La protection des systèmes d’information est principalement mais non exclusivement organisée à travers les articles 323-1 et suivants du code pénal.

Les atteintes aux systèmes d’information en tant que systèmes de traitement automatisé de données sont sanctionnées au titre de la réglementation sur la fraude informatique contenue aux articles 323-1 et suivants du Code pénal.

Ce dernier interdit notamment :

L’accès illicite, c’est-à-dire toute introduction dans un système informatique par une personne non autorisée (article 323-1 du Code pénal).

La notion d’accès s’entend de tout système de pénétration tel que la connexion pirate tant physique que logique, l’appel d’un programme alors que l’on ne dispose pas d’habilitation, l’interrogation d’un fichier sans autorisation.

Le maintien frauduleux, c’est-à-dire le maintien sur le système informatique après un accès illicite et après avoir pris conscience du caractère « anormal » de ce maintien (article 323-3 du Code pénal).

Le maintien frauduleux est notamment caractérisé par des connexions, visualisations ou opérations multiples, alors que l’accédant a pris conscience que ce maintien est « anormal ».

Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 susvisés (article 323-3-1).

L’entrave du système, c’est-à-dire toute perturbation volontaire du fonctionnement d’un système informatique (article 323-2 du Code pénal).

L’entrave au système est appréhendée de manière extrêmement large car il suffit d’une influence « négative » sur le fonctionnement du système pour que le concept d’entrave soit retenu.

L’altération des données, c’est-à-dire toute suppression, modification ou introduction de données « pirate », avec la volonté de modifier l’état du système informatique les exploitant et ce, quelle qu'en soit l’influence (article 323-1 du Code pénal).

Il en est ainsi pour les bombes logiques, l’occupation, la saturation de la capacité mémoire, la mise en place de codification, de barrage, ou tout autre élément retardant un accès normal.

Par ailleurs, la création de faux et leur usage, constitue un délit autonome sanctionné au titre de faux en écriture privée, publique ou de commerce.

L’utilisateur doit impérativement adopter un comportement exempt de toute fraude car à défaut, il s’expose à de sévères sanctions pénales et disciplinaires.

Les textes :

Article 323-1 du code pénal

«Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.»

Article 323-2 du code pénal

«Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.»

Article 323-3 du code pénal

«Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.»

Article 323-3-1 du code pénal

«Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.»