Dernier avatar de la société de communication ou véritable révolution technologique, Internet ne laisse pas d’effrayer le profane par son langage amphigourique, son aspect tentaculaire et surtout sa réputation usurpée de média incontrôlable.

A l’instar de la révolution industrielle, les nouvelles technologies de l’information refaçonnent le monde et créent de nouveaux paradigmes dans les domaines sociaux, culturels, économiques et politiques. Des personnes situées sur des continents différents peuvent à présent, grâce à ces nouvelles " autoroutes de l’information ", communiquer, faire de la recherche et échanger des biens et des services sans obstacles temporels ou spatiaux et en passant par moins d’intermédiaires qu’auparavant.

Il est désormais partout question d’Internet et son existence fascine autant qu’elle inquiète.

Internet, à ses débuts, était un projet de la US Defense Advanced Research Project Agency (A.R.P.A.) et s’est alors appelé ARPANET. A l’origine, Arpanet reliait des ordinateurs et des réseaux de l’armée américaine, des entrepreneurs de la Défense Nationale et des laboratoires universitaires qui menaient des recherches sous le couvert du " Secret Défense ".

Le système a été conçu afin de permettre la continuité de la communication des données, même si une partie du réseau informatique venait à être inutilisable.

Internet s’est ouvert à un large public aux Etats-Unis dans les années quatre vingt, mais le "village planétaire " ne s’est réellement imposé que dans les années quatre vingt dix avec l’avènement de la société de communication et l’apparition du World Wide Web, la partie multimédia du réseau, maillage de textes, d’images et de sons ; le cœur du cyberspace.

Internet n’est pas un réseau à proprement parlé ; il s’agit plutôt d’une interconnexion de réseaux innombrables de toutes tailles : le "réseau des réseaux ". Les ordinateurs et les réseaux d’ordinateurs qui forment Internet appartiennent à des établissements gouvernementaux et publics, à des organismes sans but lucratif, à des Sociétés commerciales et à des particuliers.

La gestion d’Internet n’est centralisée en aucun point du réseau et aucun organisme régulateur adapté au caractère supranational du réseau n’a encore été conçu.

Internet connaît un succès sans cesse croissant (déjà 150 millions d’internautes en 1998, alors qu’ils n’étaient que 40 millions en 1996) et apparaît comme le média incontournable du prochain siècle.

Avec un tel développement, les risques, virtuels ou non, connaissent une véritable inflation, d’autant que ceux-ci sont parfois bien laborieux à encadrer de par la nature, par définition, transfrontière du réseau. On peut ainsi citer, entre autre danger, la difficulté de contrôle des flux d’informations, l’atteinte aux droits préexistants et enfin le sentiment d’impunité que peut provoquer, par son anonymat, l’utilisation d’Internet.

Ainsi, quoique puissent en penser les inconditionnels de l’Internet et leurs incessants discours dithyrambiques, tout n’est pas pour le mieux dans le meilleur des " cybermondes " possibles.

Les responsabilités liées à l’Internet

Les termes utilisés par les praticiens pour évoquer les acteurs du réseau (internaute, provider...) peuvent paraître obscurs aux néophytes.

Il conviendra alors de définir ces termes en s’interrogeant sur les modes de mise en jeu de la Responsabilité Civile des acteurs de ce nouveau mode de communication.

Dès lors, le recensement des fautes susceptibles d’être commises à travers ce nouveau média s’avère un préalable indispensable avant de réfléchir sur la possibilité de couverture par l’assurance des éventuelles fautes commises par ces acteurs.

Section I : L’étendue de la responsabilité des acteurs du réseau

Les tribunaux ont été saisis à de nombreuses reprises, ces derniers mois, d’affaires relatives à la circulation sur Internet d’informations non autorisées ou contraires à l’ordre public et aux bonnes mœurs, et, à chaque fois, ils ont été confrontés aux problèmes de l’imputabilité.

Qui est responsable ? L’émetteur, le fournisseur d’accès au réseau, le transporteur ?

Se pose alors une difficulté pratique à laquelle les juges ont eu à faire face : comment contrôler les contenus informationnels de tous les coins du " village mondial " ?

Et pourtant, quand il y a atteinte à l’ordre public et aux bonnes mœurs, les pouvoirs publics considèrent qu’il faut un responsable et une sanction pour protéger la Société contre les agissements de certains individus.

Pour le vulgum pecus, Internet est une "zone de non-droit " ; un chaos sur lequel les lois nationales n’ont aucune prise réelle. Cette hérésie, malheureusement trop souvent véhiculée par la presse grand public, n’est fondée que sur l’une des nombreuses rumeurs circulant sur le sujet. En effet, toutes les personnes qui ont un rôle dans la diffusion et la circulation de l’information peuvent, à un moment ou à un autre, encourir les foudres de la justice.

Il sera dès lors nécessaire de rechercher les critères à partir desquels on peut imputer une éventuelle responsabilité aux principaux acteurs de la communication sur l’Internet que sont l’internaute et le fournisseur d’accès.

1 L’internaute

L’utilisateur, ou internaute, est celui qui se connecte à Internet afin d’obtenir ou de diffuser ses propres informations, voire de rediffuser des informations dont il n’est pas à l’origine.

Il peut ainsi être alternativement consommateur ou producteur d’informations et être alors objet et sujet de responsabilité. L’internaute aura une entière liberté dans l’usage de l’information obtenue du tiers sous réserve de ne pas en abuser.

