Gds 6

Institut national des hautes études de la sécurité et de la justice
travaux des auditeurs
Enjeux
26e session nationale « Sécurité et Justice » 2014-2015
et difficultés
de la lutte contre
la cybercriminalité
Groupe de diagnostic stratégique (GDS) n°6
juillet 2015
ISSN 2265-447X
Enjeux et difficultés de la lutte contre la cybercriminalité
Rapport du Groupe de diagnostic stratégique n°6 - 26e Session nationale « Sécurité et Justice » - 2014/2015
Les Membres du Groupe de Diagnostic Stratégique n°6
Présidente du GDS - Sylvie Schlanger, magistrate
Vice-président du GDS - François Mion, Renault
Tuteur - Bruno Hamon, MIRCA Sarl
Rodolphe Auboyer-Treuille Avocat

François Bonavita Colonel de gendarmerie
Christophe Boyer Colonel de gendarmerie
Thierry Callies Commissaire divisionnaire
Neil Casley Attaché de sécurité intérieure, Irlande
Pierre de Cossette Journaliste, Europe 1
Fabienne Duthé Commissaire divisionnaire, CHEMI
Dominique Guéry Directeur territorial de la protection judiciaire
de la jeunesse
Stanislas de Maupeou Thalès
Erwann Pinilla Conseiller technique, ministère de la Défense
Slimane Rabahallah Maire adjoint
Pauline Talagrand Journaliste, AFP
Frédéric Turion Chargé d’études, Sénat
Valérie Zorzi Centre national d’études spatiales
Ce document ne saurait être interprété comme une position officielle ou officieuse

de l’institut ou des services de l’État. Les opinions et recommandations qui y
sont exprimées n’engagent que leurs auteurs. Il est publié sous la responsabilité
éditoriale du directeur de l’institut.
Directeur de la publication M. Cyrille SCHOTT, directeur de l’INHESJ
2 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

Introduction
L’internet a généré un nouvel espace de libertés : expression des idées,
commerce sans limite, suppression des frontières. Dans un territoire inexploré
promettant des richesses infinies, tant intellectuelles que matérielles, les pionniers
des temps modernes se sont lancés dans une conquête, reposant sur l’absence
de règle.
Si la motivation initiale pouvait être honorable, les développements économiques
et sociaux liés à l’internet ont montré les limites d’un espace sans contrainte.
Par ailleurs, son architecture initiale n’a pas été conçue dans la perspective des
développements qu’il connaît aujourd’hui, à commencer par la sécurité.
En 1987, 200 000 ordinateurs étaient reliés à l’internet. D’ici 10 ans, ce seront
10 milliards de machines qui seront connectées.
Ce développement des moyens de communication et la multiplication des
contenus numériques ont engendré une véritable révolution, abolissant les
frontières et les barrières culturelles. Les efforts de l’état et des collectivités
territoriales visent à réduire la fracture numérique pour que le plus grand
nombre de citoyens ait accès «en haut débit» à ce nouvel espace de liberté.
Or, ce nouvel eldorado est également devenu le territoire de chasse de
prédateurs aux multiples profils et aux motivations les plus diverses. La révélation
de l’existence de Prism, le programme de surveillance de masse sur internet
mis en place par l’Agence nationale de sécurité (NSA) à l’étranger, a montré,
s’il fallait encore le démontrer, que la menace cyber n’était plus seulement
l’apanage de hackers solitaires vissés devant des écrans à la recherche
d’argent facile mais que cette menace était conçue et réalisée comme une
véritable opération militaire.
Pour le directeur de l’organisation policière européenne Europol, la
cybercriminalité s’est hissée au rang du terrorisme en tant que première
menace mondiale pour la société. «S’il y a bien une chose que nous avons
appris sur la manière dont internet a changé les activités criminelles en Europe
et aux États-Unis, c’est que nous n’y étions pas prêts», a affirmé en avril dernier
Rob Wainwright.
Prenant conscience de cette situation, l’état a progressivement multiplié les
initiatives, sans toutefois donner l’impression d’aboutir à une politique globale et
cohérente. Pour autant, la solution ne peut être exclusivement française.
Ainsi, le groupe de travail a choisi d’élargir le spectre de la cybercriminalité
aux périls numériques visant sur les trois grandes familles de victimes : l’état et
les opérateurs d’importance vitale, les entreprises et les particuliers.
Après avoir rencontré les acteurs clefs de la sécurité informatique en France, au
niveau de la puissance publique ou des responsables de la sécurité de grands
groupes industriels, les membres de ce GDS ont analysé dans la première
partie du rapport un constat de la situation en France. Ce constat fait apparaître
© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 3

des atouts et des fragilités afin que l’état, les opérateurs d’importance vitale,
les entreprises et les particuliers victimes des attaques informatiques, soient en
mesure de mieux les appréhender et y faire face. Dans une seconde partie,
le rapport propose des recommandations de portée générale (culture de la
sécurité, enjeux de souveraineté, pouvoirs publics, coopération) ou spécifique
(chaîne de traitement des incidents de sécurité par exemple) visant à améliorer
de façon significative et durable les risques et les conséquences stratégiques,
économiques et sociétales des attaques informatiques dans une mondialisation
numérique où la sécurité ne peut plus être une option.

Préambule :
La cybercriminalité,
une menace aussi lourde
que difficile à cerner
Elle fait régulièrement la une des médias et ses victimes se comptent en millions
de personnes. Pour autant, elle reste insaisissable. En effet, la cybercriminalité
ne renvoie pas à une liste d’infractions et couvre quasiment l’ensemble du
champ infractionnel. Elle correspond davantage à une façon d’opérer.
Ainsi, le groupe de travail a élaboré sa réflexion en partant du postulat que la
cybercriminalité regroupe toutes les infractions pénales tentées ou commises à
l’encontre ou au moyen d’un système d’information (SI) et de communication,
principalement internet, comme le préconisait dans son rapport le groupe de
travail interministériel sur la lutte contre la cybercriminalité, en février 2014.
Bien que la menace de la cybercriminalité n’ait jamais été aussi lourde, les
spécialistes peinent à cerner son ampleur. Les statistiques ne sont, à ce jour,
toujours pas opérantes. Il faut parfois multiplier par dix ces chiffres d’abord
parce que les victimes ne sont pas conscientes de l’être mais aussi parce que
certaines d’entre elles, comme les entreprises, renâclent à déposer plainte par
peur de nuire à leur réputation.
Pour les forces de l’ordre, la cybercriminalité englobe deux familles d’infractions :
• d’une part, celles liées à des actions de piratage de systèmes
informatiques (ou attaques contre les Systèmes automatisés de traitement
des données dits STAD) visant à voler un secret de fabrication, défigurer
un site internet pour y afficher un message de propagande ou à
récupérer des données bancaires ;
• d’autre part, des actions facilitées par l’utilisation des nouvelles
technologies comme les escroqueries sur internet ou la diffusion de
contenus illicites au travers des réseaux sociaux.
L’Observatoire national de la délinquance et des réponses pénales (ONDRP)
concède que les infractions recensées par les forces de l’ordre ne permettent
« pas une mesure directe des phénomènes liés à la cybercriminalité » et
estime qu’il est urgent de se doter des moyens nécessaires pour appréhender
ce phénomène.
Dans son rapport de février 2014, le haut magistrat Marc Robert pointait
plusieurs explications. « L’appréhension de la cybercriminalité doit d’abord
être fondée sur la définition légale des infractions » or, le dispositif statistique
du ministère de l’Intérieur procède de manière plus globale que celui de la
Justice conçu autour du concept d’infractions. De plus, « la définition légale
des infractions est le plus souvent insuffisante pour prendre en compte la

cybercriminalité lorsqu’elle ne constitue que le moyen de commettre une

infraction de droit commun. Le rapport affirmait également que police et
gendarmerie ne procèdent pas de la même manière et que leurs données ne
rendent pas compte du type de victimes et du montant estimé du préjudice.
Pour autant, le rapport reconnaissait que « mêmes rendues exhaustives, les
statistiques policières et judiciaires seraient impuissantes à rendre compte
des cyberinfractions ne donnant lieu ni à une plainte, ni à dénonciation ni à
saisine d’office ». Et enfin, une partie des infractions relevant de la cybercriminalité,
sont traitées par d’autres modes de régulation des conflits en dehors de
l’appareil répressif.
Ainsi, la France, à l’instar de nombreux États, est tributaire des sociétés
de sécurité informatique, bien souvent américaines, pour appréhender ce
phénomène. Et ces sociétés peuvent avoir tendance à gonfler artificiellement
les chiffres pour entretenir la psychose et ainsi générer du business. Les victimes
potentielles sont incitées à investir massivement en achetant et en empilant les
outils censés les protéger efficacement.
Selon le dernier rapport annuel de la société américaine de sécurité
informatique Symantec, la France progresse à nouveau cette année d’une
place, et passe ainsi au 14e rang mondial et au 6e rang européen des pays où
la cybercriminalité est la plus active, les états-Unis, la Chine et l’Inde conservant
dans cet ordre la tête du classement. L’Hexagone se distingue par les attaques
réseaux, le phishing (ou hameçonnage), l’extorsion numérique ainsi que les
arnaques sur les réseaux sociaux.
Selon un expert en cybersécurité de Symantec, cité par l’AFP le 14 avril
2015, « la cybercriminalité a encore crû en 2014 avec 317 millions de
nouveaux programmes malveillants créés au niveau mondial, soit près de
1 million par jour ».
En 2012, Symantec estimait à plus de 10 millions les Français victimes de la
cybercriminalité au cours de l’année 2011, pour une facture totale estimée à
2,5 milliards d’euros, en hausse de 38 % sur un an.
L’inventaire des faits liés à la cybercriminalité est une des missions prioritaires qui
a été confiée au cyberpréfet Jean-Yves Latournerie par le ministre de l’Intérieur
dans la foulée de sa nomination en 2014. « Un rapport qui n’a jamais été
réalisé et qui nécessite un lourd travail », de l’aveu du cyberpréfet. Ce rapport
devrait ainsi permettre de disposer de chiffres objectifs, indépendants des
éditeurs de solutions.

Enjeux et difficultés de la lutte
contre la cybercriminalité
Rapport du Groupe de diagnostic
stratégique n°6 - 26e Session nationale
« Sécurité et Justice » - 2014/2015
Sommaire
Introduction .............................................................................................................................. 3
Préambule : La cybercriminalité,
une menace aussi lourde que difficile à cerner ........................................... 5
Constat
La France, un des pays européens les plus touchés par les cyberattaques . ............ 8
Les entreprises (hors OIV) à la traîne et des PME vulnérables ........................................ 12

Les particuliers, victimes nombreuses mais trop souvent silencieuses .................... 15
Les cybercriminels, des prédateurs aux multiples visages et motivations ................ 18
Des services d’investigation performants mais pas assez coordonnés ................ 21
Des incriminations suffisantes mais qui se heurtent .
aux difficultés d’investiguer ...................................................................................................... 27
Un partenariat public-privé à consolider .............................................................................. 30
Les nouveaux défis . ........................................................................................................................ 32
Les recommandations ......................................................................................................... 38

État et opérateurs d’importance vitale ................................................................................... 38
L’État . .............................................................................................................................................. 38
Les Opérateurs d’importance vitale (OIV)................................................................................... 39
Les entreprises (hors OIV) ............................................................................................................. 43
Le grand public ................................................................................................................................ 45
Conclusion .................................................................................................................................. 49
Glossaire ........................................................................................................................................ 50
personnalités interviewées ............................................................................................ 52

Constat
la France, un des pays

européens les plus touchés
par les cyberattaques
Selon un rapport du groupe américain de sécurité informatique publié en
avril 2014 cité par l’AFP, la France, l’Allemagne, l’Angleterre et la Suisse ont
été les pays les plus visés en Europe en 2013 par les cyberattaques dites
« avancées ». Ces quatre pays concentrent à eux seuls 71 % des infections
détectées en Europe et identifiées comme étant des APT (pour advanced
persistent threat en anglais), soit des attaques très ciblées, particulièrement
sophistiquées, qui durent dans le temps et pour lesquelles les auteurs disposent
de moyens conséquents pour arriver à leurs fins. Les gouvernements et leurs
services arrivent en tête des activités ciblées, devant la finance, la santé et
l’industrie pharmaceutique, les télécommunications et les nouvelles technologies.
En 2012, l’élysée avait été la cible d’une importante attaque informatique. Le
ministère des Finances français avait déjà été la cible cette année-là d’une
attaque informatique spectaculaire visant les dossiers sensibles de la présidence
française du G20.
Face à cette menace, la France s’est dotée d’un budget cyberdéfense d’un
milliard d’euros sur la durée de la loi de programmation militaire (2014-2019)
qui érige la cyberdéfense au rang des priorités face à l’explosion des menaces
contre les systèmes d’information civils et militaires vitaux pour le pays. Pour
autant, la France reste loin derrière les états-Unis, la Chine et Israël, à un niveau
comparable avec la Grande-Bretagne ou la Russie.
Le Centre d’analyse de lutte informatique défensive (CALID) - « gendarme »
des systèmes informatiques de l’armée française - doit doubler de taille dans
les cinq ans à venir et recruter 400 spécialistes. Il surveille notamment les
cyberattaques qui peuvent paralyser des systèmes d’armes ou détourner de
l’information sur les moyens et les cibles des forces. Car plus que les attaques
de sites internet, voilà bien le véritable cauchemar des états-majors : que des
missiles soient stoppés net dans leur course, des drones piratés, des frégates
détournées à distance au beau milieu d’une intervention militaire. Les systèmes
sont d’autant plus vulnérables qu’ils sont de plus en plus interconnectés.
Sur un navire, navigation, propulsion, combat et communications sont intégrés.

Faute de sécurisation, il serait possible de bloquer un bateau en pleine mer

ou de l’empêcher de combattre. En Afrique, l’opération antijihadiste française
Barkhane a ainsi été la cible d’une tentative de cyberattaque.
En octobre 2014, le ministre de la Défense, Jean-Yves Le Drian, avait qualifié de
«quatrième armée» les militaires engagés dans la cyberdéfense. « Je considère
que l’enjeu (de la cybersécurité, ndlr) est tellement fort, tellement inter-armées,
que dans les années qui viennent, ce sera sans doute aussi fort qu’une armée »,
avait estimé le ministre, venu poser la première pierre d’un « centre d’excellence »
en cyberdéfense à Bruz (Ille-et-Vilaine).
Bien que l’état ait lancé dès le début des années 2000 des initiatives pour
protéger ses systèmes d’information, ce n’est qu’en 2008 que le Livre blanc
du Gouvernement pour la sécurité et la défense nationale (LBDSN) consacre
comme vulnérabilité nouvelle grave, les «attaques majeures contre les systèmes
d’information», qui découlent soit de ruptures accidentelles, soit de menaces
intentionnelles et entraîneraient une déstabilisation de la vie courante, une
paralysie des réseaux critiques pour la vie de la nation ou de fonctionnement
de certaines capacités militaires.
Toujours dans cette approche, l’État a défini la notion d’Opérateurs d’importance
vitale (OIV), par un arrêté de 2006 modifié en 2008 : 218 opérateurs ont été
identifiés. Ces opérateurs appartiennent aux douze secteurs d’importance vitale,
dont les activités étatiques, la santé, l’eau, l’alimentation mais aussi l’énergie,
la communication, les transports, les finances et l’industrie. Selon l’ex-directeur
général de l’Agence nationale de sécurité des systèmes d’information (ANSSI),
Patrick Pailloux, cité par l’AFP en 2008, la France «a été un des premiers pays
du monde à entreprendre» cette démarche d’identification des opérateurs
d’importance vitale pour les protéger des pirates informatiques.
L’article 22 de la loi n°2013-1168 du 18 décembre 2013 relative à
la programmation militaire pour les années 2014 à 2019 (LPM) impose
désormais aux OIV de mettre en œuvre les mesures de cybersécurité et de
notifier les incidents de sécurité informatique. à la suite de la publication du
décret relatif à l’article 22 de la LPM, des arrêtés d’application de la LPM
seront publiés par grands secteurs d’activité. La SSI des OIV s’inscrit dans une
politique plus globale dont la doctrine a été publiée le 7 janvier 2014 dans
une instruction générale interministérielle n°6600/SGDSN/PSE/PSN validée
par le Premier ministre.
En 2013, le nouveau Livre blanc du Gouvernement pour la sécurité et la défense
précise ce qui relève des menaces pour la sécurité nationale en matière cyber :
• les tentatives de pénétration de réseaux numériques à des fins d’espionnage,
qu’elles visent les systèmes d’information de l’État ou ceux des entreprises ;
• une attaque visant la destruction ou la prise de contrôle à distance
de systèmes informatisés commandant le fonctionnement d’infrastructures
d’importance vitale, de systèmes de gestion automatisés d’outils industriels
potentiellement dangereux, voire de systèmes d’armes ou de capacités
militaires stratégiques.

