« Le droit pénal à l’épreuve des cyberattaques »

Le 18 février dernier, Emmanuel Macron présentait un plan visant à renforcer la cybersécurité du pays à hauteur d’un milliard d’euros pour 2025. Un plan capital, lorsque la cybercriminalité devrait coûter près de 6 000 milliards de dollars par an à partir de 2021¹. Conscient de cette urgence, le club des juristes revient sur l’une des priorités phares de la lutte nationale contre la cybercriminalité : une innovation majeure de la Justice et du pénal, étayée dans leur rapport annuel : « le droit pénal à l’épreuve des cyberattaques ». Entre spécialisation des magistrats et innovation de la Justice, quelles préconisations retenir ?

Par Catherine Convert

Une cause nationale pour 2022

Lorsque la délinquance se déplace progressivement vers le numérique, une restructuration de la Justice s’impose quand l’année 2020 a connu une augmentation de 667% des attaques par phishing, et de 148% du côté des attaques par ransomware². Myriam Quéméner, avocat général près la cour d’appel de Paris, docteur en droit, experte pour le Conseil de l’Europe en matière de cybercriminalité revient sur une idée majeure : la réaffirmation d’une véritable politique pénale. « Un rapport de la CNIL³ évoquait déjà le phénomène de la délinquance numérique qui s’est intensifiée avec le confinement. Cette idée de cause nationale s’impose aujourd’hui. Elle transparaît au travers de la plateforme cybermalveillance.gouv.fr mais les informations proposées aux citoyens sont aujourd’hui dispersées dans un ensemble d’autres reportages et de campagnes d’informations ». Un manque de politique globale pour la lutte contre la cybercriminalité, est à déplorer alors que de nombreux textes permettent de réprimer ce phénomène. « Il s’agit, de ce fait, d’une délinquance de plus en plus économique et financière par le biais de fraudes facilitées par le numérique » précise la magistrate. Pour Anne Souvira, aujourd’hui Chef de la Mission « Cyber de la préfecture de Police, anciennement chargée de mission aux questions relatives à la cybercriminalité au sein du cabinet du Préfet de Police de Paris et auparavant chef de service de la BEFTI⁴ – une sensibilisation générale est essentielle : « Avec l’ANSSI, nous avons sollicité la cause nationale depuis 2013, depuis la participation au groupe de travail du Procureur Général de Riom, Marc Robert. Pour que cela réussisse en 2022, il faudrait une prise de conscience concrète dans les plus hautes instances, qui pourrait malheureusement se produire des suites d’une cyberattaque ».

La sensibilisation doit se faire à tous les échelons, pour les petits, les jeunes, les adultes et les personnes âgées, sinon nous perdons une classe d’âge : « Lorsque nous parlons de Solarwinds ou d’attaques par supply chain, peu de personnes comprennent de quoi nous parlons. Il faut des discours différenciés en fonction du destinataire du message. Mais ils doivent être émis simultanément » conseille la commissaire divisionnaire. La préfecture de Police a par ailleurs participé à l’édition du carnet « les As du Web », un cahier de vacances pour la sécurité numérique adressé aux plus jeunes. La plateforme cybermalveillance.gouv.fr quant à elle fonctionne bien pour informer et expliquer le processus de dépôt de plainte mais il faudrait que chaque personne sensibilisée partage l’information avec 10 autres : « nous venons d’entrer dans le réseau des référents cybermenaces de la DCPJ pour assurer – sur le territoire Paris et de la petite-couronne – la sensibilisation des TPE et PME. Les bénévoles – pouvant être des policiers, des salariés, ou tout autre profil – sont formés sur ces questions. Ils reçoivent une mallette pédagogique pour assurer cette sensibilisation à travers toute la France » complète Anne Souvira.

Promouvoir la spécialisation des magistrats

En l’état, l’institution judiciaire rencontre certaines failles dans le traitement de ces procédures liées à la cybercriminalité, par manque de moyens ou de spécialisation dans ce domaine. » affirme Myriam Quéméner. Si la JUNALCO⁵ est une structure bien repérée et dédiée aux enjeux de cybercriminalité, elle n’est encore composée que de 2 ou 3 personnes et d’officiers de police » précise la magistrate. Un instrument insuffisant alors que le parquet du J3 risque l’encombrement : « l’essor du e-commerce et la sensibilisation des entreprises les poussent à déposer plainte, en réponse aux préconisations des pouvoirs publics, notamment de l’ANSSI. Ce que les entreprises géraient autrefois en interne, aujourd’hui justifie une saisie de parquet, de sorte que le nombre d’enquêtes augmente de près de 200% ». D’où la nécessité d’étoffer les parquets avec des magistrats davantage spécialisés : « nous avons déjà un parquet dédié à la cybercriminalité, mais il convient d’avoir des magistrats du siège et des chambres davantage spécialisées. C’est l’une des raisons justifiant un besoin de renforcement de la spécialisation des magistrats. »

Le rapport préconise aussi une intégration plus large des magistrats dans les think tank. « Il y en a quelques-uns dans la communauté cyber, au cybercercle et dans le cercle européen de la sécurité. Au FIC⁶, je n’ai compté que 3 magistrats. C’est dommage car à travers la communauté cyber, nous pouvons acquérir beaucoup de connaissances » témoigne Myriam Quéméner.