L’internaute pourrait également, par une attitude par trop permissive à l’égard de l’accès au réseau qu’il laisse aux personnes qu’il a sous sa garde, mettre en jeu sa RC.

S’il a de jeunes enfants, il doit se comporter en bonus pater familias en insérant à son accès Internet des systèmes permettant de filtrer les informations et l’entrée de certains sites Web.

Par exemple le logiciel Cyberpatrol propose une douzaine de catégories qu’il est possible d’activer ou de désactiver en fonction de ses choix.

L’internaute qui adresse un message à un autre internaute, au travers d’un service de messagerie ou d’un forum, doit être considéré comme gardien de l’information transmise. Cependant, n’étant pas un professionnel, à la différence du fournisseur de services ou du fournisseur d’informations, et mettant l’information à la disposition d’autrui à titre gratuit le plus souvent, l’internaute producteur d’informations erronées ou incomplètes, ne devrait voir en pratique sa responsabilité qu’exceptionnellement engagée.

Si le cybernaute est le plus souvent un particulier, il peut également s’agir d’une Société commerciale qui met des informations en lignes. Ainsi dans le cadre d’une polémique commerciale, la Société Yves Rocher avait diffusé sur Internet la reproduction d’une brochure exprimant ses griefs à l’encontre du groupe BNP-Banexi. Estimant ces allégations diffamatoires, les demandeurs à l’instance réclamèrent la suppression des informations litigieuses.

Par une ordonnance de référé en date du 16 avril 1996, le juge a alors considéré que l’initiateur de la diffusion d’informations ne pouvait se dégager de sa responsabilité en prétendant que le réseau est par nature incontrôlable.

En janvier 1996, quelques jours après la mort de François Mitterrand, le docteur Gübler, ancien médecin attitré de l’Elysée, publiait " Le grand secret " qui évoquait le cancer volontairement caché depuis 1980 de l’ancien Président de la République. Deux semaines après la sortie du livre, la famille Mitterrand obtint en référé le retrait du livre de la vente pour atteinte à la vie privée et violation du secret médical.

Malgré cette décision, le gérant d’un cybercafé de Besançon scannait le livre et l’insérait sur son site Web au nom de la liberté d’expression et de l’obligation d’informer le public sur la santé du plus haut personnage de l’Etat. Quelques jours plus tard le site était fermé, pour des raisons juridiquement étrangères à la question, mais le livre avait déjà été reproduit sur des sites à l’étranger. Ni la famille Mitterrand, ni l’éditeur du livre, ni ses auteurs n’ont assigné le gérant du cybercafé bisontin.

Les médias ont alors présenté la situation comme relevant du " vide juridique ".

Or, reproduire un ouvrage et le mettre à la disposition du public sans autorisation est une contrefaçon, un délit réprimé non seulement en France mais aussi dans tous les pays dotés d’un système juridique avancé.

De plus, en diffusant le livre sur ses pages Web, le gérant du cybercafé a également porté atteinte à la vie privée de la famille Mitterrand et au secret médical, par complicité ou par recel.

2 Le fournisseur d’accès

Le fournisseur d’accès est l’entrepreneur qui permet techniquement aux usagers de se connecter au réseau Internet à partir de leur ordinateur via un modem.

Si certains fournisseurs n’ont finalement qu’un rôle de transporteur d’informations (simple connexion au réseau pour bénéficier des pages Web et des groupes de discussion), d’autres offrent des prestations plus évoluées : l’hébergement des sites Web (stockage des informations éditées par les clients sur le serveur) , ou même l’édition de contenu (mises en ligne de sites propres au serveur). Par les contrats d’abonnement qu’il propose, le fournisseur d’accès permet la connexion de l’ordinateur du particulier ou de l’entreprise sur la toile mondiale.

En réalité, la situation des fournisseurs d’accès à Internet est assez ambiguë, car à la différence d’un transporteur classique tel que le service postal, le provider a les moyens techniques d’accéder aux informations qu’il véhicule.

Mais pour autant, un contrôle systématique de toutes les données passant par leurs connexions est irréalisable ; comment en effet contrôler par sondages plusieurs milliers de sites ?

Sur le terrain pénal, les pouvoirs publics ont d’ailleurs essayé de définir à son égard un régime de responsabilité particulier, puisque dans la loi de réglementation des télécommunications telle que votée le 18 juin 1996, il était précisé que les fournisseurs d’accès " ne sont pas pénalement responsables des infractions résultant du contenu des messages diffusés par un service de communication audiovisuelle si ce service n’a pas fait l’objet d’un avis défavorable publié au Journal Officiel, sauf s’il est établi qu’ils ont, en connaissance de cause, personnellement commis l’infraction ou participé à sa commission " (Amendement Fillon).

Soumis à l’autorité du Conseil constitutionnel, ces deux articles ont toutefois été déclarés inconstitutionnels, à l’instar de ce qui s’est passé antérieurement aux USA.

En effet, le Communication Decency Act (C.D.A.) a lui aussi été déclaré contraire aux principes constitutionnels concernant la liberté d’expression par quelques tribunaux.

Sur le terrain de la responsabilité civile, le Decency Act contient toutefois des dispositions afférentes au " Good Samaritan defence " qui tendent à exonérer le fournisseur d’accès de sa responsabilité civile dès lors qu’il a volontairement pris les dispositions qui s’imposent pour, en toute bonne foi, restreindre l’accès aux services qu’il considère obscènes, ou trop violents et exercer ainsi une surveillance des services proposés.