Il estime par ailleurs que le cyberespace est devenu un espace de confrontation

et que certaines attaques sont assimilables à des actes de guerre.
La politique publique de Sécurité des systèmes d’informations (SSI) de l’État et
des OIV est portée par l’ANSSI, créée en juillet 2009, suivant ainsi l’une des
recommandations du Livre blanc de 2008. Elle est rattachée au Secrétariat
général pour la défense et la sécurité nationale (SGDSN), un service du
Premier ministre.
à titre d’exemple, Orange, premier opérateur français, a été victime en mai
2014 pour la deuxième fois en trois mois d’un piratage d’ampleur qui mettait
de nouveau en lumière la détermination de cybercriminels à se procurer des
données personnelles dans le but d’escroquer des internautes. Pas moins de
1,3 million de personnes, clients d’Orange ou figurant dans leur base de
données, étaient concernées par ce vol d’informations (noms, prénoms, adresse
mail, numéro de téléphone ou encore date de naissance). Aucune donnée
bancaire n’aurait été volée, selon Orange qui indiquait avoir depuis résolu
le problème. En février 2014, l’opérateur historique avait déjà reconnu avoir
été victime d’une intrusion informatique similaire, avec le vol de données de
quelques 800 000 de ses clients internet.
L’ANSSI est chargée de proposer les règles à appliquer pour la protection
des systèmes d’information de l’état et de vérifier l’application des mesures
adoptées. Dans le domaine de la défense des systèmes d’information, elle
assure un service permanent de veille, de détection, d’alerte et de réaction
aux attaques informatiques, notamment sur les réseaux de l’état et des grandes
entreprises publiques. L’ANSSI compte actuellement 350 personnes pour un
budget de 80 millions d’euros. à ce titre, elle est chargée de proposer les
règles à appliquer pour la protection des systèmes d’information de l’état et de
vérifier l’application des mesures adoptées.
Dans le domaine de la défense des systèmes d’information, elle a notamment
pour mission de :
- détecter et réagir au plus tôt en cas d’attaque informatique, grâce au
Computer Emergency Response Team (CERT-FR), centre gouvernemental
de veille, d’alerte et de réponse aux attaques informatiques ;
- prévenir la menace, en contribuant au développement d’une offre
de produits de très haute sécurité ainsi que de produits et services de
confiance pour les administrations et les acteurs économiques ;
- jouer un rôle de conseil et de soutien aux administrations et aux
opérateurs d’importance vitale ;
- informer régulièrement le public sur les menaces, notamment par le biais
du site Internet gouvernemental de la sécurité informatique, lancé en
2008, qui a vocation à être le portail internet de référence en matière
de sécurité des systèmes d’informations.
Pour l’actuel directeur général de l’ANSSI, Guillaume Poupard, cité le
20 janvier 2015 par l’AFP, « la loi de programmation militaire nous confère
des outils forts pour protéger les OIV, qui incluent plus d’une centaine de très
grosses entreprises françaises ». « La LPM permet de manière réglementaire

d’imposer des choses, comme l’obligation de dévoiler les incidents, mais les
différents travaux que l’on mène en terme de bonnes pratiques de protection
des OIV sont tout à fait adaptés pour les entreprises, au moins les plus grosses
et une véritable relation de confiance est en train de s’instaurer entre ces
entreprises et l’administration», avait estimé M. Poupard.
S’agissant des produits et des réseaux de sécurité, l’ANSSI est chargée :
- de développer et d’acquérir les produits essentiels à la protection des
réseaux interministériels les plus sensibles de l’État ;
- de mettre en œuvre les moyens gouvernementaux de commandement et
de liaison en matière de défense et de sécurité nationale ;
- de délivrer des labels aux produits de sécurité.
Afin de mieux connaître l’état de la menace et d’y apporter la réponse la

plus efficace, l’ANSSI et le CERT-France entretiennent des relations au plan
international avec leurs homologues, notamment européens.
La politique de sécurité des systèmes d’information (PSSI) de l’état, signée en
juin 2014, s’applique à tous les SI des administrations de l’état (établissements
publics sous tutelle d’un ministère). Les entités devront avoir mis en conformité
leur PSSI au 1er janvier 2015, défini un plan d’actions en juin 2015 et les
systèmes d’information devront être en conformité totale dans les trois ans
suivant sa publication.
La sécurité des systèmes d’information relève des responsabilités propres à
chaque ministre dans le domaine dont il a la charge. Il est assisté par un haut
fonctionnaire de défense et de sécurité (HFDS) dont les attributions sont fixées
par le code de la défense. Le HFDS relève directement du ministre et dispose
d’un service spécialisé. Un fonctionnaire de sécurité des systèmes d’information
(FSSI) est désigné par le ministre et généralement placé sous l’autorité du
HFDS. Il anime la politique de sécurité des systèmes d’information au sein
du ministère et en contrôle l’application.
Dans le cadre de l’actualisation du plan gouvernemental Vigipirate en 2014,
le SGDSN a choisi d’y intégrer la problématique des SSI afin de répondre de
manière plus cohérente en cas de crise consécutive à une attaque terroriste,
ayant partiellement ou totalement une dimension cyber.
La France a pris un retard certain dans l’impulsion d’une politique industrielle
favorisant son indépendance en matière de cybersécurité. Pour le compenser,
un plan cybersécurité pour construire la France de la sécurité et de la confiance
numérique a été validé par le ministre de l’économie, de l’Industrie et du
Numérique le 4 juin 2014. Il vise à accroître significativement la demande en
solutions de cybersécurité de confiance, développer pour les besoins de la
France les offres de confiance, organiser la conquête des marchés à l’étranger
et renforcer les entreprises nationales du domaine cybersécurité.
L’état a également décidé une série de mesures visant à renforcer la sécurité de
ses systèmes d’information sensibles.

L’instruction interministérielle relative à la protection des systèmes d’information

sensibles a été publiée début janvier. Elle rappelle l’obligation d’appliquer
des règles qui reposent sur le recours à des produits et des services labellisés
par l’ANSSI, le principe de faire de la défense en profondeur et l’obligation
d’homologuer les systèmes d’information traitant des informations sensibles.
Les entreprises (hors OIV)

à la traîne et des PME vulnérables
Pas une semaine ne s’écoule sans qu’un grand groupe ne soit victime
d’une faille majeure et les vols de mots de passe se mesurent à présent en
centaines de millions. La banque américaine J.-P. Morgan a ainsi révélé en
octobre 2014 que l’attaque informatique dont elle a été victime pendant l’été a
touché 76 millions de ménages et 7 millions de PME, clients de l’établissement.
Pire, selon une étude du cabinet PricewaterhouseCoopers, alors que le nombre
d’incidents déclarés a augmenté de 48% dans le monde depuis le début de
l’année pour un coût moyen de 2,8 millions de dollars, le budget moyen alloué
à la sécurité informatique a diminué dans le même temps de 4 %.
Selon un rapport de la société américaine de sécurité informatique Symantec,
publié en avril 2014, ce sont surtout les PME qui sont visées par les cybercriminels
en tant que portes d’entrée vers les plus grands groupes. « C’est le grand
tournant de ces dernières années, passer d’attaques envoyées sur des dizaines
de millions d’ordinateurs, à des attaques où la cible est choisie en fonction de
ce que l’on recherche », avait résumé à l’AFP Laurent Heslault, directeur des
Stratégies sécurité chez Symantec. Les cybercriminels visent essentiellement
deux types de professions : les assistants personnels et les spécialistes des
relations publiques, « afin d’accéder aux données de personnes au profil plus
intéressant, telles que des célébrités ou des chefs d’entreprise ». La France
connaît notamment une recrudescence d’attaques ciblées ou spear phishing,
qui visent en très grande majorité (77,46 %) les PME (ou organisations de moins
de 250 employés) avec, comme secteurs en ligne de mire, les administrations,
l’industrie et le secteur de la banque-finance-immobilier, selon Symantec.
Dans l’hexagone, les PME sont les plus ciblées parce qu’il est préférable de
viser un sous-traitant d’un grand groupe qui sera potentiellement moins protégé
et offrira un accès à ce dernier, toujours selon Laurent Heslault.
En 2012, le Club des directeurs de sécurité des entreprises (CDSE), a
tenu un colloque sur ces questions à l’Organisation de coopération et de
développement économiques (OCDE), en partenariat avec Europol.
Alors que la majorité de ces attaques, ou tentatives d’attaques, sont considérées
comme sans gravité par les entreprises, leur accroissement et leurs conséquences
sont de plus en plus préoccupants.

Interrogé sur la sensibilisation des PME aux enjeux de la cybercriminalité,

M. Poupard avait concédé qu’« en effet ce qui va fonctionner pour un grand
groupe ne s’adapte pas à une PME ».
« Aujourd’hui la stratégie à leur égard est double. Il s’agit d’abord de continuer
à éduquer sur les bonnes pratiques au niveau des personnes. Et comme elles
n’ont pas la taille critique pour développer de la sécurité en interne, l’autre
angle, c’est de pousser fortement au développement de solutions commerciales
telles que des capacités d’abonnements à des services avec un bon niveau de
protection », avait poursuivi M. Poupard.
Pour mieux le cerner, ce phénomène doit être appréhendé au regard des
comportements au sein même des entreprises.
Tout à leur expertise, les collaborateurs vivent et travaillent dans la bulle qu’ils
imaginent protectrice, quasi-inviolable, de la société qui les emploie, protégés
par des mesures de sécurité qu’ils ignorent et qu’ils n’ont d’ailleurs pas le temps,
pour autant qu’ils en auraient le goût, d’appréhender.
C’est en premier lieu contre ce sentiment de sécurité maximale dans l’entreprise
qu’il faut lutter.
L’absence de « vision transverse » des problèmes de sécurité de l’information
n’est malheureusement pas contrecarrée par un message ou des actions venant
du « top management », déclinés à tous les échelons de la hiérarchie.
Il n’est dès lors pas étonnant de déplorer une inadéquation croissante des
réponses sécuritaires du fonctionnement des opérateurs économiques.
Quoiqu’il en soit, les rédacteurs du présent rapport proposent de regrouper
les atteintes aux entreprises en deux types selon les objectifs recherchés :
l’entreprise elle-même (outils de production, organisation, patrimoine, réputation)
ou les données de l’entreprise.
L’objectif visé est l’entreprise elle-même

La première réaction lorsque l’on pense à l’entreprise comme victime d’une
forme de cybercriminalité est d’imaginer une grande entreprise, un groupe
mondial, faisant l’objet d’une cyberattaque de grande ampleur, très organisée.
Ainsi, la plupart des petites entreprises ne sont pas convaincues que les
cybercriminels s’intéressent à elles. Ces petites entreprises pensent pouvoir passer
entre les gouttes. Mais en réalité, les cybercriminels ne font pas de distinction.
Ils seront d’ailleurs sans doute de plus en plus tentés d’attaquer les plus petites
entreprises compte tenu d’une double absence chez ces dernières : celle de la
conscience du risque cyber, et celle de moyens financiers, matériels et humains
pour y remédier (nul doute que la priorité des PME n’est pas la mise en place
d’un service informatique dédié).
Parallèlement, les entreprises s’estiment démunies de toute voie d’action juridique
efficace et facile à engager pour remédier et/ou agir suite à une cyberattaque.
à tort à ou raison, le Code de procédure civile – et encore moins pénale
– ne permet aucune réactivité alignée sur la rapidité d’une cyberattaque et
ses conséquences.
Que penser de l’intérêt à agir d’une entreprise victime d’un blocage total de son
serveur informatique le dernier jour de l’envoi d’un important appel d’offres ?
Outre le risque d’atteinte à sa réputation, une telle entreprise ne verra aucun
avantage concret et rapide à vouloir agir judiciairement contre les auteurs de
l’attaque : la simple indemnisation du préjudice subi, à supposer qu’elle puisse
être mise en œuvre, ne sera qu’une consolation futile.
Quels sont les impacts directs et indirects

pour l’entreprise ?
Généralement, l’attaque visera à atteindre un STAD (ou plus largement à un outil
de production connecté : robot, chaîne de montage, etc.) afin de déstabiliser
l’activité de l’entreprise (perte de bénéfices, déficit d’image...).
Notons que cette attaque d’un STAD aura parfois été rendue possible ou
facilitée par un salarié, ou par un ancien salarié, qui va divulguer (volontairement
ou à son insu) des données de l’entreprise. Selon une récente étude réalisée
par le cabinet PricewaterhouseCoopers, la majorité des incidents de sécurité
avait pour origine un salarié (ou ancien salarié) de l’entreprise. Un salarié, ou
un ancien salarié, peut aussi utiliser un certain nombre de données informatiques
qu’il a eu en sa possession pour nuire à l’entreprise.
On peut citer parmi les impacts indirects néfastes, les dommages causés à
la réputation de l’entreprise, la perte de confiance des actionnaires, la perte
d’avantages concurrentiels au travers de l’espionnage industriel, les pertes
financières sur le long terme ou les conséquences de l’extorsion et de la
divulgation de données.
Il faut garder à l’esprit l’éventualité d’une action de groupe des clients contre
l’entreprise victime d’un vol de leurs données personnelles : l’introduction de
l’action de groupe dans le droit positif est récente, puisqu’elle date de la loi
n° 2014-344 du 17 mars 2014 relative à la consommation.
Il est donc encore trop tôt pour mesurer l’ampleur que prendra ce type de
procédure mais nul doute que certains consommateurs seront tentés d’engager
la responsabilité contractuelle, voire délictuelle, d’une entreprise détentrice de
données ne les ayant pas assez protégées.
De ce point de vue, les conséquences du piratage de Sony Pictures, une
grande entreprise américaine, sont éloquentes. Le piratage dévastateur
attribué à la Corée du Nord et l’annulation de la sortie du film « L’interview
qui tue ! » pourraient coûter au studio de cinéma jusqu’à un demi-milliard de
dollars, avaient estimé des experts, cités par l’AFP. « L’interview qui tue ! », film
parodique sur un complot fictif de la CIA pour assassiner le leader nord-coréen
Kim Jong-Un, a déclenché l’ire de Pyongyang. Le 24 novembre, Sony Pictures
avait fait l’objet d’une attaque informatique massive revendiquée par le « GOP »
ou Guardians of Peace attribuée par le FBI à la Corée du Nord. Il avait paralysé
son système informatique et s’était accompagné de la diffusion en ligne de
5 films du studio (dont certains n’étaient même pas encore sortis), des données
personnelles de 47 000 employés, de documents confidentiels comme le script
du prochain James Bond, et d’une série d’e-mails très embarrassants pour les
dirigeants de Sony.

