Enjeux et perspectives
Par Myriam Quéméner , docteur en droit
La cybersécurité est aujourd’hui une véritable priorité pour les organisations et les entreprises qu’elles soient classées organismes d’importance vitale ou PME car elles peuvent être victimes d’attaques visant leur patrimoine informationnel[1]. Elles doivent anticiper les risques numériques et mettre en place une véritable stratégie numérique. En effet, ce sont les données numériques, parfois appelées « pétrole du XXIème siècle qui sont les cibles des cyberdélinquants[2] et le « marché de la donnée » est estimé au minimum à 17 milliards de dollars en 2015, certains instituts avançant le double…[3]C’est un enjeu majeur de compétitivité et de souveraineté nationale à l’heure où de surcroit la France vient d’être cruellement touchée par des attentats sanglants commis par des terroristes qui eux aussi manient de plus efficacement les armes numériques dans le cyberespace[4]
Le constat
Les attaques informatiques se multiplient et se complexifient sous l’effet du développement du cyberespionnage, de la cybercriminalité et d’États qui utilisent ces attaques à des fins stratégiques. Parallèlement, des usages comme le cloud computing, la mobilité par exemple accroissent les vulnérabilités des systèmes d’information.
Confrontés à cette menace, les entreprises sont encore peu conscientes des risques encourus et de leurs conséquences financières. Des attaques informatiques peuvent piller le patrimoine informationnel des entreprises et toucher des infrastructures stratégiques.
Les défis en la matière sont aussi liés à l’inquiétude suscitée par l’intrusion des technologies dans le domaine de la délinquance, soit comme objet soit comme moyen de commettre une infraction, est justifiée par la dimension économique et aux risques fondamentaux car visant la sécurité[5], la souveraineté comme la maîtrise du transport et du stockage de l’information sur le territoire national. La concurrence pour le contrôle de l’information s’inscrit aussi dans un contexte de rivalités de pouvoir entre des États-nations qui s’efforcent d’assurer leur défense, de faire respecter leurs lois et de servir leurs intérêts économiques et politiques est essentiel[6]. Internet est devenu un enjeu majeur de nos sociétés en bouleversant les règles du jeu économique. Ce processus conduisant au démantèlement des frontières physiques parce qu’elles font obstacle à l’accumulation du capital à l’échelle de la planète permet également le développement d’une économie criminelle, devenue une branche de l’économie mondiale parce qu’elle s’est fondue dans l’économie légale. L’économie criminelle se présente comme un système en interaction avec l’économie légale à la fois complexe et invisible. Or, le constat peut être fait aujourd’hui de l’immixtion du crime organisé dans la délinquance des affaires. Ceci apparaît tout particulièrement s’agissant du blanchiment d’argent, du développement de la cybercriminalité ou encore du terrorisme.
Les réponses juridiques
En moyenne, on compte une loi par an qui concerne de près ou de loin le domaine du numérique. La France est devenue «une République pénalisée[7] ». Depuis vingt ans, la justice pénale est l’objet incessant de réformes[8]. Le code de procédure pénale est en continuel chantier, à l’inverse du code d’instruction criminelle qui fut d’une grande stabilité[9]. La France a assigné à la sécurité des systèmes d’information une priorité stratégique et a adapté son arsenal législatif par étapes successives[10]. Ainsi, la répression de la criminalité économique et financière à l’ère numérique se réalise au niveau du droit matériel de plusieurs façons.
En effet, les traitements de données à caractère personnelles et l’informatique sont tout d’abord un moyen de commettre des infractions qui vont avoir des incidences économiques et financières importantes notamment en termes de préjudice.
La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été fondée sur des principes-clés de la protection des données nominatives à savoir une finalité légitime et déterminée des données recueillies sans utilisation illicite, le contenu des fichiers devant être pertinent et adaptés aux besoins, la conservation des données limitée dans le temps, une confidentialité très stricte du contenu des fichiers, une obligation de sécurité et le respect des personnes dont les données personnelles sont traitées de manière automatisée. Ces principes guident toutes les règles imposées par la loi tant dans le domaine du traitement des données que dans les droits des personnes concernées.[11].