Le 22 juin 1998, la Cour suprême des Etats-Unis, dans une affaire opposant un citoyen américain, Kenneth Zeran, au plus puissant provider du monde, America Online, a exonéré, sur le fondement du Communication Decency Act de 1996, AOL de toute responsabilité en ce qui concerne les informations publiées sur son serveur commercial et émanant d’un tiers.

En effet, la Cour a considéré que la personne qui offre un service de connexion à un ou plusieurs services de communication audiovisuelle ne peut être assimilée aux autres diffuseurs d’informations comme par exemple les éditeurs de journaux, magazines, télévisions.

En France, la première décision rendue sur ce terrain, même si elle n’est qu’une décision de référé, a semblé aller dans le même sens.

Cette affaire, opposant l’Union des Etudiants Juifs de France à plusieurs fournisseurs d’accès, concernait la diffusion sur Internet de messages racistes et antisémites.

L’UEJF s’est estimée pleinement satisfaite, après avoir obtenu des fournisseurs d’accès, avant tout débat au fond, une déclaration de principe suivant laquelle ils appliqueraient une certaine surveillance des services qu’ils hébergent et adapteraient leur contrat.

En conséquence, les éditeurs de ces services se voient contractuellement interdire par les providers la diffusion de messages contraires aux lois françaises, avec, pour épée de Damoclès, la menace de suspension et de résiliation des contrats en cas de non-respect de cet engagement.

Cette décision démontre donc le principe de l’absence de responsabilité éditoriale des fournisseurs d’accès avec transfert de responsabilité vers l’éditeur de services.

Depuis cette ordonnance de référé, on attendait une décision qui définirait plus précisément les contours et l’étendue de la responsabilité des fournisseurs d’hébergement.

C’est désormais chose faite depuis une ordonnance de référé du 9 juin 1998. Le Tribunal de Grande Instance de Paris a en effet précisé les mesures qu’il estime que l’hébergeur est en mesure et surtout en devoir d’accomplir.

Ce litige oppose un célèbre mannequin français, Estelle L., épouse H., à un prestataire d’hébergement qui, dans l’un des sites hébergés, a laissé diffuser une vingtaine de photographies privées représentant la fameuse top-model dans une tenue légère, voire complètement dénudée.

Une action est alors intentée pour atteinte à l’intimité de la vie privée.

Toutefois l’hébergeur réfute toute responsabilité, soulignant qu’il n’est pas responsable du contenu des services. En revanche, pour le Président du TGI, " le fournisseur d’hébergement a l’obligation de veiller à la bonne moralité de ceux qu’il héberge, au respect par ceux-ci des règles de déontologie régissant le Web et au respect par eux des lois et des règlements et des droits des tiers ".

En conséquence, l’hébergeur doit opérer un contrôle a priori sur le contenu qu’il accepte d’héberger et doit effectuer des vérifications a posteriori " au besoin par sondages ". Ainsi, pour la première fois, est reconnue une obligation de surveillance à l’encontre du fournisseur d’accès.

Section II : Les responsabilités encourues

1 La mise en jeu de cette responsabilité

Les autoroutes de l’information n’ont pas créé de "no man’s land normatif " : le droit français est intégralement applicable aux situations nouvelles occasionnées par l’irruption d’Internet.

En effet, le droit adapte les phénomènes nouveaux à partir des analogies que présentent ces derniers avec des situations déjà connues. C’est en substance ce que réaffirme très clairement le rapport du Conseil d’Etat qui a été rendu public le 08 septembre 1998 par Renaud Denoix de Saint-Marc.

Or, les lois françaises encadrent déjà la diffusion et les échanges d’informations ; il est dès lors possible de transposer, par le biais d’une interprétation analogique, les régimes juridiques existants aux situations nouvelles.

La crainte des possibles risques que fait courir Internet aux acteurs qui s’engagent dans cette nouvelle aventure de la communication les conduit, lorsque cela est possible, à " truffer " les contrats qu’ils établissent d’une multitude de clauses limitatives de responsabilité. Les contrats proposés par les fournisseurs d’accès aux internautes en constituent une parfaite illustration. Or, ces clauses ne sont opposables aux internautes que si la responsabilité du fournisseur d’accès est engagée sur le terrain contractuel.

Ainsi, l’utilisateur pourra échapper à l’application des clauses de non-responsabilité lorsque la faute du provider est de nature délictuelle.

De plus, concernant les informations disponibles sur Internet, les tribunaux mettent désormais à la charge du fournisseur d’accès une obligation de surveillance ; même si " l’éditeur créateur de l’information mise en ligne est, en premier chef, responsable de celle-ci ".

Les principales situations engendrant des dommages et la responsabilité civile de ceux qui sont impliqués dans un acte ou un fait ayant causé un préjudice à autrui sont : les diffamations, les atteintes à la vie privée, les informations erronées, la concurrence déloyale et la violation des droits d’auteur.

C’est dans le domaine de la propriété littéraire et artistique que les abus ont été les plus patents.

En effet, sous le fallacieux prétexte qu’Internet doit rester un espace de liberté, nombreux sont ceux qui pensaient pouvoir détourner la loi dans la plus parfaite impunité.

Or, l’article L. 335-2 du Code de la Propriété Littéraire et Artistique est parfaitement clair : " Toute édition d’écrit, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie au mépris des lois et règlements relatifs à la propriété des auteurs est une contrefaçon ; et toute contrefaçon est un délit ".

Il est admis que la mise en ligne d’une œuvre protégée sur un serveur Web constitue un acte d’émission vers un public potentiel caractérisant ainsi l’acte de contrefaçon.