Étoffer les services pour lutter contre la cybercriminalité

Dans le cadre d’un jugement au Tribunal judiciaire de Paris, Anne Souvira revient sur une enquête impliquant une bande organisée s’étant attelée à recopier numériquement des livres pour en faire une bibliothèque : « l’enquête et le jugement ont pris 10 ans. Ils ont été condamnés, mais nous avons eu beaucoup de mal à obtenir ce résultat car il n’y avait pas suffisamment de monde dans mon service. En Angleterre, un service similaire compte 100 agents et plus. Aujourd’hui, le service est passé à 50 personnes mais cela reste sous-estimé eut égard au travail et à la formation nécessaire. Il y a un vrai manque de moyens humains car on peine à recruter. ».

Pour la commissaire divisionnaire, les effectifs de la police judiciaire spécialisée posent problème, entre manque de parité et manque de valorisation : « ce sont des métiers d’avenir qu’il faut promouvoir. Les agents travaillant sur la cybercriminalité doivent être distingués puisqu’ils suivent une formation supplémentaire. Cela pourrait passer par une reconnaissance financière ou un avancement de grade. Ils s’infligent des violences que l’on ne s’infligerait pas, notamment lors d’enquêtes relatives aux réseaux de pédopornographie ou lors d’exportation d’images terroristes ». Le numérique prend une nouvelle dimension aux yeux de la justice, en passant du traitement d’infraction cyber, à véritable outil d’investigation, comme dans le cadre de trafic de stupéfiants : « il faudra des investigations cyber dans chaque enquête pour avoir accès au carnet d’adresses et à la localisation, etc. Les besoins d’effectifs et de matériels vont augmenter, avec les nouveaux appareils numériques à venir tels que les objets connectés et leurs données embarquées comme dans les véhicules connectés » souligne Anne Souvira. Une nouvelle dimension qu’il faut intégrer : « si nos effectifs ne permettent pas de répondre aux poids des nouvelles infractions, il faudra externaliser le travail, ce que nous ne souhaitons pas. Nous voulons continuer de protéger les victimes en ayant la main sur les données car si nous avons recours à un tiers, comment s’assurer que la donnée est bien détruite et non répliquée ? » alerte-t-elle.

Parallèlement, l’EFB (École de Formation des Barreaux) établit des formations communes avec l’Institut des hautes études du ministère de l’Intérieur (IHEMI) et l’ENM (École Nationale de la Magistrature). Pour Myriam Quéméner, « il faut développer ces protocoles, qui existent déjà puisque la directrice de l’ENM est avocate, et le directeur de l’EFB est magistrat ». Favoriser les échanges d’informations entre les différents responsables est aussi essentiel. Ces formations communes permettront une meilleure spécialisation sur le droit numérique et la lutte contre la cybercriminalité, incluant des stages pratiques dans des services spécialisés. « La formation pour les futurs avocats dans le cadre de l’ENM permet de les sensibiliser à la cybersécurité et d’expliquer la manière avec laquelle la preuve numérique doit être recherchée. Aujourd’hui, les avocats et les experts judiciaires participent à des colloques et sont de plus en plus intéressés par les aspects numériques et la sensibilisation des entreprises ».

Un régime européen de conservation des données attendu

Pour Anne Souvira, le système répressif actuel et les techniques d’enquête sont adaptés à la lutte contre la cybercriminalité, avec quelques réserves relatives à la conservation des données personnelles par les opérateurs de services électroniques et l’accès à la preuve numérique : « le recueil de données n’est pas stabilisé sur le plan européen après l’arrêt Télé2sverige de la CJUE interdisant la conservation des données de manière générale et indifférenciée. Le Conseil d’État a « bravé » l’Europe, en montrant que c’est possible en adaptant notre droit interne. Autrement nous dénierions la justice, or c’est un acte de souveraineté que de pouvoir la rendre. Il serait inconstitutionnel d’appliquer l’arrêt Télé2sverige⁷, en empêchant de récolter des données à une époque où tout passe par les réseaux et les data center. Cet arrêt de la CJUE crée de fait une justice non équitable, puisque nous n’aurions pas le droit d’avoir une justice rendue en dehors du cadre terroriste, par exemple dans le cas d’un vol de savoir-faire ou d’une grave mise à mal d’une entreprise. C’est un arrêt déconnecté de la réalité » précise la commissaire et d’ajouter : « ce serait un droit au service du droit plutôt que d’être au service des Hommes. Cela fait des années que nous travaillons sur le sujet avec Bruxelles, et certains pays sont en accord avec cet arrêt. En Suède ou au Danemark, la criminalité n’est pas la même qu’en France, en Italie ou en Allemagne et ils ne subissent pas les cyberattaques provenant de pays francophones ou anglophones, avec des demandes de rançons ou des mails écrits en français. Certains pays sont donc plus enclins à valider de tels textes ». 

