La lutte contre la cybercriminalité apparait désormais comme un enjeu majeur pour les entreprises et les particuliers. Cette délinquance numérique est l’une des formes de criminalité qui connaît la plus forte croissance tant au niveau national qu’international.
Le développement des technologies et des fonctionnalités numérique évoluant sans cesse accentue ces risques. Si au départ cette forme de criminalité fut l’œuvre d’individus isolés, elle est désormais le fruit d’organisations criminelles internationales.
Le cyber-risque constitue une menace bien réelle que les particuliers et les dirigeants d’entreprise doivent impérativement appréhender et anticiper. Les fraudes informatiques ou atteintes aux systèmes de traitement automatisé de données, les violations de données personnelles, les atteintes à l’e-réputation, la diffusion de contenus illicites, la contrefaçon de marques, d’œuvres et de logiciels, ou les infractions de droit commun commises via l’utilisation des technologies numériques, notamment par internet sont des activités illicites constituant ce que l’on nomme la cybercriminalité. L’impact de la cybercriminalité décrétée comme priorité en visant aussi bien les particuliers que les entreprises, se mesure également à l’aune des dépôts de bilans : une entreprise victime de piraterie ou par exemple d’escroquerie au président peut s’écrouler et le coût économique est désastreux.
Les technologies utilisées se révèlent de plus en plus sophistiquées et efficaces, ce qui implique d’améliorer les capacités de réponses tant au niveau de l’anticipation des risques numériques (1) que de la coordination de l’action des services (2). En outre, la justice doit s’inscrire également dans cette dynamique « cyber » ( 3) tandis que les services spécialisés doivent mener des enquêtes dans la partie cachée d’Internet, à savoir le Darknet (4). Le renforcement de la coopération public privé est aussi essentiel (5) ainsi que la création d’un code du numérique (6).
Ces 6 recommandations apparaissent pertinentes pour mieux lutter contre cette délinquance désormais numérique.
1. Anticiper et sensibiliser face aux risques numériques
Les entreprises doivent aujourd’hui faire évoluer leur politique de sécurité informatique, dans le cadre d’une stratégie globale de cybersécurité.
Une vigilance renforcée s’avère nécessaire à tous les échelons de la hiérarchie au sein des entreprises, garantes du respect du contrôle interne et de la protection de leurs actifs. Le cybercrime s’est ainsi professionnalisé avec la création, notamment, de réseaux de plus en plus structurés, spécialisés dans le trafic de drogue, la prostitution, le blanchiment d’argent ou l’espionnage industriel.
Les recommandations ont pour but de renforcer la défense des victimes individuelles confrontées aux attaques de la cybercriminalité. Elles développent des stratégies de sensibilisation, d’éducation, de prévention ou de protection de la Nation, afin d’intégrer l’environnement numérique comme un nouveau pilier de notre sécurité.
2. Coordonner les services de l’Etat face à la cybercriminalité
La France s’est dotée d’un budget cyberdéfense d’un milliard d’euros sur la durée de la loi de programmation militaire (2014-2019) qui érige la cyberdéfense au rang des priorités face à l’explosion des menaces contre les systèmes d’information civils et militaires vitaux pour le pays. Pour autant, la France reste loin derrière les Etats-Unis, la Chine et Israël, à un niveau comparable avec la Grande-Bretagne ou la Russie.
L’ANSSI, l’agence nationale de la sécurité des systèmes d’information est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l’Etat et de vérifier l’application des mesures adoptées. Dans le domaine de la défense des systèmes d’information, elle assure un service permanent de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’état et des grandes entreprises publiques. L’ANSSI compte actuellement plus de 500 personnes pour un budget de 80 millions d’euros.
La Sous-direction de lutte contre la cybercriminalité[1] (SDLC) est née « de la nécessité d’adapter le dispositif du ministère de l’Intérieur à la généralisation de l’utilisation des nouvelles technologies dans la commission des infractions » et « s’inscrit, dans un contexte général de mobilisation des institutions publiques pour apporter des réponses aux menaces liées à la cybercriminalité », selon la direction centrale de la police judiciaire (DCPJ). Elle définit les stratégies à mettre en œuvre dans les domaines de l’opérationnel, de la formation et de la prévention du grand public et du tissu économique.
Au niveau du Ministère de l’Intérieur, un préfet chargé de la lutte contre les cybermenaces a été nommé afin de coordonner la stratégie ministérielle en la matière.
Il convient aussi d’organiser une concertation positive avec les autorités indépendantes intervenant dans le champ « cyber » comme bien sûr la CNIL mais aussi l’Autorité de régulation des jeux en ligne.
Les services d’enquêtes spécialisés montent aussi de plus en plus de procédures qui doivent être traitées dans les meilleurs délais par la justice.
3. Créer une cyberjustice
La cybercriminalité est évolutive, mettant en jeu régulièrement de nouvelles fonctionnalités qu’il convient de connaitre comme par exemple le phishing, le skimming mais aussi des mécanismes complexes de fraudes ou liés au recours aux algorythmes comme le trading Haute fréquence.