L’objectif visé : les données détenues par l’entreprise

Dans tous les cas, l’objectif final est la recherche d’un profit. Il peut s’agir d’une
atteinte à un STAD dans le but d’obtenir un « produit » (données personnelles,
données bancaires, secrets industriels) qui a éventuellement vocation à être
revendu à un tiers.
Cet objectif est parfois lié au premier décrit plus avant, à savoir la déstabilisation
d’une entreprise (concurrente).
Il ne faut jamais perdre de vue que, dans l’hypothèse d’un piratage de
données personnelles, l’entreprise est la première victime mais que la victime
finale, qui est en réalité la vraie victime, est celle qui est « titulaire » des données
personnelles. Le but ultime du pirate dépend de la nature de la donnée qui a
été soustraite : l’objectif peut être d’autoriser un virement bancaire ou de créer
une fausse carte de crédit pour procéder à des achats frauduleux.
Dans l’hypothèse de données personnelles de santé, l’objectif peut être, par
l’usage notamment du numéro de sécurité sociale, d’obtenir des remboursements
ou prestations sociales d’une caisse de sécurité sociale. Dans son rapport
« Internet Security Threat Report », Symantec précise que 37 % des piratages de
données révélés en 2013 concernaient le secteur de la santé.
Par ailleurs, l’entreprise peut également être affectée par toute une série d’actes
qui entre dans la définition de la cybercriminalité sans être strictement des
infractions informatiques.
En effet, l’entreprise peut être victime de ses propres clients (ou clients
potentiels). On évoque ici plus précisément les entreprises travaillant dans les
nouvelles technologies (édition de logiciels, jeux vidéos, etc.) ou dans le secteur
audiovisuel (musique, cinéma). Le plus souvent, il s’agira de téléchargement
illégal du produit vendu par l’entreprise. Cela peut aussi passer par l’utilisation
de clé de licence obtenue frauduleusement. Dans tous les cas, il s’agit d’atteintes
aux droits de propriété intellectuelle dont l’impact financier pour l’entreprise,
voire pour un secteur d’activité, peut être considérable.
Les particuliers,
victime s nombreuses
mais trop souvent silencieuses
La cybercriminalité est un problème en croissance constante qui a le potentiel
d’affecter directement chaque citoyen dans une société moderne. Malgré
les nombreux progrès apportés par les ordinateurs, ils ont produit un certain
nombre d’effets négatifs tels que le piratage et l’écriture de virus ainsi que
d’autres infractions plus répandus et plus faciles à perpétrer, notamment le vol
d’identité et la fraude financière. La nouvelle génération est dépendante des
ordinateurs dans la vie quotidienne sans en connaître les dangers. Aussi, il est
devenu plus important que jamais que les individus soient conscients de leurs
vulnérabilités et des différents cybercrimes commis.
L’étude commandée en 2013 par Symantec Corporation a signalé que 45 %

des ressortissants français interrogés ont déclaré avoir déjà été victime d’un
cybercrime, 27 % d’entre eux l’ayant été au cours des 12 derniers mois (2013
Norton Report: Cost per Cybercrime Victim Up 50 Percent. Rep. Symantec,
1 Oct. 2013).
Les cybercriminels ont démontré leur capacité à adapter de nouvelles façons
de cibler les victimes potentielles sur l’Internet. Ceci est attesté par des rapports
bien documentés dans les médias, mais il est difficile de déterminer l’étendue
totale de la victimisation car une étude mondiale estime que plus de 80 % des
victimes de la cybercriminalité ne signalent pas le crime à la police (« UNODC
Comprehensive Study on Cybercrime » Feb. 2013).
L’une des principales raisons identifiées pour lesquelles les victimes ne
signalent pas les infractions et le caractère anonyme de leur commission.
Par ailleurs les victimes ne croient pas que l’application de la loi sera en
mesure d’appréhender les responsables (“Cybercrime: Criminal threats from
Cyberspace” Susan W. Brenner 2010).
Dans certains cas, en particulier ceux impliquant le vol d’identité, les victimes
réalisent leur statut de victime parfois bien après que l’acte criminel a été
commis. Certaines personnes peuvent éprouver un sentiment de honte pour
ce genre de crime, et ressentir une certaine culpabilité de ne pas s’être
suffisamment protégés.
La cybercriminalité, sous toutes ses nombreuses formes, a le potentiel d’avoir un
impact sur la vie des particuliers. Elle peut de plus en plus menacer la réputation
d’une personne ou le bien-être personnel voire, dans les cas extrêmes, mener à
la ruine financière des victimes.
Les statistiques pour la France en ce qui concerne l’utilisation d’Internet
constituent une excellente indication de l’exposition des « netoyens » en France
aux activités liées à l’Internet et donc à la criminalité cybernétique :
– 84 % de pénétration d’Internet en France (Source Internet Live Stats Q1 2015) ;
– 67 % de haut débit mobile (3G et 4G) par rapport à la population totale
(Source basée sur les données de GSMA Intelligence, Q4 2014) ;
– 45 % d’utilisation des réseaux sociaux (comptes actifs sur un réseau

social dans chaque pays par rapport à la population) – (Sources :
Facebook Q1 2015; Tencent Q4 2014 ; VKontakte Q3 Q4 2014 et 2014) ;
– 49 % de la population nationale ayant acheté un produit en ligne

(Source : Global Web Index, Q4 2014).
La tendance, en évolution constante, pour les consommateurs à utiliser de plus

en plus des appareils et tablettes mobiles va produire une inflation des publics
exposés à des attaques de la cybercriminalité. Cette évolution est majorée par
la décision consciente des « netoyens » d’accepter de diminuer leur sécurité
pour plus de commodité (2013 Norton Report : Cost per Cybercrime Victim Up
50 Percent. Rep. Symantec, 1 Oct. 2013).
L’adoption massive des réseaux sociaux implique que le risque posé par les
médias sociaux a augmenté de façon spectaculaire (Internet Security Threat

Report 2014 : Volume 19, Rep. Symantec. April. 2014). Le rapport souligne
que les attaques de phishing évoluent, se déplaçant de plus en plus loin dans
le paysage des médias sociaux. Néanmoins, les mêmes techniques observées
dans le phishing et le spam e-mails sont maintenant exploitées dans des
campagnes de médias sociaux.
Même si le niveau de sensibilisation aux cybermenaces a généralement
augmenté, de même que les mesures prises par la communauté d’application
de la loi contre les cybercriminels, il doit être souligné que les profits illicites
ont également atteint des sommets incroyables et continuent à croître. Le
coût financier total de la cybercriminalité en France en 2013 a été estimé à
900 millions d’euros. Le coût direct moyen par victime est estimé à 275 euros
(2013 Norton Report : Cost per Cybercrime Victim Up 50 Percent. Rep.
Symantec, 1 Oct. 2013).
Pour la population, les niveaux de victimisation de la cybercriminalité sont
nettement plus élevés que pour les formes «classiques» («étude approfondie de
l’ONUDC sur la cybercriminalité.» Février 2013).
Le rapport Marc Robert pointe le manque de sensibilisation de l’opinion
publique sur les risques induits par leurs nouveaux modes de communication et
d’expression, notamment « la mémorisation considérable induite par internet et
sans limitation de durée, niant le droit à l’oubli » ou bien « l’effet amplificateur
d’internet en terme d’informations partagées à l’infini qui peut conduire jusqu’à
la mort sociale voire au suicide ».
L’Institut national d’aide aux victimes et de médiation (INAVEM), cité dans le
rapport Robert, résume les attentes des victimes individuelles :
- la première est qu’il soit mis un terme à l’infraction, en particulier, en cas
d’atteinte à la vie privée et sans attendre d’éventuelles poursuites ;
- la deuxième a trait à une meilleure prise en considération et à une plus
grande reconnaissance, notamment au stade du dépôt de plainte, dans
la mesure où, faute de sensibilisation suffisante mais aussi au regard
du sentiment d’impuissance ressenti par les enquêteurs eux-mêmes
en matière d’escroqueries, certaines plaintes se heurtent à un refus
d’enregistrement, voire à un accueil inadapté ;
- la troisième consiste à reconstruire une image salie et à éviter qu’elle
continue à se répandre ;
- la quatrième concerne la compensation financière sur fonds publics,
s’agissant d’escroqueries commises au préjudice de victimes en situation
de détresse et de fragilité.
Par ailleurs, la question des mineurs victimes mérite une approche particulière,
estime le rapport Robert. Selon le groupe interministériel, « Plus que tous les
autres, les mineurs ont besoin d’être sensibilisés aux risques numériques et
informés de la protection réelle dont ils peuvent bénéficier », et il faudrait que
« leur environnement immédiat ainsi que les policiers et les magistrats soient
davantage formés à cette question ».

Les cybercriminels,
des prédateurs aux multiples
visages et motivations
S’il est un constat sur lequel tous les acteurs de la cybersécurité s’accordent, c’est
bien sur l’augmentation exponentielle du nombre de cybercriminels qui diversifient
leurs attaques grâce à des moyens d’action de plus en plus sophistiqués.
L’image d’épinal du petit génie en informatique, vissé devant son ordinateur, a
vécu. Désormais, tout un chacun peut devenir un cybercriminel, d’abord parce
que les techniques sont facilement accessibles sur le darkweb (web profond)
et souvent à portée de bourse mais aussi parce que l’utilisation croissante des
moyens d’anonymisation des adresses IP crée un sentiment d’impunité propice
au passage à l’acte délictuel voire criminel.
Les groupes criminels traditionnels, de plus en plus professionnels, ont su s’adapter
aux innovations technologiques et n’hésitent plus à recruter des informaticiens
victimes de licenciement économique pour utiliser leurs compétences.
La cybercriminalité se diversifie dangereusement. Les cybercriminels de droit
commun sont les plus visibles et les plus nombreux. Trois grands types émergent :
les délinquants sexuels, les cyberviolents qui s’en prennent aux personnes et les
cyberescrocs qui déploient un large éventail d’arnaques en tout genre.
D’après la Direction centrale du renseignement intérieur (DCRI devenue depuis
la DGSI), citée dans le rapport Robert, ceux qui s’attaquent aux entités étatiques
et aux opérateurs d’importance vitale présentent des profils particuliers. Le
rapport parlementaire relatif à l’espionnage économique (décembre 2014)
souligne que « nos principaux partenaires peuvent aussi être nos meilleurs
adversaires dans le domaine économique ».
- les cybermercenaires, qui proposent leurs services sur le darkweb
afin de perpétrer des attaques pour le compte d’états, d’individus
ou d’organisations ne souhaitant pas apparaître ou ne possédant
pas la technicité ou la ressource nécessaire : ce système fonctionne
exclusivement par cooptation et sous « contrat » ;
- les cyberespions, qui réalisent des intrusions afin de s’approprier
des informations stratégiques ou économiques : ces attaques sont
principalement commanditées par des états, alliés ou non de la
France. En parallèle, le cyberespionnage économique constitue une
menace majeure ;
- les cyberterroristes, animés par des idéologies extrémistes, qui
utilisent internet de manière intensive depuis quelques mois comme
une tribune ou un moyen de radicalisation, comme l’illustre le piratage
de TV5 Monde.
Une fois énumérés ces différents profils de cybercriminels, reste que leurs
victimes peuvent être tour à tour des entreprises, des particuliers, des états.

Le « biotope » des cybercriminels,

le darkweb
Le darknet désigne une partie de l’internet inaccessible par les moteurs de
recherche classiques, et nécessitant des outils de navigation spécifiques, dont la
caractéristique commune est d’assurer l’anonymat de l’internaute. Le navigateur
TOR – acronyme de The Onion Routeur – est un outil numérique inventé puis
diffusé par le Pentagone. Il est le plus connu, mais il en existe d’autres (I2P).
TOR cache toutes les adresses IP et crypte tout ce qui s’échange sur le web,
à travers lui et à chacune des couches de l’oignon. Aucun nœud du réseau
ne connaissant la source, la destination ni le contenu des messages qui le
traversent, l’internaute dispose sur TOR d’un anonymat presque parfait.
Au départ, cet outil a été conçu pour protéger les communications américaines
officielles puis il a permis de mettre tout internaute en capacité de rendre plus
difficiles les surveillances, la censure et les interceptions.
En 2012-2013, il a été mondialement téléchargé de 30 à 50 millions de fois
par année et utilisé 800.000 fois par jour, par environ 1,2 million d’individus.
Sur le darkweb, les sites cachés accessibles par TOR étaient environ 6 500 fin
2013, en majorité criminels (Source : Xavier Raufer dans « Cybercriminologie »).
Le darknet a ses supporteurs qui arguent de son utilité pour la dissidence
politique ou les lanceurs d’alerte ; mais force est de constater que le darknet
est aussi et surtout un lieu de commercialisation de produits illégaux (drogues,
armes,) mais aussi de services illégaux (prestations de piratage de messagerie,
vente de numéros de cartes bancaires, location de botnet pouvant permettre le
lancement d’attaques par déni de service).
Les paiements s’effectuent avec une monnaie non-régulée : le bitcoin. à ce jour,
l’existence de cette monnaie est tolérée par les autorités de la plupart des
pays, et de la France en particulier. Cette monnaie sans légalité, concurrence
pourtant l’état de droit en permettant la rétribution d’actes non revendicables
par nature et toujours criminels par destination. Ce type de devises pourrait être
combattu par principe.
Le darknet est donc un lieu de ressource pour les cybercriminels, qui recrutent
sur ce marché parallèle les hackers les plus performants. Sans doute trois fois
plus vaste en volume que le web de surface, le darkweb est un cauchemar pour
les États, qui voient prospérer des activités illégales en toute impunité.
Dans son livre « Cybercriminologie », Xavier Raufer dresse un aperçu des
services qui sont proposés dans cette nouvelle « Cour des miracles ». Siphonner
des informations en ligne, un logiciel pirate y coûtera de 200 à 500 dollars,
acheter des numéros de cartes de crédit avec mots de passe, on en trouve de
6 à 100 dollars la pièce, envoyer des spams, un million d’adresses courriel
pour 120 dollars, piloter un réseau d’ordinateurs asservis (botnets), environ
200 dollars la journée, multiplier le nombre de ses «amis» factices : 115 dollars
pour 100 000 followers sur Twitter, 100 dollars pour 100 likes sur Facebook.

Quelle réponse judiciaire à ce type d’espace criminel ?

Comme toute criminalité, la criminalité informatique ne peut être réprimée que si
le ministère public ou la victime est informée de l’atteinte qui a été commise. Les
actes les plus graves dirigés contre l’état ou des intérêts privés ne sont souvent
identifiée que bien longtemps après la commission des faits, et ces atteintes
demeurent régulièrement ignorées.
Par ailleurs, la réponse pénale en tant qu’expression de la souveraineté de
l’état possède une dimension territoriale. Comment, dès lors qu’Internet ne
dispose que de peu d’empreinte territoriale, identifier et localiser l’auteur d’une
infraction ou d’un délit commis depuis l’espace cyber ?
La conception traditionnelle de la manœuvre répressive se heurte en outre à un
facteur important de la cybercriminalité : la clandestinité. En effet, pour se prémunir
de toute réponse étatique, les hackers agissent en clandestinité : ils recourent
à des techniques éculées mais modernisées pour masquer leur comportement
et leur identité. Dès lors, le seul moyen d’entraver leur comportement anti-social
par nature serait de déceler leur activité et de la qualifier le plus en amont
possible. L’action administrative en raison de son pouvoir réglementaire général
constitue le socle de la capacité à agir surtout lorsqu’il s’agit de poursuivre des
hackers dont l’action est commanditée par un autre état.
Le caractère transnational des atteintes cyber, leur anonymat, la volatilité
de la preuve numérique nécessite d’agir le plus en amont possible. L’action
judiciaire est illusoire si elle est exercée seule, sans l’appui préalable de
l’action administrative : le renseignement.
La cybercriminalité peut être engagée sur de nombreux thèmes : terrorisme,
stupéfiants et espionnage en sont les plus connus. Elle agit sans réelles entraves
et se moque des conventions internationales car peu d’états ont pris la mesure
de sa puissance. Pour la combattre, les schémas traditionnels sont inopérants
car ils nécessitent de procéder à une intrusion dans les libertés individuelles :
le contrôle d’internet et l’exercice dans ce territoire de la souveraineté de l’état.

Des services d’investigation

performants mais
pas assez coordonnés
En France, la lutte contre la cybercriminalité est menée par des services
d’enquête spécialisés et performants.
Le ministère de l’Intérieur à la recherche

de plus de coordination
Fin 2014, le ministre de l’Intérieur Bernard Cazeneuve a nommé un cyberpréfet,
Jean-Yves Latournerie, afin de coordonner l’action des services du ministère de
l’Intérieur (police, gendarmerie, douanes, dgsi). Le « cyberpréfet » est chargé
de la lutte contre la cybercriminalité et du pilotage de la cyberprotection
des citoyens. Il doit également s’assurer de la cybersécurité du ministère de
l’Intérieur et lutter contre les atteintes aux intérêts de la nation.
Sa feuille de route présente cinq axes principaux :

- Disposer d’une vision claire et actualisée des cybermenaces,
particulièrement dans le domaine de la cybercriminalité (Il est
actuellement impossible d’avoir des statistiques précises : rien avant
septembre 2016).
- Renforcer les capacités du ministère de l’Intérieur face aux cybermenaces :
• Création d’une direction de lutte contre les cybermenaces au sein
de la DCPJ, qui absorbe l’OCLCTIC.
• Coordination des chefs d’unité cyber des grandes directions de la
police (PP, DGSI, DCPJ, etc.) et de la gendarmerie.
- Renforcer la réponse aux victimes (répondre aux appels à l’aide sur les
cyberattaques de bas niveau commises contre des mairies, des PME à
l’instar de celles commises après les attentats de janvier).
- Sécuriser les systèmes d’information du ministère.
- Développer les coopérations internationales (cf. discussions récentes
du ministre de l’Intérieur avec les opérateurs américains pour faciliter
l’obtention de données nécessaires aux enquêtes).
à l’heure actuelle, selon les chiffres donnés par le ministère de l’Intérieur, la

gendarmerie dispose d’un réseau de près de 260 gendarmes « enquêteurs
technologies numériques » (NTECH) et de 1 500 correspondants NTECH
(C-NTECH), répartis dans les brigades territoriales et les unités de recherche.
La police nationale dispose de son côté de 389 investigateurs en cybercriminalité
(ICC), coordonnés entre eux et formés par la Sous-direction de la lutte contre
la cybercriminalité (SDLC). Les ICC de la Police nationale sont répartis dans
ses directions et celles de la préfecture de Police de Paris.

