Les cyberattaques sont sanctionnees en droit francais par les articles 323-1 a 323-8 du Code penal, issus de la loi n. 88-19 du 5 janvier 1988 dite “loi Godfrain” et substantiellement modifies par les lois successives, notamment la loi LOPPSI 2 du 14 mars 2011 et la loi du 24 juillet 2015. Ce dispositif repressif, qui a constitue la premiere reconnaissance juridique du systeme informatique comme objet de protection penale, reste aujourd’hui le socle de la reponse judiciaire aux atteintes aux systemes d’information. Comprendre ces infractions est indispensable pour les equipes de securite informatique, les DPO et les juristes confrontes a la gestion d’incidents de securite.

Les cinq infractions fondamentales

Le Code penal prevoit cinq infractions principales visant les atteintes aux systemes de traitement automatise de donnees (STAD). Chacune repond a un mode operatoire distinct et protege un aspect particulier du systeme informatique.

1. L’acces frauduleux (article 323-1, alinea 1)

L’article 323-1, alinea 1, du Code penal punit le fait d’acceder ou de se maintenir, frauduleusement, dans tout ou partie d’un systeme de traitement automatise de donnees. Les peines prevues sont de trois ans d’emprisonnement et 100 000 euros d’amende.

La jurisprudence a adopte une conception large de l’acces : exploitation d’une faille, contournement d’une authentification, utilisation d’identifiants voles, voire acces a des ressources manifestement non destinees au public (CA Paris, 30 octobre 2002, affaire Kitetoa). L’element moral reside dans le caractere “frauduleux” : la conscience de l’absence d’autorisation. Le maintien frauduleux constitue une variante autonome visant celui qui, initialement autorise, se maintient au-dela de son autorisation.

2. L’acces frauduleux avec consequences (article 323-1, alinea 2)

Lorsque l’acces ou le maintien frauduleux a entraine la suppression ou la modification de donnees contenues dans le systeme, ou une alteration du fonctionnement de ce systeme, les peines sont portees a cinq ans d’emprisonnement et 150 000 euros d’amende. Il s’agit d’une circonstance aggravante liee aux consequences de l’intrusion, meme si ces consequences n’etaient pas recherchees par l’auteur.

3. L’entrave au fonctionnement (article 323-2)

L’article 323-2 punit le fait d’entraver ou de fausser le fonctionnement d’un STAD. Les peines prevues sont de cinq ans d’emprisonnement et 150 000 euros d’amende.

Cette infraction vise les attaques par deni de service (DDoS), le deploiement de rancongiciels (ransomwares) qui bloquent le fonctionnement du systeme, l’introduction de programmes perturbant le fonctionnement normal du systeme, ou toute action visant a degrader les performances ou la disponibilite du systeme. Le terme “fausser” couvre les situations ou le systeme continue de fonctionner mais produit des resultats errones, par exemple a la suite d’une modification malveillante de ses parametres.

4. L’introduction frauduleuse de donnees (article 323-3)

L’article 323-3 punit le fait d’introduire frauduleusement des donnees dans un STAD, de les extraire, de les detenir, de les reproduire, de les transmettre, de les supprimer ou de les modifier. Les peines prevues sont de cinq ans d’emprisonnement et 150 000 euros d’amende.

Cette infraction, elargie par la loi du 24 juillet 2015, couvre un spectre large : injection de code malveillant, defacement, ajout de donnees frauduleuses, mais aussi l’extraction de donnees – essentielle pour la repression des fuites de donnees d’origine malveillante.

5. La mise a disposition d’outils d’attaque (article 323-3-1)

L’article 323-3-1 punit le fait, sans motif legitime, d’importer, de detenir, d’offrir, de ceder ou de mettre a disposition un equipement, un instrument, un programme informatique ou toute donnee concus ou specialement adaptes pour commettre les infractions prevues aux articles 323-1 a 323-3. Les peines prevues sont celles applicables a l’infraction elle-meme ou a l’infraction la plus severement reprimee.

Cette disposition vise les marchands de kits d’attaque, les plateformes de revente de vulnerabilites zero-day et les fournisseurs de logiciels malveillants. La reserve “sans motif legitime” protege les chercheurs en securite et les professionnels du test d’intrusion qui detiennent et utilisent ces outils dans un cadre autorise.

Les circonstances aggravantes

Le Code penal prevoit plusieurs circonstances aggravantes qui augmentent significativement les peines encourues.

La bande organisee (article 323-4-1)

Lorsque les infractions sont commises en bande organisee, les peines sont portees a dix ans d’emprisonnement et 300 000 euros d’amende pour les infractions les plus graves. Cette qualification est frequemment retenue dans les affaires de cybercriminalite impliquant des groupes structures, tels que les groupes de rancongiciels.

L’atteinte a un systeme de l’Etat (article 323-1, alinea 3)

Lorsque l’infraction est commise a l’encontre d’un systeme de traitement automatise de donnees a caractere personnel mis en oeuvre par l’Etat, les peines sont portees a cinq ans d’emprisonnement et 150 000 euros d’amende pour le simple acces frauduleux, et a sept ans et 300 000 euros lorsque l’acces a eu des consequences sur les donnees ou le fonctionnement du systeme.