Cette transposition du droit de la propriété littéraire et artistique ne s’est toutefois pas faite sans difficulté et certaines affaires ont posé des questions de principe aux juridictions saisies.

Tel fut le cas de l’ordonnance de référé en date du 14 août 1996 par laquelle le TGI de Paris a jugé que la mise à disposition sur un site Web d’œuvres de Michel Sardou et de Jacques Brel sans autorisation des titulaires des droits d’auteur constituait une reproduction et une utilisation collective de ces œuvres et tombait alors sous le coup de l’infraction pour contrefaçon.

C’est ce type de décision qui fait dire au Conseil d’Etat qu’Internet s’est développé, non pas contre le droit, mais " dans l’indifférence du droit ".

2 L’intervention de l’assureur de responsabilité

Garantir les risques de mise en cause de la responsabilité liée à l’utilisation d’Internet soulève une série de problèmes à l’assureur de responsabilité.

En effet, les polices proposées par les assureurs de responsabilité sont, pour une bonne partie, inadaptées aux besoins des nouveaux prestataires de services que sont notamment les fournisseurs d’accès.

Pour Bernard Foussat, l’approche technique de cette responsabilité doit s’effectuer en quatre étapes :

-l’identification des missions des prestataires ;

-l’analyse des " accidents ", c’est-à-dire des faits potentiellement générateurs de responsabilité (fraude, interruption de disponibilité, divulgation, erreur de programmation...) ;

-la quantification de chaque incident en terme de fréquence et la " traque " du dommage sériel éventuel ;

-l’estimation des coûts qui permettra de définir le besoin d’assurance et l’engagement par année et/ou par sinistre de l’assureur.

Toutefois, cette analyse est encore insuffisante pour l’assureur qui ne peut, à ce stade, pas encore proposer un montant de prime à son client. En effet, au risque technique s’ajoute le risque juridique, encore plus complexe à déterminer eu égard à l’évolution des mentalités des victimes (consommateur professionnel ou particulier) et aux tendances indemnisatrices des tribunaux.

Pour l’assureur, le risque juridique n’existe que tant qu’une règle juridique conduisant à l’indemnisation du tiers lésé trouve à s’appliquer.

En réalité, on comprend la pusillanimité des assureurs de responsabilité, car la difficulté d’évaluation des risques inhérents à la RC se cumule avec les obstacles propres aux nouvelles technologies de l’information. La progressive dépendance des entreprises et des consommateurs particuliers à ces nouveaux modes de communication entraînera nécessairement une inflation judiciaire difficilement maîtrisable par l’assureur qui devra, dès lors, afin d’y obvier, calculer le montant idoine du plafond de garantie et de la franchise. L’assureur de responsabilité devra contrôler les clauses du contrat liant par exemple le fournisseur d’accès à l’internaute, pour vérifier ce que l’utilisateur du réseau peut légitimement espérer, notamment en termes de qualité.

Enfin, l’assureur devra essayer d’évaluer le Sinistre Maximum Possible dans la couverture du fournisseur d’accès. Ce S.M.P. pourrait être, par exemple, la diffusion d’un virus exterminateur à des dizaines de milliers d’internautes abonnés par le centre serveur du provider. Le préjudice serait colossal, surtout si des entreprises de taille internationale voyaient leur activité paralysée pendant plusieurs semaines.

Le GAN, avec sa police Cybergan, couvre ainsi ce qu’il appelle " les risques informatiques émergents " et notamment la responsabilité civile des prestataires de services informatiques. Pour cela, le GAN concentre surtout ses efforts sur la prévention : certification, délégation de pouvoirs, reporting, audit juridique.

La rentabilité de ce type de produit reste toutefois encore bien énigmatique pour l’assureur RC, pour qui l’encadrement contractuel du risque de responsabilité reste le seul rempart, face aux dérives prévisibles.

Pour l’internaute personne physique, les risques sont bien moindres ; la police RC classique qu’il a pu souscrire par ailleurs semble pouvoir suffire dès lors qu’Internet n’est pas utilisé à des fins mercantiles ou dans un dessein pénalement répréhensible.

Pour l’entreprise qui utilise le réseau mondial pour effectuer du commerce électronique, une adaptation de son contrat s’impose d’elle-même.

L’insécurité du Réseau Internet

Avec Internet, les risques liés à la fraude informatique sont démultipliés. Selon le C.L.U.S.I.F., en 1995, le coût des sinistres liés à la délinquance informatique était estimé à un peu moins de sept milliards de francs.

Or, depuis, s’est greffé le phénomène Internet et son cortège inquiétant de nouvelles menaces. Selon une étude du F.B.I., désormais 90 % des affaires de délinquance informatique concernerait Internet.

Les agissements criminels, facilités par le réseau mondial, connaissent ainsi une ampleur inattendue, dont on peut cependant essayer de faire face tant par l’assurance que par la sécurité informatique.

Section I : Le Réseau, nouveau vecteur d’insécurité informatique

Sur Internet, la richesse est constituée par l’information, or cet enjeu du XXI^ème siècle est la source d’un conflit que se livre une nouvelle espèce de combattants : les " guerriers du Cyberspace ". Pour Jean-Marc Lamère, " il sera peut-être plus dangereux de se promener dans un réseau, que dans Harlem le soir ".

