Dans le cadre de la sensibilisation des utilisateurs, la simulation de campagnes de phishing soulève parfois des questions d’ordre juridique. Dans quelle mesure s'expose-t-on à des risques pénaux ? Comment encadrer les traitements de données personnelles liés à ces actions ? Des éclaircissements et pistes de réponse sont apportés par cet article.
Lors de l’organisation d’une campagne de spear phishing ayant pour but la sensibilisation directe des utilisateurs, ou même faisant partie d’une opération d’audit plus générale (de type Red Team, par exemple), une question souvent soulevée et aussi vite balayée dans le casier des « on verra plus tard » est celle de la licéité d’une telle activité. En effet, qu’il s’agisse de l’imitation d’une autre entreprise, de la tromperie de l’utilisateur ou de l’utilisation à son insu de ses données personnelles, les différentes étapes de réalisation de la campagne peuvent soulever quelques problématiques de droit... à juste titre. Un aléa existe en la matière et, dans le cadre de la gestion des risques juridiques, doit être maîtrisé.
Il sera dans un premier temps intéressant d’étudier les risques de la mise en œuvre de la supercherie sur le plan pénal, en comparant les situations réelles aux simulations (1) : les risques demeurant assez...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première