La Sous-direction de lutte contre la cybercriminalité (SDLC)

Créée par arrêté en avril 2014, cette sous-direction est née « de la nécessité
d’adapter le dispositif du ministère de l’Intérieur à la généralisation de
l’utilisation des nouvelles technologies dans la commission des infractions » et
« s’inscrit, dans un contexte général de mobilisation des institutions publiques
pour apporter des réponses aux menaces liées à la cybercriminalité», selon
la direction centrale de la police judiciaire (DCPJ). Elle définit les stratégies à
mettre en œuvre dans les domaines de l’opérationnel, de la formation et de
la prévention du grand public et du tissu économique.
La SDLC comprend un bureau de coordination stratégique, l’Office central
de lutte contre la criminalité liée aux technologies de l’information et de la
communication (OCLCTIC), et une division en charge de l’anticipation et
de l’analyse.
Rattaché auparavant à la sous-direction de la lutte contre la criminalité organisée
et la délinquance financière l’OCLCTIC comprend désormais 5 sections :
- une section de l’Internet composée de la plate-forme d’harmonisation,
de recoupement et d’orientation des signalements « PHAROS » dédiée
au traitement des contenus illicites de l’Internet qui accueille un centre de
traitement (ou plate-forme) des escroqueries en ligne chargé du recueil
des plaintes en ligne, de leur recoupement et de leur exploitation.
Cette section comprend également, un « bureau de l’Internet » chargé de
centraliser au bénéfice des enquêteurs, les informations utiles pour faciliter
les échanges opérationnels avec les fournisseurs d’accès à Internet ;
- une section opérationnelle, chargée de la répression des infractions
liées aux atteintes aux STAD (le piratage), des fraudes aux opérateurs
de communications électroniques (escroqueries aux SMS et numéros
d’appel surtaxés, des piratages des systèmes d’exploitation des
smartphones et des standards téléphoniques), des escroqueries
commises sur Internet et des atteintes aux systèmes de paiement ;
- une section d’assistance technique, de recherche et de développement ;
- une section de la formation en charge notamment de la formation initiale
des premiers intervenants et des investigateurs en cybercriminalité ;
- une section des relations internationales comprenant une cellule de
coopération internationale, une documentation opérationnelle et un
bureau de synthèses et d’analyses.
La division de l’anticipation et de l’analyse a vocation à construire une

réponse publique aux particuliers et aux entreprises non identifiées comme des
« opérateurs d’importance vitale » et cibles privilégiées des cyberattaques.
Cette division comporte également une cellule d’information du public, axée
sur l’identification des nouveaux modes opératoires (diffusion d’alertes en ligne,
campagnes de sensibilisation aux dangers de l’Internet) et les bonnes pratiques
permettant de minimiser les risques d’attaque.

Le Plateau d’investigation cybercriminalité et analyses numériques

(PICyAN) du Pôle judiciaire de la gendarmerie nationale (PJGN)
Le Plateau d’investigation cybercriminalité et analyses numériques du Pôle

judiciaire de la gendarmerie nationale coordonne le dispositif global de
la gendarmerie en matière de lutte contre la cybercriminalité et associe
investigation et criminalistique.
Son activité s’exerce à plusieurs niveaux :
• au plan des investigations, le PICyAN assure la surveillance,
principalement pro-active, des différents espaces de l’Internet en
vue de détecter et de caractériser les infractions ; cette surveillance
peut prendre la forme d’enquêtes sous pseudonyme. Il coordonne,
en outre, les enquêtes sous pseudonymes réalisées par les unités
territoriales. Le PICyAN assure la direction d’enquêtes ou l’appui aux
offices centraux de la gendarmerie et aux unités territoriales, ainsi que
la direction d’opérations présentant une particulière envergure, gravité
ou sensibilité ;
• au plan national, il a la responsabilité du Centre national d’analyse des
images de pédopornographie (CNAIP) et administre la base nationale
constituée à partir des enquêtes de police et de gendarmerie, aux
fins d’identification des victimes et de leurs auteurs, cela en lien avec
INTERPOL et les homologues étrangers du CNAIP ;
• en matière de criminalistique, le PICyAN réalise, à la demande des
magistrats et des enquêteurs, les expertises et examens techniques
complexes relatifs à la preuve numérique : l’extraction de données à
partir de supports électroniques, magnétiques ou optiques, et l’analyse
de systèmes et de réseaux ;
• de manière transversale, le PICyAN gère un guichet unique
téléphonie et Internet (GUTI) assurant l’interface entre les opérateurs
et les enquêteurs de la gendarmerie ainsi que le lien avec la future
plate-forme nationale des interceptions judiciaires ; il assure une
mission de soutien de la communauté des enquêteurs spécialisés
des unités territoriales de gendarmerie en termes de formation,
d’équipement et d’information.
La Direction générale de la sécurité intérieure (DGSI)

Créée en mai 2014, la DGSI est chargée sur l’ensemble du territoire, de
rechercher, de centraliser et d’exploiter le renseignement intéressant la
sécurité nationale ou les intérêts fondamentaux de la Nation. En cette qualité,
elle se concentre sur les atteintes relevant de la cyberdéfense comme de la
cybersécurité. Elle doit détecter et identifier les cybermenaces.
Directement placée sous la tutelle du ministère de l’Intérieur pour gagner en
autonomie, la DGSI compte près de 3 400 personnels, auxquels vont s’ajouter
des contractuels (ingénieurs, programmeurs, linguistes, etc.).
Elle mène également des actions de prévention auprès des grandes entreprises.

La Brigade d’enquête sur les fraudes aux technologies de l’information

(BEFTI)
La préfecture de Police de Paris (PP) peut s’enorgueillir d’avoir, contrairement
à la province, un service spécialisé à compétence régionale, au sein de la
direction régionale de la police judiciaire. La BEFTI a une compétence spécifique
s’agissant des atteintes aux STAD, des infractions à la loi informatique et libertés
et à la loi du 21 juin 2004 pour la confiance dans l’économie numérique, la
contrefaçon numérique logicielle ou de bases de données, les atteintes aux
droits d’auteur, la captation frauduleuse de programmes télédiffusés et les
usages frauduleux de lignes téléphoniques.
Elle est également chargée d’assister les services d’enquête pour des investigations
informatiques techniques, de sensibiliser les partenaires privés ou publics ou former
les fonctionnaires de la préfecture de police de Paris. Elle assure de nombreuses
interventions afin de sensibiliser le grand public et les entreprises.
Le Service national des enquêtes (SNE)

Le ministère de l’économie et des Finances a créé, au sein de la Direction
générale de la concurrence, de la consommation et de la répression des
fraudes (DGCCRF), un service spécialisé - le service national des enquêtes (SNE).
Selon le décret de sa création en 2009, le service national des enquêtes a
compétence pour réaliser sur l’ensemble du territoire national des enquêtes
nationales et communautaires. Ces enquêtes visent à la recherche et à la
constatation des infractions et manquements au droit national et communautaire
et à la collecte d’informations économiques, en matière de qualité et de
sécurité des produits et services, de loyauté des transactions, de protection des
intérêts des consommateurs ainsi que de bon fonctionnement des marchés et
d’équilibre des relations commerciales entre entreprises.
Le service national des enquêtes comprend également un centre de surveillance
du commerce électronique et une unité de renseignement. En plus de la
surveillance des principaux secteurs marchands en ligne, le SNE assure
une action préventive auprès des secteurs identifiés à risque – notamment
les nouveaux sites du commerce électronique – et contrôle de manière
systématique les sites faisant l’objet de plaintes réitérées.
La cellule Cyberdouane
Créée en février 2009 et installée à la très discrète Direction nationale du
renseignement et des enquêtes douanières (DNRED), le plus petit des services
de renseignement français et bras armé des douanes, la cellule Cyberdouane
intervient en amont de l’enquête, son rôle est de détecter les transactions
illicites sur Internet et de transmettre après instruction à un service opérationnel.
La DNRED dispose également d’une Cellule de la preuve informatique (CRPI),
qui intervient en appui technique des enquêteurs douaniers.

Une efficacité des services répressifs encore trop limitée

Malgré les efforts consentis par l’État pour muscler ses services répressifs,
la cybercriminalité continue de faire des ravages. Le rapport du groupe
interministériel de lutte contre la cybercriminalité avance une série de causes
à ce constat peu encourageant :
• l’insuffisance de la prévention, dans la mesure où nombre d’actes de
délinquance reposent sur la contribution involontaire des internautes,
sous la forme, par exemple, de la fourniture de données sensibles, ou
sur un manque de prudence des entreprises ou de leurs salariés ;
• des mécanismes de «veille» ou des investigations d’initiative insuffisants
par rapport au volume des données circulant sur Internet et qui sont
essentiellement le fait de quelques autorités ou services centraux
spécialisés en fonction des moyens qui leur sont dévolus ;
• des dispositifs de signalement, certes précieux, mais multiples et
ignorés de la majorité des internautes ;
• la technicité de cette délinquance, dont l’appréhension requiert une
sensibilisation et une formation beaucoup plus généralisées ;
• l’évolution incessante des procédés délictueux, de plus en plus
sophistiqués, par exemple en matière de virus malfaisants ou
d’escroqueries, qui requièrent une adaptation quotidienne de la part
des services d’investigation et de justice ;
• au plan juridique, le droit spécifique, qui relève de corpus différents,
reste peu accessible aux non-initiés ; il est, de plus, essentiellement
mouvant, les multiples initiatives normatives peinant à s’inscrire dans
un cadre cohérent et consensuel sur le moyen terme ;
• un mode inadapté de traitement d’un contentieux qui, souvent massif,
exige des recoupements car il est bien rare qu’un cyberescroc se limite
à quelques victimes, ce qui nécessite une évolution des organisations,
qui a commencé mais qui est loin d’être achevée ;
• l’impuissance des mécanismes classiques d’investigation, fondés sur un
accès physique au suspect comme aux éléments de preuve, en regard
de l’anonymat comme de l’extranéité des cyberdélinquants ainsi que de
la volatilité des moyens de preuve qui caractérisent la cyberdélinquance
organisée. Les résultats en terme d’élucidation illustrent ce dernier
constat puisque, si les services d’investigation n’ont aucune difficulté
pour mener à terme leurs enquêtes lorsque la cyberdélinquance
s’inscrit dans un cadre inter-personnel (une partie des infractions à la
loi sur la presse, certains types d’harcèlements, la détention d’images
pédopornographiques) ou se limite au territoire français, les obstacles
s’accumulent lorsqu’il s’agit d’attaques contre les STAD, d’escroqueries
organisées ou encore de fraudes à la carte bancaire ;
• le caractère transnational tant de la cybercriminalité que de ses
acteurs, qui se jouent de la notion de frontière, alors que les législations
internes peinent à s’harmoniser, sinon en Europe, du moins dans le
reste du monde. Il en résulte notamment, pour les services de police

et de justice, une véritable dépendance à l’égard des opérateurs, en

particulier des prestataires techniques d’Internet, qui sont les seuls à
pouvoir faciliter la levée de tels obstacles ;
• un manque de stratégie et de cohérence d’ensemble.
L’action publique a vocation à être

également administrative
Par ailleurs, la réglementation française reste très en retard par rapport à
certains de ses homologues étrangers, en particulier les états-Unis où les
agences (FBI, CIA, NSA) et l’armée ont le droit de surveiller et d’intercepter
toutes les communications électroniques des personnes suspectées de terrorisme,
sans l’intervention des autorités judiciaires.
Pour muscler sa riposte, le gouvernement a présenté un projet de loi sur le
renseignement, adopté en mai en première lecture par l’Assemblée nationale
visant à définir les missions des services, le régime d’autorisation pour l’utilisation
des techniques d’espionnage et leur contrôle.
Ce projet de loi dispose que les services peuvent recourir aux techniques
pour le recueil de renseignements relatifs à la défense et à la promotion des
intérêts publics suivants : l’indépendance nationale, l’intégrité du territoire et la
défense nationale ; les intérêts majeurs de la politique étrangère et la prévention
de toute forme d’ingérence étrangère ; les intérêts économiques, industriels et
scientifiques majeurs de la France ; la prévention du terrorisme ; la prévention
des atteintes à la forme républicaine des institutions, des violences collectives
de nature à porter atteinte à la sécurité nationale ou de la reconstitution ou
d’actions tendant au maintien de groupements dissous ; la prévention de la
criminalité et de la délinquance organisées ; la prévention de la prolifération
des armes de destruction massive.
Selon ce texte, les services pourront recourir à des « interceptions de sécurité »
(qui pourront aussi viser l’entourage de la personne ciblée) portant sur les
conversations téléphoniques ou les contenus de courriels. Ils pourront aussi
poser des micros, des caméras, des logiciels-espions (permettant notamment
de savoir ce que la personne tape sur son clavier) Les renseignements collectés
pourront être gardés 30 jours pour ceux issus des « interceptions de sécurité » et
90 jours pour ceux obtenus par sonorisation, localisation et captation d’image.
Les données de connexion informatiques pourront, elles, être gardées cinq ans.
Le texte entend légaliser l’utilisation des Imsi-catchers, qui interceptent dans un
périmètre donné toutes les communications, en imitant le fonctionnement d’un
relais de téléphonie mobile. Il suffira de savoir qu’une cible est dans un certain
périmètre pour s’assurer que toutes ses communications soient interceptées à
son insu, quelle que soit la ligne qu’elle utilise. Enfin, le Gouvernement pourra
demander aux opérateurs de communication et aux fournisseurs d’accès
internet de mettre en place un algorithme (un programme informatique capable
de détecter une suite d’opérations définies) pouvant déceler « une menace
terroriste » par une suite de comportements sur internet, comme des mots clés
tapés et des sites consultés. En cas de menace détectée, l’anonymat de ces
métadonnées pourra être levé. Le texte prévoit également un durcissement de
l’échelle des sanctions pécuniaires en cas de cyberattaque.

Des incriminations suffisantes

mais qui se heurtent
aux difficultés d’investiguer
à l’heure où même les montres sont devenues des objets informatiques, il
est naturel de s’interroger sur la manière dont le législateur doit définir le
« lieu » de l’infraction cyber. Or il s’avère que dès la fin des années 1980, la
représentation nationale a créé un terme générique, qui présente l’avantage
d’être non limitatif dans ses acceptions.
En 1988, la loi Godfrain, relative à la fraude informatique, introduit en effet
dans le droit français la définition et la répression des atteintes aux systèmes de
traitement automatisé de données. L’acronyme « STAD » fait à cette occasion
son apparition dans le Code pénal.
Compte tenu de la pluralité de ses acteurs, de ses victimes et de ses modes
d’action, il a paru légitime de s’interroger sur la pertinence d’un « droit cyber »
en tant que tel. Il existe bien un droit maritime, un droit du travail, un « code de
la déontologie des architectes ». Pourquoi pas un code cyber ?
Sur ce point, il est apparu, au fil de nos entretiens, que les infractions cyber sont
si variées et recouvrent un champ si vaste et mouvant qu’il serait vain d’accorder
à la matière cyber un champ pénal en tant que tel ; mais il est nécessaire que
cet univers soit pris en compte, de plus en plus, par la justice, comme terrain de
délinquance et de criminalité.
La réponse pénale : des infractions globalement

rattachées à des infractions classiques
Les STAD présentent cette particularité qu’ils sont à la fois une fin et un moyen
pour les infractions cyber : une fin en ce qu’ils peuvent être des cibles en tant
que telles, destinées à être neutralisées (exemple de l’attaque en déni de
service), et un moyen en ce que la maîtrise, à distance, d’un ordinateur ou d’un
serveur informatique peut servir des buts criminels.
En tant que « cible » de l’infraction (piratage), le STAD fait l’objet de dispositions
pénales propres et spécifiques. Depuis la loi Godfrain, on retrouve à l’article
L 323-1 et suivants, les grands principes de l’arsenal répressif en matière d’accès
illégal à données numériques et à leur support. Avec le temps, les sanctions
prévues par le code pénal se sont d’ailleurs substantiellement alourdies.
D’une peine initiale de 1 an d’emprisonnement et 50 000 francs d’amende
(7 620 euros) pour l’accession frauduleuse à un STAD, prévue en 1988
(art. 462-2), la loi prévoit aujourd’hui une sanction de 2 ans d’emprisonnement
et 30 000 euros d’amende. La réponse pénale prend également en compte
un certain nombre de circonstances aggravantes classiquement répandues,
de sorte que lorsque l’infraction a été commise en bande organisée et
pour un STAD mis en œuvre par l’état, la peine peut être portée à 10 ans
d’emprisonnement et 150.000 euros d’amende.
Dans un grand nombre de cas, le « cyber » est le vecteur d’un délit – voire
d’un crime – déjà existant. à cet effet, le législateur a fait le choix d’intégrer ce
nouveau mode opératoire en adaptant la réponse pénale. On soulignera un
certain nombre de disposition en matière de lutte contre la pédopornographie :
par exemple, depuis 2007, « le fait pour un majeur de faire des propositions
sexuelles à un mineur de quinze ans ou à une personne se présentant comme
telle en utilisant un moyen de communication électronique est puni de deux ans
d’emprisonnement et de 30 000 euros d’amende ».
Plus récemment, en 2014, le délit de harcèlement a connu une évolution,
avec une circonstance aggravante supplémentaire, en l’espèce lorsqu’il a été
« commis par l’utilisation d’un service de communication au public en ligne »
qui double le quantum de la peine.
En matière de terrorisme, la loi du 13 novembre 2014 a, de la même manière,
alourdi la peine encourue dans le cas de l’apologie du terrorisme, la faisant
passer de 5 à 7 ans d’emprisonnement.
Le procureur de la République de Paris, François Molins, a, lors des entretiens,
en particulier répondu que l’arsenal législatif était globalement adapté en
ce qui concerne la réponse pénale. Néanmoins, les incriminations tendent à
être éparpillées dans différents codes. Ainsi que le soulignait déjà en 2014
le rapport de Marc Robert, cela tend à nuire à la lisibilité et à la clarté
de ces dispositions.
Des réponses administratives complémentaires