Les risques créés par l’utilisation d’Internet sont nombreux ; on peut citer les principaux : attaques logiques, intrusions non autorisées, détournements d’image…

1 Les attaques logiques

Une attaque logique se définit par une intrusion non autorisée des ressources du système d’information, laquelle se traduit principalement par une perte d’intégrité ou de disponibilité de certaines informations et induisant la plupart du temps un préjudice immatériel.

Ces formes de sabotage sont constituées essentiellement des virus, bombes logiques, vers, chevaux de Troie, saucissons…

De tous les dangers présents sur Internet, les virus sont les plus médiatisés et ceux dont les utilisateurs se prémunissent, ou tentent de se prémunir, du mieux possible. Le virus est un programme parasite introduit illicitement sur un réseau ou un système, susceptible de se reproduire et de contenir un mécanisme de bombe logique (destruction de données, blocage du système…).

Souvenons-nous de la publicité télévisée d’IBM en 1997 : " C’est pas l’imprimante…C’est Henri. Il a collé un virus d’Internet dans l’ordinateur… ". Etant sous-entendu qu’un virus contracté innocemment sur le réseau mondial peut entraîner toute entreprise, n’ayant pas opté pour la " solution Internet " de Big Blue, à la faillite suite à sa paralysie.

Si ce type de publicité entretient effectivement la paranoïa ambiante d’un Internet " nid de virus ", il n’en demeure pas moins que le risque est plus limité qu’il n’y paraît. En effet, contrairement à une rumeur, particulièrement bien ancrée dans les esprits, un simple courrier électronique ( E-mail) ne peut en aucun cas contenir un virus.

En revanche la contamination par Internet peut s’effectuer par le biais des documents joints, notamment, et c’est la nouveauté, par les documents de traitement de texte, type Word. Le virus ne pourra cependant entrer en action que si le fichier attaché en question est ouvert (double clic). Il est donc vivement conseillé de ne jamais ouvrir un document de provenance inconnue.

De façon identique, certains se sont amusés à fabuler sur la possible contraction d’un virus en surfant sur le Web ; or cette contamination passive n’est pour l’instant que pure spéculation.

Si les virus existent bel et bien sur Internet, il n’en demeure pas moins que certains d’entre-eux ne sont que de simples mythes.

L’infection virale hypothétique la plus célèbre est sans doute " Good Times " qui a semé la panique à partir de 1994 dans tout le cybermonde ; la rumeur annonçant que ce virus effaçait non seulement le disque dur mais détruisait aussi le microprocesseur de l’ordinateur en lui faisant effectuer une " boucle binaire infinie " (sic). Le plus diabolique est que les internautes les mieux intentionnés propageaient la rumeur en réexpédiant par E-mail le message de prévention bidon, entretenant ainsi la désinformation générale et l’hystérie collective ; sans doute pour le plus grand bonheur de l’auteur de ce canular.

Le mois de mai 1997 a vu la naissance d’une autre de ces rumeurs tout aussi tenace : l’apparition de " Penpal Greetings ", virus se propageant également par courrier électronique et contenant un " cheval de Troie " censé effacer toutes les informations contenues dans le disque dur. La contagion par ce " virus mental " a été, elle aussi, très rapide et a atteint le monde entier en quelques semaines.

Sociétés de sécurité informatique, fabricants d’antivirus, compagnies d’assurances, magazines spécialisés…dramatisent d’ailleurs volontiers la situation à leur seul profit. Certains internautes restent ainsi persuadés de vivre dangereusement en surfant sur le Web ou en réceptionnant un E-mail.

En outre, une collusion entre un créateur de virus et un fabricant d’antivirus aurait été démontrée récemment. Ces liaisons dangereuses entre les auteurs du mal et les inventeurs de l’antidote créent un climat particulièrement malsain et peu propice aux relations de confiance.

Toutefois, le phénomène du virus n’est pas une simple vue de l’esprit et il est certain qu’Internet favorise la propagation du mal, en particulier pour les entreprises qui ont besoin de transférer des fichiers. Cela est d’autant plus vrai que la plupart des créateurs de virus sont des " anarcho-libertaires " fascinés par le pouvoir de nuisance et de destruction de leur progéniture ; le réseau leur permet ainsi d’assouvir leur haine de la Société.

Désormais, les virus les plus sournois sont destinés à voyager quasi-exclusivement par l’Internet.

Le 02 novembre 1988, pour la première fois de son histoire, le réseau mondial devait ainsi subir les conséquences de l’injection d’un virus : en quelques jours le réseau fut intégralement paralysé, la convalescence durant plusieurs semaines. Coût total du sinistre : 15 millions de US dollars.

On estime qu’en 1998 près de 18.000 virus circulent sur le réseau des réseaux ; il y en avait 1.000 fois moins 10 ans plus tôt !

Pour P. Lointier, Président de la commission attaques logiques du CLUSIF et ingénieur sécurité chez Cigna International, " grâce à Internet, les virus voyagent désormais à la vitesse de la lumière. Tous les logiciels que l’on télécharge doivent être considérés comme suspects, c’est-à-dire potentiellement contaminés ".

En effet, par l’interconnexion des réseaux, le sinistre ne touche plus seulement des entités isolées mais peut affecter des milliers, et peut-être bientôt, des millions de sites.

 2 Les intrusions

Autrefois, pour pénétrer dans le réseau d’une entreprise ou d’une administration, il fallait se connecter à partir d’un ordinateur interne. Désormais, avec Internet un individu situé dans n’importe quel pays et doté d’un PC et d’un modem peut se connecter, augmentant ainsi de façon considérable les risques d’intrusions non autorisées.

