessité d'une
authentification par identifiant et mot de passe ; qu'il est ainsi démontré qu'il avait conscience
de son maintien irrégulier dans le système des traitement automatisé de données visitées où il
a réalisé des opérations de téléchargement de données à l'évidence protégées, que les
investigations ont démontré que ces données avaient été téléchargées avant d'être fixées sur
différents supports et diffusées ensuite à des tiers, qu'il est en tout état de cause établi que M.
X... a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles,
à l'insu et contre le gré de son propriétaire ; que la culpabilité de M. X... sera donc retenue des
chefs de maintien frauduleux dans un système de traitement automatisé de données et de
fichiers informatiques au préjudice de l'Agence nationale de sécurité sanitaire de
l'alimentation, de l'environnement et du travail (ANSES) ; que tenant compte de la gravité des
faits commis, de l'absence d'antécédents judiciaires du prévenu et des éléments connus et sa
personnalité, la cour prononcera à son encontre une peine délictuelle de 3 000 euros […]

[…] d'où il résulte que M. X... s'est maintenu dans un système de traitement automatisé
après avoir découvert que celui-ci était protégé et a soustrait des données qu'il a utilisées
sans le consentement de leur propriétaire, la cour d'appel, qui a caractérisé les délits en tous
leurs éléments, a justifié sa décision ;..

______________________________________________________________ page 2
2SIO – C .CORRE - CEJMA TD n°1
REJETTE le pourvoi ;

Sanctions :
Art 311-3 du Code pénal :

Art 312-1 du Code pénal :

Le ransomware ou rançongiciel est l’infraction d’extorsion dans le monde du numérique.

Le ransomhack : apparition d’une nouvelle forme d’extorsion avec l’entrée en vigueur du
RGPD. Le ransonmhack est un logiciel de chantage à la non-conformité.

Art 312-10 du Code pénal

Chantage à la webcam …

Art 313-1 du Code pénal :

L’escroquerie par l’usage d’un faux nom, d’une fausse qualité..

Les infractions créées spécialement pour les atteintes aux SI

Art 323-1 du code pénal :

Exemples de STAD (Système de traitement automatisé de données) : constitue un système de traitement

automatisé de données un système «Carte Bleue» et son terminal de paiement, les
programmes ou logiciels qui assurent les fonctionnement des machines, boîtiers et
composants informatiques, une messagerie électronique, une plateforme de
téléchargement payant..

Art 323-2 du Code pénal :

______________________________________________________________ page 3
2SIO – C .CORRE - CEJMA TD n°1
Infractions : le spamming, l’attaque par déni de service, l’usage de virus, de liens hypertextes
(ex d’un employé qui par un lien hypertexte sur le site marchand de son employeur a
renvoyé la clientèle de ce dernier vers un autre site destiné à recevoir le paiement
d’abonnements. (ici une double infraction : escroquerie et entrave au fonctionnement
normal du Stad)

Art 323-3 du Code pénal

Remarque : la suppression ou la modification de données d’un Stad suffit à caractériser

l’infraction, peu importe l’intention de nuire ou pas du responsable de la suppression.
Par exemple l’introduction d’un programme «sniffer» constitue l’infraction réprimée par
l’article 323-3 du code pénal. Autre ex : désinstallation d’un logiciel, modification d’un mot
de passe, modification d’un contrat d’abonné…

Art 323-4 du Code pénal

Exemple : un prévenu qui met à disposition sur Internet des moyens techniques et
d’information permettant de réaliser des atteintes à un Stad tombe sous le coup de l’article
323-4 du code pénal.
Voir également Article 132-79 du Code pénal

La question de la territorialité de la cybercriminalité

Le monde du numérique implique l’usage d’Internet qui est par définition un réseau à portée
internationale.

Quelle application pour la loi pénale française ?

Art. 113-2 du code pénal

______________________________________________________________ page 4
2SIO – C .CORRE - CEJMA TD n°1
Art. 113-2-1 du Code pénal

Art. 113-5 du Code pénal

Infractions commises en ligne à l’encontre des personnes.

A-Provocation et apologie du terrorisme

Art 421-2-5 du Code pénal

B- Le cyberharcèlement
Art. 222-33-2-2 du code pénal

SIO1- CEJMA-

______________________________________________________________ page 5
2SIO – C .CORRE - CEJMA TD n°1