Sarenza, Kerviel accusés coupables plaignants aussi !

Sarenza, Kerviel accusés coupables plaignants...aussi !

 

On se souvient du cas, Sarenza (1). Cette entreprise de E-Commerce cyber-attaquée par un collaborateur a obtenu la condamnation du responsable de la cyber-attaque par le TGI de Paris à une hauteur de 100 000 euros mais le même tribunal a pris une autre décision. Le tribunal a estimé que la société était responsable de son propre préjudice à hauteur de 30% en raison de son « manque de rigueur » dans la gestion des identifiants. Pour rappel, ce site de e-commerce gère un fichier de 4,7 millions d'adresses électroniques de clients et prospects. Bref, le TGI a estimé qu'il manquait à Sarenza un bon niveau de sécurité et de contrôle.  L'affaire Kerviel qui vient d'être définitivement jugée le 19 mars 2014 semble également démontrée que les juges tiennent de plus en plus compte de la qualité et du niveau des cyber-protections et de leurs fonctionnement via le respect des procédures internes dans ce type d'affaire. Les 50 milliards d’euros de positions prises par Jérôme Kerviel entre le 3 et 18 janvier ne peuvent pas être passées inaperçues. Comment identifier les défaillance de la banque ? "il est vrai qu'au niveau du système Eliot il n'existe aucun contrôle qui serait de nature à alerter sur une saisie incohérente dans la mesure où les champs obligatoires sont renseignés"; c'est ce que l'on peut lire dans l'arrêt de la Cour deCassation daté du 19 mars 2014 (cf BONUS en fin d'article), On y trouve aussi " l'ensemble de sa hiérarchie et des services de contrôle savaient mais l'avaient laissé faire à raison notamment de leur inertie face aux différents indicateurs d'alertes internes ou extérieures".

Au delà des "affaires" Sarenza et SG, le comportement des utilisateurs des ressources IT au sein des organisations est posé de plus en plus souvent dans des termes de co-responsabilité. Certes il existe toujours des cas "sans bavures" de vols d'informations sensibles comme pour Microsoft et la version Windows 8 "volée et divulguée" par un collaborateur mécontent (cf BONUS) mais désormais ce sont les niveaux de cyber-sécurité des ressources disponibles auprès des utilisateurs qui intéressent les tribunaux. 

Dans l'affaire Société Générale on évoque la responsabilité pénale de Jérôme Kerviel dans les délits qui lui étaient reprochés mais aussi les défaillances et des négligences constatées dans les contrôles effectués par la Société Générale, qui ont permis la fraude. En clair, si vous laissez votre smartphone

ou votre poste de travail connectés avec un session ouverte par vos soins avec vos authentifications et qu'une autre personne utilise votre machine vous êtes responsable en partie des conséquences de cet "emprunt".

C'est dans le même esprit que la Cour de cassation vient de signer cet arrêt pour apprécier la notion de préjudice dan ce cas refusé à la SG. La cour s'est inspirée d'un arrêt du 28 janvier 1972 comme le rappelle "Le Monde": "Cet arrêt avait considéré qu'il était légitime de réduire le montant des dommages et intérêts accordé aux familles de deux victimes décédées dans un accident de la route, au motif  qu'elles avaient pris un risque en acceptant de monter dans un véhicule conduit par un chauffeur dont elles ne pouvaient ignorer l'état d'ivresse.". Ramenées aux ressources des systèmes d'informations, ces notions évoquées par la jurisprudence de 1972 visent directement les défauts de qualité de sécurité du système d'information et défaut de controles et respects des procédures liées aux usage de ce système d'information.  Bref la responsabilité civile est partagée entre accusés et plaignants. Dans le cas de l'affaire Kerviel, il n'y a finalement pas de gagnant. La Cour a confirmé ce mercredi la condamnation de Jérôme Kerviel à 5 ans de prison, dont 3 ferme et 2 avec sursis. Par contre, elle a annulé les dommages et intérêts réclamés par la banque.

A noter également que le 13 mars 2014, au parlement européen, une nouvelle directive portant la sécurité de l'information et des réseaux (NIS) à été adoptée à une large majorité, par les membres du Parlement européen. Cette directive qui sera déclinée avaant la fin 2014 au niveau national par les pays membres autorise les acteurs majeurs de l'Internet comme Google, Amazon, eBay et Microsoft à ne pas signaler leurs incidents de sécurité. Et les banques ? 

Jean Philippe Bichard @cyberisques

 

 

(1) 

http://www.cyberisques.com/index.php?option=com_content&view=article&id=208:jurisprudence&catid=109:mots-cles-2-jurisprudence&Itemid=579&lang=fr 

 

BONUS: 

http://www.courdecassation.fr/IMG///CC_crim_arret1193_140319.pdf

http://www.seattlepi.com/local/article/Ex-Microsoft-employee-charged-with-passing-5331715.php