Afin de lutter contre certaines infractions liées à Internet, plusieurs structures
administratives ont été créées, dont les champs d’action peuvent s’interpénétrer
avec la sphère pénale. C’est ainsi que la Haute autorité pour la diffusion
des œuvres et la protection des droits sur internet (HADOPI) est habilitée à
constater les infractions à la protection des œuvres via internet sous forme
de téléchargements illicites et à recueillir les observations des personnes
concernées ; la loi prévoit des sanctions pénales pour les titulaires de lignes
même si les téléchargements illicites sont le fait de tiers utilisant leur connexion
avec la possibilité de suspendre temporairement la connexion à Internet.
Dans le domaine des jeux de hasard et des paris, qui a vite trouvé son intérêt
à se développer sur Internet, l’ARJEL (Autorité de régulation des jeux en ligne),
autorité administrative indépendante, a été mise en place : elle est chargée
d’attribuer les agréments, de contrôler l’activité des opérateurs et de participer
à l’organisation de la lutte contre l’offre illégale.
Les dispositions législatives dans la recherche

des cybercriminels : la complexité d’une lutte contre
une délinquance virtuelle et sans frontière
Pour qu’il y ait sanction pénale, il faut que l’auteur de l’infraction soit identifié,
et présenté à la justice. Cette assertion paraît aller de soi, mais elle est
pourtant fondamentale dans une sphère criminelle où l’anonymat et l’invisibilité
sont rois, et où l’auteur se cache souvent à l’étranger, souvent via plusieurs

ordinateurs « rebonds ». Mettre un « visage » sur un cybercriminel requiert de

la technicité et, puisque l’auteur se trouve souvent à l’étranger, une parfaite
coopération avec les pays tiers mais aussi avec les opérateurs du web.
La « Loppsi II » ou loi d’orientation et de programmation pour la performance
de la sécurité intérieure de 2011 a prévu la possibilité, sur commission
rogatoire d’un juge, de capter à distance et en temps réel (grâce à l’installation
d’un logiciel espion), toutes les informations contenues sur les disques durs
d’un ordinateur mais aussi celles apparaissant à l’écran en particulier dans
les affaires liées au terrorisme ou à la « grande criminalité ». Par ailleurs, le
législateur a franchi un cap en 2009 en permettant aux policiers et aux
gendarmes d’enquêter sous pseudonyme : c’est la « cyberinfiltration ». Prévue
initialement dans les affaires de pédopornographie, cette possibilité a été
étendue à l’automne 2014 aux enquêtes terroristes.
La transnationalité des infractions cyber et l’absence de frontière de cet espace
virtuel oblige les états à s’entendre et à coopérer, dans la mesure où ils ne
sont pas auteurs eux-mêmes d’actes cybercriminels à l’endroit d’autres États
(espionnage, intelligence économique) : en Europe, la convention de Budapest
(2001) sur la cybercriminalité a posé les bonnes intentions des membres
qui « s’accordent l’entraide la plus large possible aux fins d’investigations
ou de procédures concernant les infractions pénales liées à des systèmes
et à des données informatiques, ou afin de recueillir les preuves sous forme
électronique d’une infraction pénale. » Sur ce plan, qu’il s’agisse des mandats
d’arrêt européen ou des équipes communes d’enquête initiées au début des
années 2000 entre services de police des états membres, les jalons sont posés.
Pour les pays hors-UE, d’où peuvent provenir les attaques cyber, les résultats
des investigations vont souvent dépendre de l’entente bilatérale entre les états.
Il est en outre à noter que la convention de Budapest a posé le principe du
gel des données. Mais ce dernier se heurte à la lourdeur des procédures, les
demandes entre États passant par des formulaires dont les délais de traduction
peuvent être à eux-seuls rédhibitoires.
En réalité, l’une des difficultés majeures, en matière judiciaire, consiste à
récupérer les données des opérateurs privés et à les geler. En France, la
loi de 2006 relative à la lutte contre le terrorisme impose aux opérateurs
de communications électroniques de conserver certaines données pour une
durée limitée. Ces opérateurs ont en effet obligation d’effacer le contenu des
connexions de leurs clients mais doivent conserver pendant un an les données
permettant d’identifier lesdits clients.
Vis-à-vis des fournisseurs de contenus et opérateurs étrangers, les difficultés
sont bien plus importantes. Dans le cas des grands opérateurs américains par
exemple, le droit français peut se heurter au 1er amendement de la Constitution
américaine sur la liberté d’expression. En février 2015, le ministre de l’Intérieur
Bernard Cazeneuve s’est rendu aux états-Unis, dans la Silicon Valley pour
rencontrer les dirigeants de Google, Facebook, Microsoft, Apple et Skype : de
ces rencontres sont ressorties des déclarations d’intention concernant le retrait
des contenus relevant de l’apologie du terrorisme, à la demande de la France,
mais selon le bon vouloir de ces opérateurs.

Structurellement, une adaptation encore modeste

de la justice
Dans l’immense majorité des cas, le contentieux de masse généré par la
cybercriminalité au sens large (phishing…) est géré par les tribunaux de grande
instance sur l’ensemble de l’Hexagone, trop modestes en effectifs pour que
des magistrats se spécialisent sur cette discipline. Pour des dossiers d’ampleur
néanmoins, les Juridictions interrégionales spécialisées (Jirs), créées en 2004,
peuvent prendre la main. Elles présentent l’avantage d’avoir plus l’habitude de
dossiers transfrontaliers dans lesquels la coopération internationale est requise.
Mais aucun référent n’y est spécifiquement désigné.
Sur les ressorts des cours d’appel de Paris et Versailles, des magistrats référents
ont été identifiés, amorçant un léger mieux. Mais c’est le parquet de Paris –
rompu aux délinquances spécialisées (financier, terrorisme, atteinte à la santé
publique) qui semble avoir montré la voie, dans sa récente réorganisation.
Depuis septembre 2014, la section S2 est en charge de la délinquance
astucieuse et de la cybercriminalité. On y trouve le pôle cybercriminalité
composé d’un chef de pôle, de plusieurs magistrats et d’un assistant spécialisé
(atteintes aux STAD commises à l’encontre des administrations comme des
entreprises ayant leur siège à Paris, infractions de droit commun dont les
escroqueries et fraudes aux cartes bancaires). Les affaires ainsi recensées
aboutissent au stade du jugement devant deux juridictions spécialisées dont les
membres ont reçu une formation dédiée de la part de l’école nationale de la
magistrature (ENM).
Un partenariat public - privé
à consolider
L’état ne peut à lui seul vaincre ce fléau planétaire et complexe. La
cybercriminalité doit pousser tous les acteurs à des actions communes (analyse
de la menace, prévention, formation, retour d’expérience) et faire bénéficier
les services étatiques de son expérience. On peut citer certains établissements
de formation et de recherche ou encore des associations qui ont pour objectif
d’aider les citoyens, particuliers et entreprises, à s’organiser face à la menace.
• Signal Spam (http://www.signal-spam.fr)
Créée en 2003, l’association Signal Spam rassemble des représentants
des pouvoirs publics et des entreprises œuvrant dans la sécurité numérique.
Elle gère une plate-forme de signalement par les internautes des spams qui
permettent aux acteurs concernés de prendre des mesures adaptées. Les
services d’enquête peuvent obtenir sur réquisition des informations utiles lors
de certaines investigations judiciaires.
• CLUSIF (http://www.clusif.asso.fr)
Le Club de la sécurité de l’information français (CLUSIF) est une association
indépendante rassemblant des entreprises, des collectivités territoriales mais

aussi des administrations, qui s’est fixée pour objectif d’agir pour la sécurité
de l’information et de sensibiliser à cette question tous les acteurs concernés ;
elle aide les entreprises à mieux sécuriser leurs réseaux et leurs systèmes
d’information.
• CECYF (www.cecyf.fr)
Le Centre expert contre la cybercriminalité français est une association
permettant aux services chargés de l’application de la loi, aux chercheurs de
toutes origines (académiques, industriels, indépendants) et aux établissements
d’enseignement de se rencontrer et d’échanger pour créer des projets
qui contribuent à la formation, l’éducation et la recherche contre la
cybercriminalité.
• AFSIN (https://www.afsin.org)
Créée en 2006 l’Association francophone des spécialistes de l’investigation
numérique regroupe des enquêteurs spécialisés, des experts judiciaires et des
magistrats de toute la francophonie traitant de l’investigation numérique au
sens large. Pour la France, toutes les administrations sont représentées.
• CESIN (http://cesin.fr)
Le Club des experts de la sécurité de l’information et du numérique (CESIN)
est une association ayant pour objet de favoriser l’échange de connaissances,
le partage d’expériences et la coopération entre professionnels de la sécurité
de l’information et du numérique. Il est composé d’experts occupant des
postes de responsabilité dans la sécurité de l’information et du numérique au
sein d’entreprises privées ou publiques, mais aussi des spécialistes du droit de
la sécurité ; y sont associés les représentants des services de l’état.
• Le CHECy (www.checy.org)
Le Centre des hautes études du cyberespace est une association « loi
de 1901 », créée en partenariat avec l’école européenne d’intelligence
économique. Il délivre une formation de haut niveau sur la culture digitale,
les enjeux de transformation numérique et les méthodes de raisonnement en
cyberintelligence. Elle s’adresse à des cadres et des dirigeants des secteurs
public et privé. Ses objectifs sont l’analyse des enjeux du cyberespace,
dans une approche pluridisciplinaire ; la compréhension des transformations
numériques qui bouleversent la société et tous ses secteurs d’activités ; la
connaissance des acteurs du cyberespace ; la préparation à l’exercice de
responsabilités dans lesquelles la culture digitale est un facteur stratégique à
comprendre et à maîtriser.

Les nouveaux défis

Objets connectés : le Far West du cybercriminel
Aujourd’hui, 1,7 milliard d’ordinateurs et 2 milliards de smartphones sont utilisés

dans le monde. Demain, ils seront peut-être largement supplantés par une
autre catégorie : les objets connectés « intelligents », communiquant via internet
et collectant diverses statistiques, qui selon des estimations de l’équipementier
en télécoms américain Cisco pourraient être 50 milliards d’ici 2020.
Lunettes connectées, GPS, drones, montres, tensiomètres, seringues, appareils
électroménager, les objets connectés se multiplient, et investissent des pans
entiers de la vie quotidienne. L’Institut de l’audiovisuel et des télécommunications
en Europe (IDATE) évalue à 15 milliards le nombre d’objets connectés, au
niveau mondial, en 2012 et estime que ce nombre atteindra 80 milliards en
2020. L’Internet of Things (IOT) représenterait déjà 30 % des flux d’échanges
sur internet.
Brosse à dents, lunettes, montre, T-shirts, une étude PricewaterhouseCoopers
publiée en novembre soulignait qu’un Américain sur cinq possédait déjà un
objet connecté portable et prévoyait d’ici deux ans un taux d’adoption similaire
à celui enregistré par les tablettes.
Une étude Forrester révèle elle que 68 % des décideurs technologiques dans le
monde affirment qu’ils représentent désormais une priorité pour leurs entreprises.
Du côté des consommateurs, 45 % des Américains et 32 % des Européens
déclarent être séduits à l’idée de posséder un wearable (objet connecté à
porter sur soi).
Ces chiffres mettent bien en évidence les enjeux économiques qui s’attachent à
ces nouveaux marchés, mais aussi les enjeux de sécurité qu’ils représentent, en
matière de cybersécurité. Ces enjeux sont d’autant plus importants que plusieurs
facteurs sont à prendre en considération :
- une telle augmentation en volume s’accompagnera nécessairement d’une
normalisation croissante des protocoles d’échanges, qui démultipliera
dans les mêmes proportions les effets des éventuelles failles de sécurité ;
- la multiplication des objets connectés entraînera une intégration croissante
du cyberespace aux environnements naturels ;
- la dépendance numérique sera donc de plus en plus forte, sans
s’accompagner pour autant de la vigilance qui s’imposerait, vis-à-vis
des questions de sécurité (les utilisateurs d’ordinateurs individuels et de
smartphones sont sensibilisés – pas suffisamment ! – aux risques, mais rien
ne dit que la vigilance sera adéquate s’agissant d’appareils ménagers
appréhendés comme « classiques » (point relevé par le Centre européen
sur le cybercrime, dans son rapport « Internet Organised Crime Threat
Assesment » de 2014).
Pourtant, la menace est déjà là : en janvier 2014, un réseau comptant plus
de 100 000 objets connectés piratés et utilisés pour envoyer des spams
(750 000 spams avaient été envoyés par le réseau) a été mis au jour : au nombre

de ces objets figurait un simple réfrigérateur. En juillet 2013, un expert a fait la

démonstration de la possibilité de désactiver, à distance, le système de freinage
d’un véhicule connecté. Au moment où l’industrie automobile annonce à moyen
terme maintenant, l’arrivée sur le marché du véhicule entièrement automatique,
cet exemple illustre bien la conséquence possible des cyberattaques visant les
objets connectés sur le monde réel.
L’anodin téléviseur pourrait bien être détourné de son usage, pour servir de
ressource opportune pour le cambrioleur, certain de trouver l’appartement visé
vide (si le système d’alarme, également connecté, ne l’a pas déjà renseigné).
Les risques potentiels liés à certains dispositifs médicaux (pacemakers) sont plus
évidents encore.
Le développement des objets connectés aura également ses aspects positifs :
outre les perspectives de développement économique qu’ils offrent (les objets
connectés sont l’une des 34 priorités de politique industrielle identifiées dans
le programme de la nouvelle France industrielle), les données qu’ils produiront
constitueront une source d’étude et de connaissance particulièrement riche.
Le livre blanc du conseil national de l’ordre des médecins, publié en janvier
2015, pointe ainsi l’intérêt des données de masse dans le domaine médical
(étude des protocoles médicamenteux, études statistiques diverses sur la
population, suivi épidémiques) – tout en soulignant l’impérieuse nécessité d’une
régulation adaptée, graduée et européenne.
On ne s’étonnera pas de l’intérêt des assureurs pour ces nouvelles possibilités.
Déjà, certains d’entre eux peuvent proposer, moyennant l’installation d’un
boîtier sur le véhicule, un contrat d’assurance adapté, prenant en compte les
habitudes de conduite (pay how you drive). Dans le domaine de l’assurance
santé, un assureur a également proposé à 1 000 volontaires, à l’été 2014, de
s’équiper de bracelets connectés transmettant, pendant une période de quatre
semaines, des paramètres personnels (distance parcourue, qualité du sommeil,
oxygénation du sang).
L’inflation sans précédent du Big Data liée à la multiplication des objets
connectés constituera un risque supplémentaire : plus nombreuses seront les
données agrégées, référencées et croisées, plus difficile sera la protection de
la vie privée, et plus graves les conséquences des vols de données (à la gravité
liée au nombre de personnes concernées, qui dans certaines affaires récentes
– Orange en France, Anthem aux USA – sont considérables, s’ajoutera celle
de la sensibilité de ces données).
Force est de constater que le développement des objets connectés constitue
une triple opportunité : c’est un vaste potentiel de recherche à explorer dans
tous les domaines, c’est une source de développement économique, mais c’est
aussi un vaste territoire qui s’ouvre pour les cybercriminels.
Le Big Data, le pétrole du XXIe siècle ?