Si sur les ressorts des cours d’appel de Paris et Versailles, des magistrats référents ont été identifiés, amorçant un léger mieux, c’est le parquet de Paris – rompu aux délinquances spécialisées (financier, terrorisme, atteinte à la santé publique) qui semble avoir montré la voie, dans sa récente réorganisation. Depuis septembre 2014, la section S2 est en charge de la délinquance astucieuse et de la cybercriminalité. On y trouve le pôle cybercriminalité composé d’un chef de pôle, de plusieurs magistrats et d’un assistant spécialisé (atteintes aux STAD commises à l’encontre des administrations comme des entreprises ayant leur siège à Paris, infractions de droit commun dont les escroqueries et fraudes aux cartes bancaires). Les affaires ainsi recensées aboutissent au stade du jugement devant deux juridictions spécialisées dont les membres ont reçu une formation dédiée de la part de l’école nationale de la magistrature (ENM).
Cette spécialisation indispensable n’est pas encore assez visible et la justice demeure le maillon faible du dispositif. Pour être reconnue, il faudrait qu’elle soit inscrite dans le code de l’organisation judiciaire et les magistrats en charge de ces dossiers devraient bénéficier d’une formation obligatoire.
4. Mener des enquêtes dans le darknet
Le darknet, partie de l’internet inaccessible par les moteurs de recherche classiques nécessitant des outils de navigation spécifiques, repose sur la caractéristique commune d’assurer l’anonymat de l’internaute. Le navigateur TOR – acronyme de The Onion Routeur – est un outil numérique inventé puis diffusé par le Pentagone. Il est le plus connu, mais il en existe d’autres (I2P). TOR cache toutes les adresses IP et crypte tout ce qui s’échange sur le web, à travers lui et à chacune des couches de l’oignon. Aucun nœud du réseau ne connaissant la source, la destination ni le contenu des messages qui le traversent, l’internaute dispose sur TOR d’un anonymat presque parfait. Le darknet est donc un lieu de ressource pour les cybercriminels, qui recrutent sur ce marché parallèle les hackers les plus performants. Sans doute trois fois plus vaste en volume que le web de surface, le darkweb doit être une cible pour les États afin de lutter contre des activités illégales encore trop souvent impunies. Tel est le cas par exemple en matière de contrefaçon et le dernier rapport de l’Unifab[2] sur les liens entre le terrorisme et la contrefaçon est très éclairant à ce sujet.
5. Renforcer la coopération avec les acteurs privés
La lutte contre la cybercriminalité doit inciter tous les acteurs à des actions communes (analyse de la menace, prévention, formation, retour d’expérience). Le secteur privé peut en effet faire bénéficier les services étatiques de son expérience et de ses moyens financiers et opérationnels.
Le caractère mondial de la cybercriminalité nécessite une coopération internationale entre les États participant à la poursuite et à la répression des infractions dans la mesure où, conformément au principe de la souveraineté nationale les États nations sont seuls gardiens de l’ordre public national. Cette coopération est à parfaire et on assiste actuellement à une mobilisation, une approche globale et intégrée à l’égard de la cybersécurité et de la cybercriminalité, dans le cadre de la présidence du Conseil de l’Union européenne confiée aux Pays bas jusqu’en juillet 2016.[3]
Les acteurs qu’il soient publics ou privées doivent avoir un bon niveau de culture cyber et sur ce point des efforts doivent encore être réalisés.
6. Pour un code du numérique
La nécessité d’une harmonisation de l’arsenal juridique s’impose tant les dispositions concernant la lutte contre la cybercriminalité sont évolutives, complexes et mouvantes. A titre d’exemple, il existe au minimum une loi par an concernant la cybercriminalité avec une accélération ces derniers temps suite aux attentats terroristes : par exemple, la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la .défense et la sécurité nationale, la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme et la loi sur le renseignement contiennent toutes des articles visant la cybercriminalité. Si certaines dispositions ont été codifiées, la lisibilité n’a pas été renforcée dans la mesure où certains articles ont été codifiés dans le code de la sécurité intérieure, d’autres dans le code de la défense.
Il est important d’unifier dans un même texte l’ensemble des dispositions pénales de lutte contre la cybercriminalité afin d’accroître la lisibilité, la simplicité et surtout la cohérence du dispositif. A défaut d’un code indépendant, il pourrait être envisagé de créer une partie spécifique au sein du code pénal, ainsi que du code de procédure pénale qui pourrait être accompagnée par la diffusion de guides pratiques, déclinant les objectifs prioritaires à mettre en œuvre.
[1] Arrêté en avril 2014,
[2] http://www.unifab.com/images/Rapport-A-Terrorisme-2015_FR.pdf
[3] http://www.consilium.europa.eu/fr/council-eu/presidency-council-eu/