Par exemple la loi n° 88-19 du 5 janvier 1988, dite « loi Godfrain » a été pionnière en matière d’infractions spécifiques aux technologies de l’information et ses dispositions forment encore le cœur de l’arsenal pénal en prévoyant des délits relatifs aux atteintes aux systèmes de traitement automatisé de données. La philosophie du texte était de « s’insérer autant que possible dans le droit pénal commun déjà existant[12]» Cependant, depuis l’adoption de cette loi, l’environnement numérique a subi de profondes évolutions.
On observe alors un double mouvement, d’une part l’adaptation, législative et jurisprudentielle, face à la nouvelle « donne » informatique et d’autre part, l’apparition d’incriminations spécifiques adaptées à l’ère numérique. Par ailleurs, les délits de droit commun comme le vol, le recel, l’escroquerie, l’abus de confiance permettent également de réprimer ce phénomène car il s’agit avant tout d’atteintes aux biens très importantes et démultipliées par le recours aux réseaux numériques.
L’article 22 de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale de programmation militaire (LPM) 2014-2019 confère à l’ANSSI le mandat d’assurer la cyberprotection des systèmes informatiques des organismes d’importance vitale OIV[13]. Après la définition de douze secteurs d’importance vitale, l’ANSSI identifie, le 21 janvier 2014, 218 OIV publics et privés, à cyberprotéger en priorité, cette liste étant classifiée secret défense. Cet article définit une série d’obligations aux OIV : les organismes concernés doivent prendre des mesures adaptées comme l’interdiction de connecter certains systèmes à internet.-Ils doivent également installer des mécanismes pour détecter des évènements susceptibles d’affecter leur SSI. Les outils de détection (sondes etc.) doivent être mis en place par des prestataires labellisés par l’ANSSI.-
Les OIV ont l’obligation de notifier à l’ANSSI tout incident de SSI ayant un impact significatif et qui pourrait entraîner une perturbation des fonctions économiques ou sociétales essentielles à la France. Cette disposition ne définit pas la notion d’incident, qui doit être précisée par décret, ainsi que les modalités de la notification. La LPM ne prévoit pas expressément la possibilité pour l’État d’informer le public en cas d’incident, contrairement aux dispositions européennes en matière de cybersécurité adoptée en avril 2014 par le Parlement européen. Les OIV sont soumis à des audits de sécurité des systèmes d’information SSI réguliers, menés par des organismes qualifiés agréés par l’ANSSI, ou par l’ANSSI elle-même afin de vérifier le niveau de sécurité et le respect des règles de cybersécurité. En cas de crise majeure, l’État est en mesure d’imposer toute mesure nécessaire additionnelle aux opérateurs. La loi de programmation militaire punie les manquements à la loi d’une amende de 150 000 €, et 750 000 € pour les personnes morales, que le manquement soit intentionnel ou non ce qui signifie que la simple négligence est donc en principe sanctionnable.
Le renforcement des dispositions relatives aux atteintes aux systèmes de traitement automatisé des données s’est aussi exprimé au travers de la loi n° 2014-1353 du 13 novembre 20014 renforçant les dispositions relatives à la lutte contre le terrorisme qui réprime désormais le vol de données numériques[14] et qui sanctionnent par là même le vol de données immatérielles qui correspondant au patrimoine informationnelle de l’entreprise.