Le comité de pilotage des plans de la Nouvelle France industrielle a validé six
nouveaux plans destinés à préparer les produits innovants de demain, dont le
Big Data rebaptisé en France par le Journal officiel «mégadonnées», au même
titre que le TGV du futur, le véhicule autonome ou encore la chimie verte.

Le Big Data, ou l’énorme masse de données informatiques en circulation, pose

de plus en plus la question de la confidentialité, les internautes ayant peu de
moyens de contrôler l’utilisation des informations les concernant. Un tweet
envoyé, une photo postée sur Facebook, un mot-clé tapé sur internet, un produit
consulté sur un site de e-commerce, un article lu sur un quotidien en ligne,
une géolocalisation via son mobile : chaque jour, une personne communique
- souvent à son insu - des dizaines, voire des centaines d’informations sur ses
habitudes et ses goûts.
Baptisée « le pétrole du XXIe siècle », la donnée informatique, collectée grâce
aux cookies, de petits fichiers qui suivent l’internaute à la trace - est une mine
d’or que s’arrachent les marques pour prévoir le comportement des consom-
mateurs et envoyer de la publicité toujours plus ciblée. Le concept de méga-
données recouvre aussi bien cette masse de données que la capacité technique
à les trier pour les utiliser à des fins précises, grâce à de puissants logiciels.
Pour autant, ce big business pour toutes les industries, nécessite des outils
d’analyse et de prévision, car le retour sur investissement est très important en
la matière.
Une nouvelle version de la directive européenne sur la protection des données
personnelles de 1995 est en cours de validation, et pourrait obliger les
entreprises à obtenir le consentement explicite de l’internaute pour l’utilisation
de chaque donnée.
Un marché de la protection des données commence à émerger mais faire
peser tout le poids de la régulation sur l’individu est illusoire, et elle peut créer
une nouvelle fracture numérique car il est difficile de comprendre le langage
des cookies.
Le Big Data, c’est aussi l’espoir de vaincre des maladies. « L’usage du Big
Data, c’est important parce que c’est en combinant toutes les informations sur
le cerveau des gens avant les symptômes qu’on va pouvoir prédire s’ils sont sur
la trajectoire de la maladie », avait expliqué Jean-François Mangin, directeur
du Centre d’acquisition et de traitement d’images pour la maladie d’Alzheimer
(CATI), cité par l’AFP.
Même constat pour la patronne d’IBM, Virginia Rometty, qui estime que ces
données massives peuvent constituer des outils utiles face à de nombreuses
situations complexes auxquelles est confronté le monde, comme l’épidémie
Ebola. « L’analyse des données massives sur les réseaux sociaux à propos
d’Ebola en Sierra-Leone permet de voir là où se situent les principaux besoins
d’éducation afin de prévenir la propagation du virus Ebola », avait expliqué
Mme Rometty, lors d’une session de conférences à Tokyo.
En France, les pompiers utilisent déjà le Big Data pour « sauver des vies ».
Les soldats du feu exploitent des millions de données qui les aident à
gagner du temps. Et les perspectives du tout numérique sont illimitées. Depuis
quelques années, ces derniers, souvent précurseurs, intègrent dans leur système
d’informations les données transmises par leurs partenaires, EDF, GDF, la
SNCF ou les mairies. Ils les croisent avec leurs propres données : chacune
de leurs interventions en génère 4 000 (géolocalisation, bilan médical, etc.).
Avec 1 300 interventions par jour depuis 30 ans, ils disposent de 48 milliards
de données très utiles.
Pour autant, dans son ouvrage « Cybercriminologie », Xavier Raufer pointe le

côté obscur du Big Data. Il met en lumière la surveillance massive et pertinente
des cookies de personnes considérées comme sensibles. Il cite l’exemple de la
société américaine Acxiom, spécialisée dans le Consumer Database Marketing,
pratiquant le ciblage comportemental et le ciblage prédictif. Une entreprise qui
possède, selon M. Raufer, 23 000 serveurs, qui chaque année enregistrent et
analysent 50 000 milliards de données et transactions, commence à égaler la
NSA. Une surveillance d’autant plus inquiétante que l’instance professionnelle
américaine Direct Marketing Association reconnaît discrètement qu’il n’est pas
vraiment possible de se faire définitivement effacer des bases de données de
data-brokers comme Acxiom.
De plus, « cette marchandisation des données est déjà peu rassurante mais leur
criminalisation l’est bien plus », estime Xavier Raufer. La fraude identitaire en est
un exemple. La vente de dossiers individuels reconstitués à des criminels est
une des grandes craintes des spécialistes. Cette inquiétude s’est concrétisée
au premier trimestre 2015 lorsque l’acquisition commanditée de fichiers clients
ou la prise de contrôle de STAD ont constitué la majorité des propositions de
services criminels sur le darknet.
Les données de santé : axe de développement

économique et exercice de la souveraineté
Le vote par l’Assemblée nationale de la loi sur la santé, le 14 avril 2015, a
validé le principe d’open data sur les données de santé en libérant, par son
article 47, les données recueillies agrégées au sein du nouveau « système
national des données de santé » (SNDS).
Il s’agit des données issues des systèmes d’information des établissements de
santé (publics comme privés), et notamment des hôpitaux, des données issues
du système d’information de l’Assurance maladie, des données statistiques
relatives aux causes de décès, des données « médico-sociales » issues
des systèmes d’information des maisons départementales des personnes
handicapées, ainsi qu’un « échantillon représentatif des données de
remboursement par bénéficiaire » transmis par les mutuelles.
La loi rend désormais possible l’utilisation gracieuse de ces données à des fins
de traitement massif dans une logique épidémiologique. En effet, il est prévu que
cet ensemble constitutif d’un Big Data médical soit centralisé dans un entrepôt
de données opéré et contrôlé par l’état. Cette disposition législative constitue
un véritable renversement stratégique car l’homme, en tant qu’individualité, est
désormais l’objet de la collecte des données sur des territoires ou concernant
des organisations déterminées.
Les applications sont nombreuses lorsque des données de géolocalisation
sont superposées aux informations relatives à la présence ou à la résurgence
de pathologies sur un territoire donné. La gestion de crises sanitaires est
donc une perspective de mise en œuvre intéressante lorsqu’il est nécessaire
d’étudier les concentrations épidémiologiques ou de disposer d’une capacité
de connaissance et d’anticipation des mouvements de population et de leurs
pathologies. Cette capacité, nouvelle pour les services de l’état, constitue un
outil puissant pour la gestion d’épisodes viraux.
Lorsque ces données massivement traitées sont superposées aux données

de santé individuellement générées par les appareils connectés, il est
technologiquement possible de disposer simultanément d’une information « de
situation » et d’un état prédictif extrêmement précis. Cette évolution stratégique
doit être au service des états et soutenir la mise en œuvre de politiques de
santé rationnelles et puissantes. Dans une logique de défense nationale,
qu’apporterait l’exploitation des données de santé par un pays adverse.
La volonté d’empêcher le rattachement d’une donnée informatique à une identité
est une vertu française, ardemment soutenue par la Commission nationale
informatique et libertés ainsi que par l’ensemble des autorités administratives
indépendantes. Cette volonté est farouche et si puissante qu’elle ignore d’autres
risques constitués par l’absence de dispositifs sécurisant les données nationales
soit par la faible maîtrise des contrôles des investissements étrangers, soit par
des dispositifs de sécurité informatiques insuffisants.
En France, la donnée de santé est protégée par la loi en raison de son
rattachement à l’exercice de la médecine et la régulation de cette activité.
S’agissant des données qui sont générées par le Big Data médical, cette
protection n’est possible que lorsque celles-ci sont produites par un dispositif
médical par nature (hôpital, appareils d’analyses médicales, imagerie,
appareils de mesure sanguine, etc.). La généralisation des dispositifs médicaux
par destination comme le sont de nombreux objets connectés au premier rang
desquels les smartphones, mérite de considérer la pratique ayant cours dans ce
domaine. La lecture des conditions générales d’utilisation des services produits
par le GAFA (Google, Amazon, Facebook et Apple) démontre l’existence
de données exclusives dont la propriété échappe à l’utilisateur. Ainsi, un
utilisateur d’iPhone a la faculté d’utiliser les données qu’il génère mais n’en
est pas propriétaire. Ces données appartiennent à Apple et sont centralisées
par ce dernier.
L’administration des données de santé par destination échappe donc
intégralement à la régulation voulue par le législateur français. Contrairement
aux données générées par les dispositifs médicaux par nature, les data de
santé issues des objets connectés sont nativement connectées au Big Data.
La faculté de les superposer à des données géolocalisées par l’utilisateur est
immédiate. Le traitement massif également.
Des acteurs étrangers sont donc en mesure de disposer en temps réel
d’une cartographie de notre population et d’évaluer son niveau de résilience.
Il conviendrait donc d’inclure les dispositifs médicaux par destination dans
les mécanismes de régulation existants. Dans une logique d’exercice de sa
souveraineté et de protection de sa population, l’État pourrait contraindre le
stockage sur le territoire national de ces données sensibles. Cela conduirait à
ne plus poursuivre Google ni Apple pour leur politique de collecte des données
mais à les inciter à localiser leurs data centers en France ce qui permettrait de
les contrôler d’avantage.
Il est outre surprenant qu’aucun débat sur l’exploitation des données issues
d’objets connectés n’a pas été initié. Ne pas compromettre notre développement
sans pour autant hypothéquer notre souveraineté et notre sécurité collective :
il s’agit pour l’État d’identifier les valeurs économiques déterminantes que sont
les data center et le traitement des données dans une logique économique.

Vers une disparition des mots de passe ?

Régulièrement annoncée, la mort du mot de passe ne s’est toujours pas produite,
ses alternatives possibles n’ayant pas encore réussi à s’imposer malgré ses
défaillances en termes de sécurité. Pourtant, la disparition ou l’amélioration des
mots de passe est un élément clé pour assurer la cybersécurité. Pour preuve,
les attaques d’ampleur lancées récemment. En un mois, 1,2 milliard de mots de
passe correspondant à 420.000 sites internet sont dérobés. Pour le spécialiste
de la gestion sécurisée de l’identité, Ping Identity, ces attaques ont entraîné en
2014 une perte de trois millions d’euros par entreprise.
Avec la tendance du Bring your own device (BYOD) qui voit de plus en
plus d’employés amener leur appareil mobile dans leur environnement
professionnel, trouver de nouvelles solutions de connexion sécurisée, sans
affecter la productivité, devient un enjeu encore plus crucial pour les entreprises.
Une étude Sailpoint dévoilée en janvier 2015 révélait le manque de
conscience professionnelle des salariés vis-à-vis des données sensibles de leur
employeur. Elle montrait aussi que, parmi eux, un sur sept se disait prêt, s’il en
avait l’opportunité, à vendre pour 130 euros en moyenne ses mots de passe
professionnels.
De plus, de nombreux salariés ont dû mal à retenir les mots de passe ou
à les changer régulièrement. Un iPhone ou un Samsung Galaxy regroupe
chaque jour davantage d’applications accessibles par un mot de passe, de
la consultation du compte en banque jusqu’à la domotique connectée bientôt
installée massivement dans les foyers.
Pour améliorer le système, plusieurs remplaçants sont sur les rangs, en premier
lieu l’empreinte digitale, utilisée par Apple et Samsung. Mais ce système ne
semble pas être la solution. Un chercheur en sécurité spécialisé en biométrie a
indiqué avoir pu reconstituer l’empreinte digitale de la ministre de la Défense
allemande à partir de simples photos de son pouce et il a depuis été imité par
de nombreux hackers. Une autre possibilité biométrique qui n’a a priori pas
encore été hackée consiste à scanner l’iris de l’utilisateur. Le groupe japonais
Fujitsu a affirmé avoir conçu un prototype utilisant ce système. Intel Security
a lui développé une solution de reconnaissance faciale appelée True Key.
Les algorithmes mesurent l’écartement entre les yeux, la profondeur du nez,
la largeur du front pour éviter qu’une photo basique ne fasse le travail. Mais
d’autres groupes travaillent à une solution plus sécurisée, la voix par exemple
pourrait être un élément fort d’identification individuelle.
Mais quelle que soit la solution qui sera retenue, les obstacles technologiques
ne manquent pas en particulier l’accessibilité de ces nouveaux modes
d’identification dans les pays émergents. Ainsi les experts en sécurité prévoient
une transition qui devrait dans un premier temps s’organiser au cas par cas
grâce à un mélange de technologies dont le mot de passe, qui conserverait
jusqu’au bout une certaine utilité.

LES RECOMMANDATIONS
État et opérateurs
d’importance vitale
Au moment où ce rapport est rédigé, l’État et les opérateurs d’importance
vitale sont en train de définir les règles propres à la sécurisation des SIIV
(Systèmes d’information d’importance vitale). Les critères de définition de ces
systèmes vitaux varient d’un secteur à l’autre mais correspondent d’une façon
générale à des systèmes d’information pour lesquels l’atteinte à la sécurité
ou au fonctionnement pourrait avoir une conséquence néfaste pour la nation
et les citoyens.
L’État
Quelle politique publique de cyberdéfense ?
Les récentes atteintes démontrent un besoin permanent de disposer de façon
centralisée d’une capacité d’analyse technique jouissant d’une autorité
suffisante pour assurer la coordination et le pilotage des moyens de lutte
informatique défensive (LID). Ce modèle d’organisation s’appuie sur le socle
organique constitué par l’ANSSI. Dans un contexte budgétaire particulièrement
contraint, une telle centralisation évite une dispersion des ressources financières
et humaines. L’ANSSI centralise une capacité d’engagement de l’expertise au
profit de toutes les administrations et OIV.
La détection et les alertes sont primordiales pour la défense des intérêts
de l’état et des OIV. Dans ce contexte, il est devenu nécessaire d’améliorer
la construction, la mutualisation et la coordination des dispositifs d’alertes.
Il conviendrait a minima de diriger les flux de données et les alertes vers
un centre unique en charge d’établir une appréciation globale de situation.
Les attaques devenant de plus en plus coordonnées et construites comme une
véritable opération avec des effets politiques, économiques et techniques,
la coordination est un impératif.
Partant de ce constat, les évolutions organiques et fonctionnelles suivantes sont

souhaitables :
• étendre le CERT-FR aux OIV et en cela accroître la portée de l’article
22 de la LPM ;
• initier des partenariats publics/privés dans le domaine des infrastructures
de détection et de lutte informatique défensive ;
…

…
• permettre à l’administration de facturer ses prestations dans les domaines
de la prévention ou lorsqu’un acteur public comme privé est en défaut
de son obligation de moyens ;
• normaliser et généraliser les dispositifs de détection : créer une offre
industrielle et de services souple de dispositifs déployables ; il s’agirait
de positionner l’ANSSI comme autorité de régulation et de contrôle ;
• rationaliser et mieux coordonner les initiatives prises par les ministères
pour leur stratégie de sécurité numérique ;
• faire cesser la prolifération législative et accroître la mise en œuvre des
dispositions existantes ;
• imposer une régulation aux éditeurs de contenus qui sont opérateurs
de fait : soumettre le GAFA aux obligations d’interceptions légales qui
s’imposent aux opérateurs télécom ;
• libérer les initiatives et la créativité dans le domaine de la recherche
de vulnérabilités ; en effet, la loi relative à la confiance numérique interdit
ce type d’activité sans motif légitime ; organiser et réglementer cette
activité sur le territoire national ainsi que la participation de l’état ;
• inclure la cyberdéfense et la cybersécurité dans les motifs de contrôle
de prise de participation ;
• créer un ou des corps techniques et administratifs au sein de la fonction
publique d’état dédié à la cybersécurité ;
• inclure la cyberdéfense dans le socle pédagogique des grandes écoles
françaises et dans les cycles de formation interne des cadres de la
fonction publique d’état ;
• supprimer ou alléger la TVA sur les produits français de sécurité
informatiques achetés par les PME ;
• créer un observatoire et un outil statistique pour mesurer les cybercrimes
et délits ;
• créer un organisme de contrôle avec des pouvoirs disciplinaires
de la bonne application et du maintien des règles imposées ou
recommandées par l’ANSSI .
• rendre l’ANSSI, qui est une autorité administrative et un régulateur du
domaine de la sécurité des systèmes d’information, plus transparente ;
mieux brasser les profils et compétences y travaillant, renforcer la
séniorité des personnes afin d’améliorer la relation avec le reste de
l’administration et les OIV.
Les Opérateurs d’importance vitale (OIV)

Les OIV correspondent aux entreprises pour lesquelles une atteinte nuirait
gravement aux intérêts fondamentaux de la Nation. Elles sont tout particu-
lièrement concernées par l’article 22 de la loi de programmation militaire
du 18 décembre 2013.