En 1998, selon une étude de Netcost & Security, 50 % des entreprises de plus de 100 salariés raccordées à Internet ont subi des attaques visant à s’introduire dans leur système.

Le risque est considérable pour les établissements financiers, dont les fonds gérés peuvent être transférés d’un compte bancaire à l’autre sur un simple ordre de virement. Or, ce type de décision, bien qu’en principe très sécurisé, peut être effectué par un individu mal intentionné qui aurait réussi à déjouer la vigilance des mécanismes de protection en s’introduisant frauduleusement dans le système informatique.

Une autre menace est celle constituée par le vol des numéros de cartes bancaires et des codes confidentiels qui circulent sur le réseau. En effet, au moyen de ces informations, toute personne équipée d’un terminal de paiement peut débiter un compte.

De même, un fraudeur peut intercepter un ordre de virement et détourner cet ordre à sa faveur en maquillant le message. Le célèbre hacker Kevin Mitnick avait ainsi réussi à dérober sur le Net pas moins de 17.000 numéros de carte de crédit !

Ce type de " Cyber hold-up " , sans violence et à domicile, va sans doute connaître un développement exponentiel. Si ces attaques laissent des traces et sont donc détectables, il est souvent trop tard et, le plus souvent, il est impossible de remonter jusqu’à l’auteur du délit.

Cependant, les banques ne sont pas les seules visées ; les organisations gouvernementales sont aussi dans la ligne de mire des génies informatiques de cette fin de siècle.

Ce fut le cas en 1996, lorsque la plupart des sites de la Défense Nationale américaine ont réussi à être pénétrés par un ingénieux étudiant argentin de 21 ans qui a réussi à voler des informations classées " Confidentiel – Défense " sur les recherches les plus avancées dans le domaine spatial et nucléaire. Le 30 mars 1996, l’intrus a finalement été arrêté mais ces agissements ont poussé le ministre de la justice des Etats-Unis à convoquer une réunion interministérielle du G-8 au siège du FBI sur le thème de la " lutte contre la criminalité transnationale organisée " et contre la " cybercriminalité ".

Toutefois, les Européens, s’ils reconnaissent la réalité du problème, en minimisent très justement l’importance et le caractère prioritaire qu’ont pu lui accorder les Américains.

En juin 1996, le sénateur Nunn avait même brandi la menace d’un " Pearl Harbor électronique " par une attaque foudroyante lancée par un groupe terroriste ou un pays hostile contre les réseaux de communication des USA et qui paralyserait non seulement les communications, mais aussi le système financier, les transports et la production d’électricité.

Si les Européens essaient de dédramatiser le débat, c’est que ce type d’attaque criminelle contre un pays ou une entreprise reste encore marginale. Les hackers sont encore pour la plupart des " indésirables ludiques ", dont le simple fait de franchir des obstacles réputés insurmontables provoque la satisfaction.

Ce côté inoffensif semble cependant en passe d’être remplacé par une délinquance mieux organisée et aux objectifs souvent mafieux. En effet, pour le Service d’Enquête sur les Fraudes aux Technologies de l’Information, émanation du Ministère de l’Intérieur, le détournement de fonds par le biais d’Internet serait 150 fois plus lucratif qu’un vol à main armée et surtout beaucoup moins risqué.

Selon les compagnies d’assurances, ce type d’attaque rapporterait en moyenne 1,7 million de francs à leurs auteurs.

Dans cette guerre de l’information, les retournements de veste ne sont pas rares et les " barbouzes " vendent leurs compétences au plus offrant ou au plus oublieux.

Certains des meilleurs hackers se sont ainsi mis au service d’entreprises ou gouvernements qui utilisent leurs connaissances à des fins d’espionnage industriel, c’est notamment le cas des Etats-Unis et du Canada. Selon le CLUSIF, le coût de cet espionnage industriel serait estimé à 1,1 milliard de francs.

Avec le développement considérable du réseau des réseaux, ce chiffre est sans doute désormais largement dépassé.

L’intrusion peut également être utilisée à des fins uniquement commerciales, comme ce fut le cas en 1993 pour la société British Airways.

Une action en justice pour concurrence déloyale a été intentée par la compagnie aérienne Virgin Atlantic Airways à la suite des révélations d’un employé de la compagnie nationale britannique, selon lequel son employeur se serait frauduleusement introduit, via Internet, dans les ordinateurs de réservation de Virgin, afin d’obtenir la liste des passagers ayant acheté des billets de première classe. Ceux-ci étaient ensuite contactés par British Airways afin qu’ils annulent leurs réservations et voyagent sur ses propres lignes avec un tarif à peine inférieur.

Mais le vol ou l’altération volontaire des données existant sur le réseau ne sont pas les seuls risques auxquels sont confrontés les possesseurs de sites Web ; en effet la mise hors service du serveur pendant une période indéterminée, afin de vérifier le bon fonctionnement du système suite à une attaque, peut avoir des conséquences financières sérieuses, notamment si le service proposé est un service de vente par Internet.

 3 Les détournements d’image

La totalité des grandes entreprises et la plupart des P.M.E. sont à présent dotées de leur propre site Internet qui, même s’il n’est pas nécessairement destiné au commerce électronique, propose une vitrine de leur produit et de leur savoir-faire. Or, ces sociétés n’ignorent pas que ce site Web peut être " piraté ", provoquant en conséquence une altération inestimable de leur image de marque auprès du public et de leur clientèle.

Ce fut le cas en novembre 1996, lorsqu’un activiste anti-fourrure a attaqué le site des fourrures Kriegsmann, en y insérant des propos violemment hostiles aux porteurs de fourrures.