Conclusion et perspectives
Au delà des textes, il est essentiel d’envisager leur mise en œuvre dans le cadre de stratégie renforçant la coopération entre le secteur public et privé[15]. Avec la Stratégie nationale pour la sécurité du numérique présentée par le premier ministre en octobre 2015[16], l’Etat s’engage au bénéfice de la sécurité des systèmes d’information pour aller, par une réponse collective, vers la confiance numérique propice à la stabilité de l’État, au développement économique et à la protection des citoyens. Cette stratégie répond aux nouveaux enjeux nés des évolutions des usages numériques et des menaces qui y sont liées avec cinq objectifs : garantir la souveraineté nationale ; apporter une réponse forte contre les actes de cybermalveillance ; informer le grand public ; faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et renforcer la voix de la France à l’international. Ces orientations sont d’autant plus essentielles à l’heure où la France vient de voter une loi sur l’Etat d’urgence[17] pour faire face à un contexte terroriste qui peut désormais se manifester sous la forme de cyberattaques visant les secteurs économiques.
[1] Cybersécurité, l’urgence d’agir (Note d’analyse 324 – Mars 2013) http://archives.strategie.gouv.fr/cas/content/cybersecurite-urgence-na324.html
[2] M.Quéméner, Criminalité économique et financière à l’ère numérique, Economica, 2015
[3] D.Forest, 3 question sur le big Data, La Semaine Juridique Entreprise et Affaires n° 8, 20 Février 2014, 138
[4] Cyberespace ou Cyberspace, terme inventé par le romancier William Gibson, dans son roman « Neuromancien, pour évoquer l’ensemble de la sphère électronique communicante »,
[5]E.Daoud, M.Trouve et E.Chauvière, La lutte contre la cybercriminalité, un enjeu juridique et économique majeur pour les entreprises : solutions et propositions – Libertés fondamentales et protection des données personnelles RLDA 2013, n° 87 – 6 pages
[6]F.Douzet, Les pirates du cyberespace, Hérodote 3/ 2009 (n° 134), p. 176-193URL : www.cairn.info/revue-herodote-2009-3-page-176.htm. DOI : 10.3917/her.134.0353
[7] A. Garapon et D. Salas, La République pénalisée, Hachette, 1996 ; M.-A. Frison- Roche (dir.), Les enjeux de la pénalisation de la vie économique, Dalloz, coll. Thèmes et commentaires, 1997. V. également J.Pradel, La procédure pénale française du troisième millénaire, D. 2000, chron. p. 1.
[8]J.-P. Jean, Dix ans de réformes pénales : une recomposition du système judiciaire, in Réformes de la justice pénale, Regards sur l’actualité, La documentation francaise, n° 300, avril 2004.
[9] J. Foyer, Réalisme, idéologies et politique dans le droit de la procédure pénale RPDP 2000, p. 11.
[10]C. Latry-Bonnart, L’arsenal pénal juridique sur Internet Gaz. Pal., 1997, p. 997
[11] S.Tijardovic La protection juridique des données personnelles Les Cahiers du numérique,3/ 2003 (Vol. 4) , p. 185-203 . URL: www.cairn.info/revue-les-cahiers-du-numerique-2003-3-page-185.htm.
[12] JO rapp. AN, 3esess. 1985-1986, Exposé des motifs, p.1 et 2
L’expression « opérateur d’importance vitale » (OIV) désigne les organisations et entreprises dont les activités sont indispensables à la vie de la Nation : satisfaction des besoins essentiels pour la vie des populations (eau, électricité, transport, alimentation, santé), exercice de l’autorité de l’État, sécurité de la Nation, fonctionnement de l’économie etc.
[14] L’article 16 de la loi vient modifier l’article 323-3 du code pénal réprimant les atteintes à l’intégrité des
données, soit le fait d’introduire frauduleusement des données et de supprimer ou de modifier frauduleusement des données, afin que soit également réprimé le fait d’extraire, de détenir, de reproduire ou de transmettre frauduleusement des données.
[15] Note Stratégique – Quel référentiel pour les métiers de la cybersécurité ? Ceis ,janvier 2015
[16] http://www.ssi.gouv.fr/actualite
Loi du 20 novembre 2015 prorogeant l’application de la loi n° 55-385 du 3 avril 1955 relative à l’état d’urgence et renforçant l’efficacité de ses dispositions