Néanmoins, la mise en œuvre naissante de la doctrine de cyberdéfense

appliquée aux OIV démontre qu’une vision trop étroite des architectures et des
activités industrielles et commerciales est susceptible d’affaiblir le modèle défini
en 2013. Des déséquilibres concurrentiels sont susceptibles d’être engendrés
par une régulation trop forte et mal dirigée. Une approche par obligations de
moyens, souvent méthodologiques et organisationnels, permettrait de gagner
en agilité et en maturité donc en puissance nationale.
En outre, l’approche sectorielle et la distinction des OIV du reste du tissu
industriel et commercial ne doit pas masquer des risques majeurs qui concernent
des acteurs tiers même étatiques dont la sensibilité existe non par nature
mais par destination : salles de marchés, médias audiovisuels mais aussi les
grands médias de presse écrite à l’instar de l’Agence France Presse, à l’énorme
portée internationale.
Partant de ce constat, le GDS recommande les évolutions suivantes :

• inclure le domaine dans la doctrine de défense opérationnelle du
territoire et par voie de conséquence considérer comme d’importance
vitale les acteurs clés de la société d’information et plus particulièrement
les acteurs économiques dont l’activité s’appuie majoritairement sur une
architecture télécom majeure ;
• inclure la cyberdéfense dans le périmètre de compétence des préfets
de régions ;
• adopter une convention protégée (SD) entre les ministères de la Justice,
de la Défense, de l’Intérieur et de l’2conomie pour que toute atteinte à
un STAD de l’2tat ou d’un OIV fasse dans un premier temps l’objet d’une
procédure administrative puis, dans un second temps, et si nécessaire,
soit l’objet d’une action judiciaire ;
• évaluer quantitativement les mesures imposées aux OIV pour mieux
atteindre les objectifs fixés par la loi ;
• par voie réglementaire, définir les types de données qui doivent faire
l’objet d’une protection et d’une localisation sur le territoire national :
données de santé, données bancaires ;
• sanctionner par voie disciplinaire, plus durement les fautes de
comportement dans le domaine informatique ;
• simplifier la procédure judiciaire pour qu’elle soit plus rapide ;
• former à l’ENM, à l’ENSP, à l’EOGN, et à l’ENA les futurs décideurs
aux risques cyber ;
• simplifier les demandes d’entraide internationale (rédigée dans la langue).

La prévention
De très nombreuses attaques auraient été parfaitement inopérantes et sans
objet si les systèmes d’information avaient bénéficié de simples mesures de
prévention. Aujourd’hui, l’effort porte, de façon significative, sur les moyens
de détection et de surveillance afin de ne pas découvrir les attaques une fois
avérées. Cependant, il est nécessaire de rééquilibrer les moyens financiers,
les compétences, les opérations de sensibilisation et de communication sur les
actions de prévention. Cela signifie concrètement de penser les architectures,
les développements logiciels, avec une préoccupation de sécurité ; de se doter
de moyens de maintenir à jour les systèmes d’information en déployant des
correctifs et ainsi d’éviter bon nombre d’attaques.
à l’image de l’action publique dans d’autres domaines sécuritaires, la détection
permet de contenir et réduire le risque avant qu’il ne se manifeste. Il s’agit d’une
séquence en amont dont l’objectif est de comprendre puis d’adapter la posture
générale. Elle est donc nécessairement distincte de la phase judiciaire mais doit
l’irriguer. La détection n’empêche donc pas l’attaque ni l’atteinte contrairement
à la prévention. Un rééquilibrage des dispositifs est donc nécessaire et relève
du domaine administratif pour l’état, de l’investissement pour les acteurs privés.

• Coopération : le monde de la sécurité informatique doit s’inspirer de la
sécurité aérienne, où tout incident affectant un avion doit immédiatement
être diffusé au régulateur et aux acteurs étatiques et industriels. En cas
d’attaque d’un OIV, il devrait y avoir ce type d’information automatique
afin d’améliorer le niveau global de prévention et de protection.
• Formation : dans un système d’information les utilisateurs (comprenant
les administrateurs) doivent être sensibilisés et formés au même titre
que d’autres sujets de sécurité comme le risque incendie par exemple.
Il ne doit plus s’agir d’une option mais d’une obligation. Cette formation
passe aussi par des exercices.
• Maintien en condition de sécurité : en 2014, plus de 15.000 vulnérabilités
ont été publiées (Source : Secunia). Comment s’assurer contre l’impact
de ces vulnérabilités si elles étaient exploitées par un attaquant ?
C’est l’objet du maintien en condition de sécurité. Une politique et les
moyens associés pour assurer le maintien en condition de sécurité doit
devenir une obligation réglementaire et vérifiée.
• Homologation de sécurité : les SI sont très critiques pour le bon
fonctionnement de l’état et des OIV mais encore trop souvent en dépit
des attaques, les systèmes sont conçus sans sécurité ou avec une
sécurité minimale ou inopérante. Il est devenu nécessaire d’imposer une
décision d’homologation de sécurité de tous les systèmes avant leur mise
en opération. Cette décision marque l’engagement du management et
permet de préciser le niveau de risque acceptable.
• Dissuasion : si un état identifie qu’il est attaqué par un autre état, il s’agirait
de ne pas entraver une contre-attaque par une enquête judiciaire mais
plutôt anticiper et réfléchir au moyen pertinent à mettre en œuvre.

L’anticipation et la gestion de la crise lorsqu’elle survient
Le GDS recommande la création d’un «laboratoire cyber» qui aiderait tous

les services opérationnels (judiciaires et administratifs).
La prévention technique des atteintes

Il s’agit majoritairement de permettre le décèlement le plus précoce possible
des vulnérabilités. Cette faiblesse structurelle de la société numérique
européenne semble être due au refus des institutions européennes de
faire peser sur les acteurs publics comme privés une obligation de moyens.
Cette proposition soumise dès 2013 par plusieurs acteurs de la cyberdéfense
visait à contraindre chaque entité dont le cœur d’activité suppose une
connexion aux réseaux de télécommunication, à faire l’inventaire régulier de
ses vulnérabilités. Pour la France, l’identification et la contrainte des organismes
d’importance vitale a été privilégiée.
La connaissance des acteurs cybercriminels

La mission des offices centraux de la police judiciaire et de certains services
de renseignement inclut désormais l’identification des individus et groupes les
plus menaçants pour les intérêts de la Nation.
L’évaluation de la menace cyber suppose donc la définition et l’adoption
d’une politique publique dédiée à la cybersécurité intérieure comme extérieure.
La prévention et l’entrave des menaces cyber sont-elles donc fongibles dans
nos politiques de renseignement ?
L’abondante doctrine dans le domaine cyber, la foisonnante production
législative et réglementaire récente ne paraît pas avoir pris en compte le fait
que les atteintes d’ordre cyber sont constitutives d’une entreprise en bande
organisée située hors du territoire national. L’application territoriale de la
loi et des politiques publiques n’est alors plus pertinente. Quelles sont donc
les réponses que l’état peut apporter sans pour autant compromettre les
fragiles équilibres budgétaires et organisationnels de la communauté française
du renseignement ?
Il apparaît tout d’abord évident que le domaine cyber ne constitue toujours
pas un motif légal permettant de mettre en œuvre les techniques de
renseignement telles qu’elles sont présentées dans l’esprit du projet de loi
dédié au renseignement. Alors que la connaissance des acteurs, des modes
opératoires, des intentions criminelles est le premier facteur d’anticipation,
il n’est toujours pas possible pour les services spécialisés de renseignement
de procéder à la construction d’une interception de sécurité au motif de prévenir
une atteinte cyber ; or les moyens de communication tels qu’ils sont entendus par
le projet de loi renseignement pour encadrer l’action des services sont inclusifs
de toutes les capacités mises en œuvre par un hacker : suivi IP, identification
de services de télécommunication, interception et déchiffrement. Les exigences
légitimes des autorités administratives en charge du contrôle ne permettent pas
d’anticiper un motif. à juste titre, il serait ainsi reproché au service demandeur
de manquer de sincérité en présentant une demande motivée par la prévention

du terrorisme alors que la mise en œuvre de la dite technique de renseignement

vise un hacker dont l’implication solitaire ou commanditée par une organisation
terroriste ne peut être encore démontrée.

• Le CERT-FR est rattaché à l’ANSSI. Il faut avoir des correspondants
CERT dans chaque ministère. Il y a un besoin de restructuration. Tout
centraliser à l’ANSSI n’est pas une solution, il faut des échelons
intermédiaires.
• Les Opérateurs d’importance vitale demandent de disposer d’un système
de prévention et d’alerte qui leur est dédié et que les obligations qui
leur sont imposées par la loi dans la prévention et la détection soient
complétées par des mesures d’alerte et de conseil de la part de l’État.
• Pour plus d’efficacité, il s’agirait de différencier les petits des gros OIV
pour les produits de sécurité. Le coût, que doivent supporter les OIV
pour s’aligner sur la loi peut s’avérer trop important pour bon nombre
d’entre eux. Ainsi, il devrait y avoir une marge de négociations possible
pour arriver à une sorte de compromis pragmatique.
• Le rôle des Responsables de la sécurité des systèmes d’information
(RSSI), tant dans le secteur public que le secteur privé, doit être valorisé.
Les entreprises (hors OIV)

à titre liminaire, il semble nécessaire d’exposer, voire de rappeler, que le
temps du « bricolage » de solutions individuelles, éparpillées et élaborées
en petits groupes de travail par les responsables des services de sécurité,
des départements informatiques, de la communication, pour le seul pré carré
de leur entreprise, plus ou moins validées et portées par leur comité exécutif, est
aujourd’hui complètement dépassé, voire dangereusement obsolète.
En interrogeant le MEDEF sur le fait de savoir qui rencontrer dans cette
organisation pour discuter de ces questions, on apprend d’ailleurs qu’il
n’existe pas de structure, de groupe de réflexion dédié, ni même de « monsieur
Cybersécurité » en son sein.
Or, seules des politiques de maîtrise et de sécurité de l’information globales,
basées sur des analyses de risques approfondies, solidement menées et
s’appuyant sur des critères robustes, sont à même de lutter efficacement contre
le risque cyber.
Ces politiques, pour être efficaces, doivent avant toute chose être réalistes
donc adaptées aux contraintes résultant des différents éléments du constat
dressé plus avant.

Le GDS recommande les évolutions suivantes :

• Il faudrait mettre en place, au niveau des entreprises et dans les
différentes structures représentatives des opérateurs économiques, des
comités spécifiques chargés de réfléchir sur ces questions, d’inciter à leur
prise en compte au bon niveau décisionnel et de formuler des propositions
d’organisation adéquates.
• Il serait pertinent de repenser l’organisation SSI dans les grandes entreprises,
notamment par l’extension des prérogatives et missions du correspondant
informatique et libertés (CIL). Et pour les TPE/PME, on pourrait imaginer la
création dans les Chambres de commerce et d’industrie, d’un correspondant
RSSI mutualisé.
Il est assez illusoire de vouloir faire fonctionner durablement et de manière

efficiente une politique basée sur la prise en compte individuelle des impératifs
de sécurité dans les différents métiers d’une entreprise, même en s’appuyant
sur un réseau constitué et animé de correspondants au sein des métiers,
chargés de veiller en interne au respect des règles de classification et de
gestion de l’information.
L’investissement en temps, en ressources humaines et en énergie est hors de
proportion avec la qualité et la durabilité des résultats obtenus.
C’est pourquoi il est aujourd’hui nettement préférable de privilégier des
politiques de maîtrise et de sécurité de l’information qui responsabilisent les
émetteurs (évaluer le niveau de confidentialité des informations qu’ils produisent,
la « durée de vie » de cette confidentialité – élément essentiel d’une bonne
protection trop souvent négligé ou mal-appréhendé – et à qui ces informations
sont destinées ou transmissibles).
Pour la gestion de l’information (stockage, gestion des accès, règles
d’édition, etc.), il est indispensable d’en centraliser la responsabilité et le
contrôle auprès d’une seule entité, prioritairement les services en charge de
la sécurité au sein de l’entreprise.
Il faudrait adopter des politiques qui ne diluent pas mais, au contraire,
définissent clairement et limitent les responsabilités entre les producteurs des
informations et ceux dont c’est la charge de veiller à leur protection, en
concentrant sur eux l’essentiel du dispositif.
Quels que soient la pertinence des mesures prises par l’entreprise, la
performance des outils utilisés et la qualité des processus qu’elle déploie,
la robustesse globale du système, comme pour toute chaîne, se mesure à celle
de son maillon le plus faible.
Le facteur humain est ici prépondérant.
Le GDS déplore à ce titre une regrettable méconnaissance générale et une
mauvaise appréhension de la problématique, trop gravement sous-estimée, qui
traversent l’intégralité de l’organigramme de la plupart des entreprises.

Partant de ce constat le GDS recommande les actions suivantes :

• les acteurs publics et privés qui portent et diffusent la formation des futurs
cadres, ingénieurs et responsables de haut niveau, doivent s’emparer
de la question et mettre en place dans les différents cursus, au sein des
programmes, des modules spécifiques sur la thématique de la sécurité
incluant, bien évidemment, la connaissance particulière de la cybersécurité
et des enjeux stratégiques liés à la protection de l’information et des
systèmes d’information.
• Il s’agit également de construire un plan de reconquête associant la
recherche et l’industrie dans le domaine des technologies de la commu-
nication et de l’information.
• Toute la chaîne pénale qui doit ici être repensée. Le dépôt de plainte devrait
pouvoir être dématérialisé et les actes d’enquêtes facilités notamment grâce
à la mise en place d’un interlocuteur dédié au sein même des STD (Service
de traitement direct) du parquet.
• Un bureau des victimes dédié, et éventuellement dématérialisé, pourrait être
mis en place avec une assistance 24h/24. Les TPE/PME qui s’y dirigeraient,
trouveraient conseils d’urgence juridiques et techniques.
• Il faudrait faciliter les dépôts de plainte, la célérité de l’enquête et les mesures
d’urgence à prendre en cas d’atteinte cyber des TPE/PME.
• L’actuelle procédure de référé pourrait utilement être étendue à la matière
cyber (fermeture d’un site, encart à insérer sur un site tiers, suppression de
liens hypertextes sur des sites tiers).
• Il faudrait également raccourcir des délais d’usage de comparution, mettre
au rôle des assignations directement par l’huissier de Justice et par voie
dématérialisée dédiée, compétence exclusive des tribunaux de grande
instance et non des tribunaux de commerce en la matière.
Le grand public
Il est déterminant de mettre en place un outil de mesure des cyberdélits et
cybercrimes : en effet, en l’absence de cet indicateur, le pilotage de toute
politique publique dans ce domaine s’en trouvera nécessairement fortement
pénalisé.
Comme pour les risques de toute nature, l’augmentation de la résilience des

citoyens passe par leur bonne information, sur les risques, les enjeux et les
solutions à mettre en œuvre pour se protéger. Cette information doit s’adresser
de façon adaptée aux différents publics (public scolaire dans le cadre du
parcours éducatif, public professionnel dans le cadre de l’entreprise, public
institutionnel, adultes dans le cadre privé, personnes âgées). à l’instar de
la communication dans le domaine de la sécurité routière, l’action doit être
soutenue, s’inscrire dans le temps, et utiliser des supports variés et innovants.
Les fournisseurs de matériels et logiciels doivent prendre toute leur part.