Une coopération essentielle avec les États sanctuaires

Depuis 2013, le Centre européen de la lutte contre la cybercriminalité (EC3) facilite une coopération opérationnelle et analytique européenne entre les services répressifs, le milieu universitaire et le secteur privé. Une coopération devenue aujourd’hui primordiale, dans laquelle Europol joue un rôle majeur. Sa stratégie « 2020+ » vise à renforcer « la capacité d’analyse de l’agence, la gestion de l’information, la définition d’une stratégie d’innovation, la création d’un laboratoire d’innovation et des technologies émergentes »⁸, permettant ainsi de matérialiser la coopération avec la mise en relation d’experts de services répressifs, du secteur privé et du milieu universitaire. En janvier 2021, cette nouvelle stratégie a permis de démanteler le réseau Safe Inet, l’un des plus importants réseaux privés virtuels du monde. Europol veut aller encore plus loin en souhaitant devenir le « hub d’informations de l’UE » et devenir l’accélérateur de la recherche pour l’application de la loi au sein de l’UE au sujet de la cybercriminalité⁹. Pour ce faire, Europol aura à sa disposition la nouvelle plateforme Decryption, visant à optimiser l’utilisation de la capacité de traitement et améliorer l’efficacité de la récupération de données cryptées saisies lors d’enquêtes pénales. Il faudra également s’attendre à un resserrement des liens avec l’EC3, qui apportera un soutien aux enquêtes liées aux crypto-monnaies dans les États membres et dans la réponse opérationnelle et tactique aux ransomwares. Il prévoit également d’épauler Europol dans les capacités d’analyse des malwares.

La nécessité d’une coopération internationale se fait également sentir, lorsqu’une infrastructure criminelle peut être répartie dans différents pays : « La coopération internationale est primordiale, pour des aspects pratiques comme la nécessité d’obtenir rapidement une copie des serveurs avant que les preuves ne disparaissent » notent la colonelle Fabienne Lopez et le capitaine Paul-Alexandre Gillot dans le rapport. Si la France bénéficie d’une sous-direction de lutte contre la cybercriminalité (SLDC), très opérationnelle contribuant à la recherche des preuves des cyberinfractions, certains partenaires dans la lutte contre la cybercriminalité ne disposent pas des mêmes outils. L’Égypte est un partenaire de choix mais la mise en oeuvre de la coopération dans d’autres États africains pose problème. « Il est essentiel d’accélérer la publication du 2e protocole de la Convention de Budapest sur la preuve électronique dont les travaux ont commencé en 2016 » conclut Myriam Quéméner. Ce dernier vise à renforcer la coopération internationale entre 67 pays signataires, afin d’accéder aux preuves électroniques, l’amélioration de l’entraide judiciaire et l’organisation d’ équipes communes d’enquête. Les négociations, commencées en juin 2017, devraient se conclure prochainement. Il s’agirait du premier traité international visant à nouer une coopération policière internationale pour l’obtention des données hébergées dans un autre pays.

Les victimes de cyberattaques, particuliers, entreprises mais aussi hôpitaux et collectivités territoriales déposent plainte de plus en plus souvent et sont incités à engager cette démarche, ce qui va entrainer de facto un risque d’encombrement des juridictions compétentes. Ce constat justifie un renforcement des effectifs et la spécialisation des magistrats en la matière. Du côté de la Police Judiciaire, l’arrivée de la plainte en ligne est espérée pour 2022 : « elle permettra à la fois d’encourager le dépôt de plainte et d’optimiser le travail des agents disponibles » détaille Anne Souvira. Pour Myriam Quéméner, « l’institution judiciaire adapte progressivement son organisation pour mieux répondre aux évolutions de la délinquance qui utilise de plus en plus le numérique à des fins illicites. Néanmoins, le renforcement de la lutte contre la cybercriminalité repose également sur une impulsion gouvernementale forte notamment des ministères régaliens que sont l’Intérieur et la Justice. »