Les conséquences désastreuses de ce type de publicité peuvent être limitées par une réaction très rapide du propriétaire du site concerné.

Une autre affaire a également fait beaucoup de bruit lorsqu’un hacker farceur a piraté le site du film de Spielberg " The Lost World ", la suite de " Jurrassic Park ", en remplaçant l’affreux tyranosaurus rex par un inoffensif petit canard et en intitulant le site " The Duck World ".

Plus récemment, lors de la diffusion sur le site du New York Times du rapport Starr relatant les écarts de conduite du Président des Etats-Unis avec l’une de ses " collaboratrices ", le serveur Internet du journal a été attaqué et a vu sa page d’accueil servir de support à des slogans injurieux et à des photos plus que suggestives ; le tout ayant pour objectif principal d’obtenir la libération de Mitnick. Il faut ajouter, en plus de la détérioration de l’image de marque du N-Y Times auprès de ses lecteurs, le coût de remise en état du site.

En l’occurrence, si ce type de canular ne prête pas à conséquence, il en est autrement lorsque les informations contenues dans certains sites sensibles sont manipulées et détournées de leur vocation première à des fins politiques.

Certes si le détournement respectif, par chacun des deux camps, des sites Web des deux candidats à la dernière présidentielle américaine a fait sourire la communauté des internautes, en revanche le piratage du serveur de l’US Justice Department qui, au cours de l’été 1996, fut recouvert de croix gammées et de photographies d’Adolf Hitler, a mis en avant l’insuffisance de la protection des sites du gouvernement américain face au " parasitage ".

Plus inquiétante encore a été l’attaque surprise de l’un des sites les mieux protégés d’Amérique, celui de la C.I.A. (Central Intelligence Agency), devenue pour quelques heures la C.S.A. (Central Stupidity Agency) ; agence qui ne se contentait pas seulement d’informer les visiteurs sur l’intérêt du piratage mais qui aiguillait également les internautes vers des sites réputés " plus intéressants " tel celui du magazine Playboy.

Les entreprises doivent désormais surveiller l’intégrité des informations contenues sur leur site Web, vitrine de l’entreprise offerte au monde, afin de se prémunir des éventuelles manipulations provoquées par la jalousie d’un concurrent dans le but de ridiculiser une marque (par exemple : changement de logo, présentation de tarifs exorbitants…), de dénigrer un client ...

Section II : Les solutions assurantielles

Contre le drapeau noir de la piraterie informatique et à la psychose des dangers réels ou supposés du réseau, se sont dressés les étendards de chevaliers blancs dont l’objectif principal est le maintien de l’intégrité des systèmes d’informations : les assureurs.

Les compagnies d’assurances et les courtiers les plus novateurs se sont d’ores et déjà installés sur le segment, d’accès difficile par sa complexité, et encore peu convoité des risques liés à l’insécurité du réseau Internet. La tache était d’autant plus malaisée qu’il n’existait aucune statistique sinistre probante sur la question.

Ces polices d’avant-garde ont été créées par des sociétés dont les réputations de précurseurs ne sont plus à faire ; à savoir : AXA Global Risks, avec Dat@net.2001, et Cigna International, avec Dataguard.

Ces polices d’assurances, si elles complètent les produits classiques distribués par ces deux compagnies, comme les " tous risques informatiques ", n’en sont pas moins des contrats à part entière et pas de simples adaptations.

 1 Dataguard

Lancée en 1998 par Cigna, la police Dataguard vise prioritairement à couvrir l’entreprise assurée contre les actes de malveillance, les pertes accidentelles d’informations et les dommages matériels.

En effet, pour Cigna, si l’interconnection des réseaux d’informations contribue à améliorer la satisfaction de la clientèle, " ces facilités permettent aussi à des employés mal intentionnés ou à des cyber-criminels de déstabiliser [ une ] entreprise en quelques heures et ce depuis n’importe quel coin du globe ".

Les cas d’actes de malveillance garantis sont :

• le sabotage et vandalisme des systèmes;
• la fraude commise avec l’aide des systèmes d’information ;
• les frais de reconstitution des informations ;
• les frais supplémentaires d’exploitation ;
• les pertes d’exploitation consécutives ;
• l’extorsion de fonds par chantage sur les systèmes d’information ;
• les dépenses engagées pour rétablir l’image de l’entreprise.

Auparavant, les polices existantes ne couvraient que très imparfaitement voire absolument pas ce type de dommages immatériels.

Cigna couvre également les risques spécifiques liés au commerce électronique et aux éventuelles pertes financières pour l’entreprise concernée par :

• le piratage des cartes bancaires suite à l’utilisation du site ;
• l’altération malveillante des pages Web ;
• le déni de services.

Toutefois, l’entreprise qui souhaite assurer ce nouveau type de risque devra auparavant répondre à un questionnaire détaillé sur l’ensemble de son système informatique et recevra la visite d’un ingénieur sécurité des systèmes d’information.

 2 Dat@net.2001

Ce nouveau contrat d’AXA Global Risks couvre les risques immatériels informatiques, c’est-à-dire " les risques pouvant atteindre l’information, les données et les programmes, ainsi que les conséquences financières de la poursuite de l’activité en période de crise ".