La mise en peril de la personne (article 323-4-2)

Les peines sont egalement aggravees lorsque l’infraction a ete commise avec l’intention de porter atteinte a la securite ou a la vie d’une personne, a la securite nationale ou au fonctionnement regulier de l’economie.

Le droit penal comme premiere reconnaissance de la propriete informatique

Comme nous l’analysons dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II), le droit penal a joue un role fondateur dans la reconnaissance juridique des biens informatiques. Avant 1988, les qualifications classiques – vol, destruction, abus de confiance – s’adaptaient mal aux atteintes informatiques. La loi Godfrain a consacre une idee essentielle : le systeme informatique merite une protection penale autonome. Ce faisant, le legislateur a implicitement reconnu que le systeme informatique constitue un objet de propriete.

Comme nous le soulignons dans notre these, le sentiment de propriete nait souvent de la violation du droit : c’est parce que les systemes faisaient l’objet d’attaques que la necessite de les proteger s’est imposee. Les articles 323-1 et suivants protegent le droit de l’exploitant a jouir paisiblement de son bien informatique – un droit qui presente les attributs classiques de la propriete (usus, fructus, abusus).

Implications pratiques pour la gestion d’incidents

Le depot de plainte

Le depot de plainte conditionne l’intervention des services judiciaires specialises (OCLCTIC, BEFTI, C3N). Le plaignant doit documenter precisement l’incident : nature du STAD affecte, mode d’intrusion, donnees compromises, traces techniques (logs, indicateurs de compromission), chronologie et evaluation du prejudice.

L’articulation avec la notification RGPD

Lorsqu’une cyberattaque implique des donnees personnelles, l’obligation de notification a la CNIL sous 72 heures (article 33 du RGPD) se cumule avec le depot de plainte. Ces demarches sont complementaires : la notification est une obligation administrative, la plainte est l’exercice d’un droit.

L’articulation avec NIS2

La directive NIS2 impose aux entites essentielles et importantes de notifier les incidents de securite significatifs a l’autorite competente (l’ANSSI en France) dans un delai de 24 heures pour l’alerte initiale. Cette obligation administrative se superpose aux qualifications penales : un incident constitutif d’une infraction au sens des articles 323-1 et suivants declenchera a la fois l’obligation de notification NIS2 et la possibilite de porter plainte. Les equipes de gestion d’incidents doivent disposer de procedures coordonnees pour satisfaire ces differentes obligations dans les delais impartis.

La preuve numerique

La recevabilite de la preuve numerique en matiere penale obeit aux regles du droit commun de la preuve penale, qui admet tous les modes de preuve. Toutefois, la valeur probante des elements techniques (logs, captures reseau, images forensiques) depend de la rigueur de la chaine de conservation des preuves. Les bonnes pratiques forensiques recommandent de realiser des copies bit-a-bit des supports de stockage, de calculer des empreintes cryptographiques (hash) des elements de preuve et de documenter chaque manipulation.

Les evolutions recentes et perspectives

Le cadre penal francais continue d’evoluer. La Convention de Budapest du Conseil de l’Europe et son deuxieme protocole additionnel (2022) renforcent la cooperation transfrontaliere pour la repression de la cybercriminalite. Pour les professionnels de la securite informatique, la maitrise de ce cadre penal est un complement indispensable aux obligations reglementaires issues du RGPD et de NIS2.

FAQ

Quelles sont les peines encourues pour un acces frauduleux a un systeme informatique ?

L’acces frauduleux a un systeme de traitement automatise de donnees est puni de trois ans d’emprisonnement et 100 000 euros d’amende (article 323-1 du Code penal). Si l’acces a entraine une modification ou suppression de donnees, ou une alteration du fonctionnement du systeme, les peines sont portees a cinq ans d’emprisonnement et 150 000 euros d’amende. L’atteinte a un systeme de l’Etat porte les peines a sept ans et 300 000 euros dans le cas le plus grave.

Comment porter plainte a la suite d’une cyberattaque ?

Le depot de plainte peut etre realise aupres du procureur de la Republique ou des services de police et de gendarmerie specialises (OCLCTIC, BEFTI, C3N). Il est essentiel de documenter l’incident avec precision : nature du STAD affecte, mode operatoire identifie, chronologie des evenements, logs et indicateurs de compromission, evaluation du prejudice. Si l’incident implique des donnees personnelles, la notification a la CNIL dans les 72 heures est une obligation distincte qui se cumule avec le depot de plainte.

Un test d’intrusion peut-il etre qualifie de cyberattaque ?

En l’absence d’autorisation ecrite prealable du proprietaire du systeme, un test d’intrusion constitue un acces frauduleux au sens de l’article 323-1 du Code penal, independamment de l’intention de l’auditeur. Pour etre licite, un pentest doit etre couvert par une convention d’audit definissant precisement le perimetre, les techniques autorisees et les limites de la mission. L’article 323-3-1 protege par ailleurs la detention d’outils d’attaque lorsqu’elle est justifiee par un motif legitime, ce qui couvre l’activite professionnelle des auditeurs de securite.