Les élèves doivent faire l’objet d’une attention toute particulière, en raison de
leur vulnérabilité, mais aussi de la possibilité d’atteindre, par leur intermédiaire,
le public parental. Un des objectifs est d’éviter de laisser l’enfant seul, livré
à lui-même, devant l’écran. Sur le modèle du permis piéton, il conviendrait
d’enrichir les démarches de formation dont bénéficient déjà les écoliers,
collégiens et lycéens (B2I : brevet informatique et internet). L’objectif serait de
dispenser à chaque futur citoyen la formation lui permettant, à terme, de faire
une utilisation appropriée des technologies d’information et de communication,
en toute sécurité. La formation existante est donc à renforcer sur la dimension
« cybercriminalité ». Cela suppose bien évidemment une formation préalable du
corps enseignant (un groupe de travail sénatorial étudie actuellement ce sujet).
Tous les produits présentant des dangers (électroménager, alcool, tabac,etc.)
font l’objet d’informations de la part du fabricant et du vendeur, spontanément
ou par obligation légale. Force est de constater la faiblesse, dans ce domaine,
des informations fournies par les fabricants de matériels et de logiciels.
Plusieurs voies sont envisageables à court et moyen terme : mise en place d’une
normalisation adaptée, promotion d’un concept de « vente éthique », voire
obligation réglementaire, d’inspiration nationale ou européenne.
Les assurances, concernées par l’indemnisation des risques, doivent être
mobilisées, pour la réalisation des actions d’information et de sensibilisation.
Par exemple, l’assureur AXA intervient déjà, en partenariat avec la
Gendarmerie nationale, pour des programmes pédagogiques en milieu
scolaire (avec bien sûr en perspective le marché de la garantie du risque face
aux risque internet : e-réputation, vol en ligne, etc.).
Le GDS préconise de mettre en place des mesures qui développent des

stratégies de sensibilisation, d’éducation, de prévention et de protection
des acteurs afin d’en faire des citoyens du net.
• Une politique de communication de l’état, notamment sous la forme de spots,
pourrait être développée.
• Le GDS propose de permettre de déposer une plainte en ligne pour les
cyberdélits et cybercrimes (tant pour l’atteinte aux biens que pour l’atteinte
aux personnes). Cet objectif suppose la mise en place d’un cadre juridique
adéquat, et un processus d’authentification forte (sur le modèle de la
déclaration de revenus en ligne ou par mise en place d’un titre d’identité
intégrant une puce, sur le modèle allemand).
• Il conviendrait également de doper le tissu associatif chargé du soutien
aux victimes, qui doivent faire l’objet d’un accompagnement spécifique, au
regard des particularités des infractions commises, qui passent par :
– la diversification des soutiens technique, juridique et psychologique, pour
faire face au traumatisme spécifique induit par certaines infractions intrusives ;
– l’allocation des dotations volontaristes, de nature à prendre en charge
au long cours le suivi des victimes. La piste de la défiscalisation des dons
à ces associations pourrait être envisagée à ce titre.
…

…
– Les expérimentations de justice restaurative (ce qui suppose l’interpel-
lation d’auteurs d’infractions) peuvent en l’espèce paraître adaptées
à ce type de procédures et de victimes favorisant la mise en présence
des victimes et d’auteurs d’infractions en vue de leur résilience et de la
restauration de la cohésion sociale.
• Le droit à l’oubli numérique doit être mis en place de façon concrète et
systématique, afin de permettre l’effacement des conséquences d’une
cyberattaque visant des personnes physiques ou morales. Une obligation
d’effacement des données portant préjudice, sur plainte de la personne
concernée, est à instaurer. À cet effet, pour que les fournisseurs d’accès ne
soient juges et parties, une instance indépendante, appréciant les demandes
et disposant de pouvoirs coercitifs, pourrait être constituée. Le droit à l’oubli
pourrait également porter sur les données personnelles publiées à l’initiative
des personnes physiques et morales, en dehors de toute cyberattaque
(en complément des actions de prévention).
• Il conviendrait d’unifier dans un même texte l’ensemble des dispositions
pénales de lutte contre la cybercriminalité afin d’accroître la lisibilité, la
simplicité et surtout la cohérence du dispositif. à cet effet, la création d’une
partie spécifique au sein du code pénal, ainsi que du code de procédure
pénale, pourrait être accompagnée par la diffusion d’une circulaire de
politique globale, déclinant les objectifs prioritaires à mettre en œuvre.
Renforcer la répression de l’usurpation d’identité

commise en ligne
L’article 226-4-1 du Code pénal complété par la loi du 14 mars 2011
dispose que « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou
plusieurs données de toute nature permettant de l’identifier en vue de troubler
sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa
considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende ».
Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un
réseau de communication au public en ligne.
Il va de soi que depuis le développement des réseaux sociaux, de nouvelles
formes d’usurpation d’identité ont vu le jour, en particulier s’attachant à créer ou
exploiter à des fins criminelles de faux profils sur ces réseaux. Cette incrimination
apparaît suffisante selon les experts car elle vise aussi les entreprises et
personnes morales, mais les peines apparaissent faibles au regard de l’impact
fort et amplifié des préjudices à la fois financiers et moraux, s’agissant de
l’atteinte à la réputation.
Le GDS propose de prévoir une aggravation de peine, à l’instar d’une

proposition de loi portée par le député Lazaro, lorsque l’usurpation intervient
sur un réseau de communication électronique.

Réponse à l’usurpation d’identité : la carte d’identité

biométrique (sur le modèle allemand)
Une nouvelle génération de carte d’identité a vu le jour en Allemagne,
dans l’intention de renforcer la prévention du vol d’identité et la protection des
mineurs. La carte biométrique, généralisée à compter de novembre 2010,
comporte les données biométriques du porteur de la carte stockées sur une
puce spécifique et en particulier les empreintes digitales (que les citoyens
allemands ne sont pas obligés de donner) ainsi que d’autres informations
strictement personnelles et s’accompagne d’un code PIN :
– il est ainsi possible d’effectuer des démarches en ligne sur les sites du
Gouvernement en utilisant la fonctionnalité de la signature électronique ;
– elle peut servir d’identifiant pour une utilisation commerciale (commerce
en ligne, relation bancaire ou règlement de services comme les
parkings) en tapant un code confidentiel via un lecteur sécurisé et en
transmettant l’information cryptée directement ou via l’ordinateur vers
son destinataire.
élargir le champ des actions de groupe aux victimes

d’infractions cyber
Les actions de groupe, introduites en France par la loi Hamon (loi du 18
mars 2014), suivant un régime restrictif par rapport au droit anglo-saxon,
sont actuellement cantonnées aux actions formées à l’encontre d’entreprises
ou sociétés dans le cadre de litiges à la consommation. Toutefois, il est
prévu d’étendre ce dispositif aux victimes d’injures et discriminations racistes
et antisémites.
Le GDS estime que cette action de groupe apparaît indiquée afin de faire valoir
les intérêts des victimes d’infractions en matière de cybercriminalité, du type des
escroqueries commises via internet, qui occasionnent des victimes en chaîne,
nombreuses et souvent démunies devant le caractère global de l’atteinte aux biens.
La procédure prévue qui accorde une place de choix aux associations
reconnues d’utilité publique dans le domaine de la consommation, pourrait
être étendue aux victimes de la cybercriminalité dont les intérêts pourraient
être portés par des associations de défense bien structurées, et représentées
à l’instance par des avocats.
Il serait alors possible pour les avocats d’exercer dans un premier temps
l’action au nom desdites associations, afin d’obtenir devant le tribunal de
grande instance du domicile du défendeur, ou à défaut, devant le TGI de Paris,
un jugement d’ouverture, qui statue sur la responsabilité, la définition du groupe
et ses modalités d’indemnisation.
Ensuite, ce jugement pourrait faire l’objet d’une publicité, destinée à informer
les victimes et leur permettre de prendre part à l’action.
Ce n’est que dans un troisième temps que la répartition financière pourrait avoir
lieu entre tous ceux qui apparaissent éligibles, sous le contrôle des avocats
et des associations qui ont porté l’action : l’avocat, mandaté par l’association
aurait la possibilité de procéder, a posteriori et avec l’aval du juge, à la
réception des demandes des membres de ladite action de groupe.
Conclusion
L’évolution pandémique de la cybercriminalité place souvent les

autorités en charge de la lutte ou du contrôle de ses effets dans
des retards préjudiciables pour les victimes. Ainsi, le préfet « cyber »,
M. Latournerie, a souligné à quel point le développement de la
cybercriminalité pouvait mettre les pouvoirs publics en difficulté
d’adaptation face à une menace extrêmement diverse et en
accroissement exponentiel et qu’il attacherait donc une attention
toute particulière à nos recommandations.
Les recommandations ont pour but de renforcer la défense
des victimes individuelles confrontées aux attaques de la
cybercriminalité. Elles développent des stratégies de sensibilisation,
d’éducation, de prévention ou de protection de la Nation, afin
d’intégrer l’environnement numérique comme un nouveau pilier de
notre sécurité.
Il s’agit pour la France, ses entreprises et ses citoyens de ne pas
être le maillon faible, face à des cybercriminels qui n’auront de
cesse de se multiplier et de rendre leurs attaques de plus en plus
sophistiquées. Si l’état et ses partenaires parviennent à renforcer
leur sécurité, grâce à une stratégie globale de lutte répressive et de
prévention, les cybercriminels se détourneront des cibles françaises
pour s’attaquer à d’autres plus vulnérables. La sécurisation de
l’environnement numérique est une des conditions nécessaires du
développement de notre économie et plus largement du maintien
de la France en tant que grande puissance du monde numérique.

Glossaire
AFP Agence France-Presse

AFSIN Association francophone des spécialistes de l’investigation numérique
ANSSI Agence nationale de sécurité des systèmes d’information
APT Advanced persistent threats
ARJEL Autorité de régulation des jeux en ligne
BEFTI Brigade d’enquête sur les fraudes aux technologies de l’information
CALID Centre d’analyse de lutte informatique défensive
CDSE Club des directeurs de sécurité des entreprises
CECYF Centre expert contre la cybercriminalité Français
CERT-FR Computer emergency response team/France
CESIN Club des experts de la sécurité de l’information numérique
CHECy Centre des hautes études du cyberespace
CIA Central Intelligence Agency
CIL Correspondant informatique et libertés
CLUSIF Club de la sécurité de l’information français
CNAIP Centre national d’analyse des images de pédopornographie
CNIL Commission nationale de l’informatique et des libertés
CRPI Cellule de recueil de la preuve informatique
DCPJ Direction centrale de la police judiciaire
DGCCRF Direction générale de la concurrence, de la consommation et de
la répression des fraudes
DGSI Direction générale de la sécurité intérieure
DNERD Direction nationale du renseignement douanier et des enquêtes
douanières
ENA école nationale de l’administration
ENM école nationale de la magistrature
ENSP école nationale supérieure de la police
EOGN école des officiers de la gendarmerie nationale
FBI Federal Bureau of Investigation
FSSI Fonctionnaire de sécurité des systèmes d’information
GAFA Google Amazon Facebook Apple
GDS Groupe de diagnostic stratégique
GSMA Global Strategic Merchandising Association
GUTI Guichet unique téléphonie et Internet

HADOPI Haute autorité pour la diffusion des œuvres et la protection des droits
sur internet
HFDS Haut fonctionnaire de défense et de sécurité
ICC Investigateurs en cybercriminalité
IDATE Institut de l’audiovisuel et des télécommunications en Europe
INAVEM Institut national d’aide aux victimes et de médiation
JIRS Juridictions interrégionales spécialisées
LBDSN Livre blanc du gouvernement pour la sécurité et la défense nationale
LID Lutte informatique défensive
LOPPSI Loi d’orientation et de programmation pour la performance de la sécurité
intérieure
LPM Loi de programmation militaire
NSA National Security Agency
OCDE Organisation de coopération et de développement économiques
OCLCTIC Office central de lutte contre la criminalité liée aux technologies de
l’information et de la communication
OIV Opérateur d’importance vitale
ONDRP Observatoire national de la délinquance et des réponses pénales
ONUDC Office des Nations unies contre la drogue et le crime
PHAROS Plateforme d’harmonisation, d’analyse, de recoupement et d’orientation
des signalements
PICyAN Plateau d’investigation cybercriminalité et analyses numériques
PJGN Pôle judiciaire de la Gendarmerie nationale
PME Petites et moyennes entreprises
PP Préfecture de police de Paris
PSSI-E Politique de sécurité des systèmes d’information de l’État
RSSI Responsable de la sécurité des systèmes d’information
SDLC Sous-direction de lutte contre la cybercriminalité
SGDSN Secrétariat général de la défense et de la sécurité nationale
SI Système d’information
SIIV Système Informatique d’importance vitale
SNDS Système national des données de santé
SNE Service national des enquêtes
SSI Sécurité des systèmes d’information
STAD Système de traitement automatisé de données
STD Service de traitement direct
TPE Très petites entreprises
UE Union européenne
UNODC United Nations Office on Drugs and Crime

personnalités interviewées
David BENICHOU Vice-président du tribunal de grande instance de Paris en

charge de l’instruction au pôle anti-terroriste
Eric FREYSSINET Colonel, chef de la division de lutte contre la cybercriminalité
au service technique de recherches judiciaires et de
documentation de la gendarmerie nationale
Olivier ITEANU Avocat à la Cour d’appel de Paris
Jean-Yves LATOURNERIE Préfet chargé de la lutte contre les cybermenaces
Valérie MALDONADO Commissaire divisionnaire, chef de l’Office central de lutte
contre la criminalité liée aux technologies de l’information
et de la communication
François MOLINS Procureur de la République près le tribunal de grande
instance de Paris
Guillaume POUPARD Directeur général de l’Agence nationale de sécurité des
systèmes d’information (ANSSI)
Myriam QUEMENER Avocate générale près la Cour d’appel de Versailles
Représentants de la Direction générale de la sécurité intérieure

Premier ministre
institut national
des hautes études
de la sécurité et de la justice
ÉCOLE MILITAIRE
1 place Joffre
Case 39
75700 PARIS 07 SP
Tél.: 33 (0)1 76 64 89 00 – Télécopie : 33 (0)1 76 64 89 27
www.inhesj.fr

Gds 6

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Gds 6

Загружено:

Авторское право:

Доступные форматы

Institut national des hautes études de la sécurité et de la justice

travaux des auditeurs

Les Membres du Groupe de Diagnostic Stratégique n°6

Présidente du GDS - Sylvie Schlanger, magistrate

Vice-président du GDS - François Mion, Renault

Tuteur - Bruno Hamon, MIRCA Sarl

Rodolphe Auboyer-Treuille Avocat

Ce document ne saurait être interprété comme une position officielle ou officieuse

Directeur de la publication M. Cyrille SCHOTT, directeur de l’INHESJ

2 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 3

4 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 5

cybercriminalité lorsqu’elle ne constitue que le moyen de commettre une

6 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

Les entreprises (hors OIV) à la traîne et des PME vulnérables ........................................ 12

Les recommandations ......................................................................................................... 38

personnalités interviewées ............................................................................................ 52

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 7

la France, un des pays

8 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

Faute de sécurisation, il serait possible de bloquer un bateau en pleine mer

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 9

Il estime par ailleurs que le cyberespace est devenu un espace de confrontation

10 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

Afin de mieux connaître l’état de la menace et d’y apporter la réponse la

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 11

L’instruction interministérielle relative à la protection des systèmes d’information

Les entreprises (hors OIV)

12 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

Interrogé sur la sensibilisation des PME aux enjeux de la cybercriminalité,

L’objectif visé est l’entreprise elle-même

Quels sont les impacts directs et indirects

14 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

L’objectif visé : les données détenues par l’entreprise

L’étude commandée en 2013 par Symantec Corporation a signalé que 45 %

– 45 % d’utilisation des réseaux sociaux (comptes actifs sur un réseau

– 49 % de la population nationale ayant acheté un produit en ligne

La tendance, en évolution constante, pour les consommateurs à utiliser de plus

16 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 17

18 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

Le « biotope » des cybercriminels,

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 19

Quelle réponse judiciaire à ce type d’espace criminel ?

20 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

Des services d’investigation

Le ministère de l’Intérieur à la recherche

Sa feuille de route présente cinq axes principaux :

à l’heure actuelle, selon les chiffres donnés par le ministère de l’Intérieur, la

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 21

La Sous-direction de lutte contre la cybercriminalité (SDLC)

La division de l’anticipation et de l’analyse a vocation à construire une

22 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

Le Plateau d’investigation cybercriminalité et analyses numériques

Le Plateau d’investigation cybercriminalité et analyses numériques du Pôle

La Direction générale de la sécurité intérieure (DGSI)

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 23

La Brigade d’enquête sur les fraudes aux technologies de l’information

Le Service national des enquêtes (SNE)

24 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

Une efficacité des services répressifs encore trop limitée

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 25

2 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 3

4 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 5

6 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 7

8 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 9

10 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 11

12 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

14 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

– 45 % d’utilisation des réseaux sociaux (comptes actifs sur un réseau

– 49 % de la population nationale ayant acheté un produit en ligne

16 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 17

18 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 19

20 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 21

22 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 23

24 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 25

26 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

28 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 29

30 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 31

32 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 33

36 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 37

38 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 39

40 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 41

42 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 43

44 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 45

46 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 47

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 49

50 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6

© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 51

David BENICHOU Vice-président du tribunal de grande instance de Paris en

52 © INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6