La garantie de base de cette police a pour objet l’altération ou la destruction, quelle qu’en soit la cause, des programmes et données informatiques de l’assuré par :

• actes de malveillance (virus, sabotage informatique, intrusion illicite des systèmes…) ;
• incendie, dégât des eaux ;
• le vol de l’information par soustraction frauduleuse de son support ;
• un incident d’origine électrique ou électro-magnétique ;
• tous autres événements dès lors qu’ils surviennent de manière imprévisible et irrésistible.

Après survenance du sinistre couvert, le contrat dat@net.2001 va garantir le remboursement à l’assuré des frais engagés pour :

 la reconstitution de l’information qui a subi un dommage immatériel informatique garanti.

Ces frais sont destinés à reconstituer dans l’état antérieur au sinistre l’information altérée, détruite ou volée.

Ils consistent en :

• frais de décontamination, de nettoyage et restauration des supports ;
• frais de recherche et de collecte de documentation ou d’éléments d’information disponibles à partir de supports informatiques ou non ;
• frais de saisie de l’information ainsi reconstituée sur un support de nature identique ou équivalente à celui sur lequel l’information était stockée avant sinistre.

‚ les frais supplémentaires d’exploitation informatique.

Ce sont les frais exposés par l’assuré, d’un commun accord avec l’assureur, pendant la période d’indemnisation fixée et lui permettant de retrouver un niveau d’exploitation informatique aussi proche que possible de celui qui était le sien avant le sinistre.

ƒ les pertes d’exploitation (garantie étudiée au cas par cas).

Ce type de police vise exclusivement les grandes entreprises de plus de 1.000 personnes avec des conditions d’accès au produit draconniennes.

Pour Philippe Jouvelot, responsable du Département Vol Incendie Fraude chez AXA Global Risks, la police Dat@net.2001 doit couvrir " ce qui reste, quand tout ce qu’il était possible de faire a été fait ".

Selon lui ce type de couverture devient essentiel si l’on ne veut pas laisser inassurés des " postes hors bilan " aujourd’hui fondamentaux comme l’information détenue par l’entreprise.

 3 La sécurité, préalable indispensable à l’assurance

L’assurance n’est rien où la sécurité n’est pas.

Sur Internet, comme ailleurs, l’assurance n’a pas vocation à se substituer à l’inconscience des entreprises. Or, Firewall et cryptologie offrent déjà à l’entreprise une garantie de sécurité, certes minimum mais néanmoins non négligeable.

- Le firewall, ou mur coupe-feu, analyse les données entrantes, en vérifie l’authenticité et détermine si ces données sont acceptables ou non.

Selon l’un des hackers français les plus célèbres, les systèmes de sécurité qui devraient être les mieux sécurisés sont les plus faciles à forcer. Pour cet ex-pirate du Net, le problème vient du fait que la plupart des personnes ne savent pas utiliser les firewalls ou ne respectent tout simplement pas les règles de sécurité les plus élémentaires. En effet, une partie du réseau de l’entreprise réputée bien protégée, pourra être infiltrée par le biais d’un client ou d’un fournisseur (maillon faible du système ou " faille ").

- La multiplication des échanges de courrier et des données informatiques à caractère confidentiel ou financier par Internet impose de recourir à des méthodes de brouillage et de codage des informations.

La cryptologie, dans les limites permises par la loi, permet de sécuriser la transmission de ces informations confidentielles, son rôle est en effet de transformer une information compréhensible par l’homme, en une information totalement illisible ou inexploitable sans le concours de protocoles mathématiques secrets, préalablement établis.

L’entreprise devra également procéder à un audit des risques informatiques auxquels celle-ci est potentiellement exposée afin de définir les actions à mettre en œuvre pour, non pas supprimer le risque, mais d’en réduire le niveau, tant en intensité qu’en fréquence.

Plusieurs méthodes peuvent être utilisées : MARION, AROME, MEHARI 96, MELISA V3, DIRISIE, MAIRIE…

Toutefois, pour J.M. Lamère, de l’A.P.S.A.D., Internet ne sera jamais sécurisé à 100 % ; dès lors les entreprises qui s’aventureraient sur le réseau devront intégrer dans leurs coûts des pertes liées à la fraude, notamment pour celles qui souhaiteraient pratiquer du commerce électronique.

Une des émanations de la International Computer Security Association (I.C.S.A.), la Société True Secure, entreprise américaine de sécurité informatique, a annoncé en juin 1998 qu’elle verserait immédiatement 20.000 US Dollars par incident à son client, dont le système a été sécurisé par ses soins, et qui subirait cependant une attaque informatique. True Secure a même prévu un plafond annuel de 250.000 US Dollars.

Il est remarquable de constater qu’une société de sécurité informatique se substitue ainsi au rôle traditionnel de l’assureur et indemnise sa clientèle en fonction de la réalisation du sinistre et non de son montant.

En 1994, Bill Gates, Président de Microsoft, proclamait qu’Internet n’avait aucun avenir et lui prédisait un échec rapide. On sait aujourd’hui qu’il s’est trompé.

Si, sur le plan juridique, le droit commence enfin à trouver ses marques sur le réseau, les facteurs d’insécurité, bien que souvent exagérés, continuent à pulluler. Toutefois, comme toute médaille possède également son revers, on peut facilement pardonner à Internet ces quelques petits désagréments, qui doivent être considérés plus comme des erreurs de jeunesse, facilement réparables, que comme les conséquences d’une tare originelle incurable.

Il faut en effet convenir qu’Internet n’est pas intrinsèquement mauvais, mais que c’est la Société qui l’a corrompu ; le réseau ne sera en effet jamais que le reflet des habitudes humaines avec son lot inévitable de turpitudes et de bienfaits.