Академический Документы
Профессиональный Документы
Культура Документы
Enjeux
26e session nationale « Sécurité et Justice » 2014-2015
et difficultés
de la lutte contre
la cybercriminalité
Groupe de diagnostic stratégique (GDS) n°6
juillet 2015
ISSN 2265-447X
Enjeux et difficultés de la lutte contre la cybercriminalité
Rapport du Groupe de diagnostic stratégique n°6 - 26e Session nationale « Sécurité et Justice » - 2014/2015
Introduction
L’internet a généré un nouvel espace de libertés : expression des idées,
commerce sans limite, suppression des frontières. Dans un territoire inexploré
promettant des richesses infinies, tant intellectuelles que matérielles, les pionniers
des temps modernes se sont lancés dans une conquête, reposant sur l’absence
de règle.
Si la motivation initiale pouvait être honorable, les développements économiques
et sociaux liés à l’internet ont montré les limites d’un espace sans contrainte.
Par ailleurs, son architecture initiale n’a pas été conçue dans la perspective des
développements qu’il connaît aujourd’hui, à commencer par la sécurité.
En 1987, 200 000 ordinateurs étaient reliés à l’internet. D’ici 10 ans, ce seront
10 milliards de machines qui seront connectées.
Ce développement des moyens de communication et la multiplication des
contenus numériques ont engendré une véritable révolution, abolissant les
frontières et les barrières culturelles. Les efforts de l’état et des collectivités
territoriales visent à réduire la fracture numérique pour que le plus grand
nombre de citoyens ait accès «en haut débit» à ce nouvel espace de liberté.
Or, ce nouvel eldorado est également devenu le territoire de chasse de
prédateurs aux multiples profils et aux motivations les plus diverses. La révélation
de l’existence de Prism, le programme de surveillance de masse sur internet
mis en place par l’Agence nationale de sécurité (NSA) à l’étranger, a montré,
s’il fallait encore le démontrer, que la menace cyber n’était plus seulement
l’apanage de hackers solitaires vissés devant des écrans à la recherche
d’argent facile mais que cette menace était conçue et réalisée comme une
véritable opération militaire.
Pour le directeur de l’organisation policière européenne Europol, la
cybercriminalité s’est hissée au rang du terrorisme en tant que première
menace mondiale pour la société. «S’il y a bien une chose que nous avons
appris sur la manière dont internet a changé les activités criminelles en Europe
et aux États-Unis, c’est que nous n’y étions pas prêts», a affirmé en avril dernier
Rob Wainwright.
Prenant conscience de cette situation, l’état a progressivement multiplié les
initiatives, sans toutefois donner l’impression d’aboutir à une politique globale et
cohérente. Pour autant, la solution ne peut être exclusivement française.
Ainsi, le groupe de travail a choisi d’élargir le spectre de la cybercriminalité
aux périls numériques visant sur les trois grandes familles de victimes : l’état et
les opérateurs d’importance vitale, les entreprises et les particuliers.
Après avoir rencontré les acteurs clefs de la sécurité informatique en France, au
niveau de la puissance publique ou des responsables de la sécurité de grands
groupes industriels, les membres de ce GDS ont analysé dans la première
partie du rapport un constat de la situation en France. Ce constat fait apparaître
des atouts et des fragilités afin que l’état, les opérateurs d’importance vitale,
les entreprises et les particuliers victimes des attaques informatiques, soient en
mesure de mieux les appréhender et y faire face. Dans une seconde partie,
le rapport propose des recommandations de portée générale (culture de la
sécurité, enjeux de souveraineté, pouvoirs publics, coopération) ou spécifique
(chaîne de traitement des incidents de sécurité par exemple) visant à améliorer
de façon significative et durable les risques et les conséquences stratégiques,
économiques et sociétales des attaques informatiques dans une mondialisation
numérique où la sécurité ne peut plus être une option.
Préambule :
La cybercriminalité,
une menace aussi lourde
que difficile à cerner
Elle fait régulièrement la une des médias et ses victimes se comptent en millions
de personnes. Pour autant, elle reste insaisissable. En effet, la cybercriminalité
ne renvoie pas à une liste d’infractions et couvre quasiment l’ensemble du
champ infractionnel. Elle correspond davantage à une façon d’opérer.
Ainsi, le groupe de travail a élaboré sa réflexion en partant du postulat que la
cybercriminalité regroupe toutes les infractions pénales tentées ou commises à
l’encontre ou au moyen d’un système d’information (SI) et de communication,
principalement internet, comme le préconisait dans son rapport le groupe de
travail interministériel sur la lutte contre la cybercriminalité, en février 2014.
Bien que la menace de la cybercriminalité n’ait jamais été aussi lourde, les
spécialistes peinent à cerner son ampleur. Les statistiques ne sont, à ce jour,
toujours pas opérantes. Il faut parfois multiplier par dix ces chiffres d’abord
parce que les victimes ne sont pas conscientes de l’être mais aussi parce que
certaines d’entre elles, comme les entreprises, renâclent à déposer plainte par
peur de nuire à leur réputation.
Pour les forces de l’ordre, la cybercriminalité englobe deux familles d’infractions :
• d’une part, celles liées à des actions de piratage de systèmes
informatiques (ou attaques contre les Systèmes automatisés de traitement
des données dits STAD) visant à voler un secret de fabrication, défigurer
un site internet pour y afficher un message de propagande ou à
récupérer des données bancaires ;
• d’autre part, des actions facilitées par l’utilisation des nouvelles
technologies comme les escroqueries sur internet ou la diffusion de
contenus illicites au travers des réseaux sociaux.
L’Observatoire national de la délinquance et des réponses pénales (ONDRP)
concède que les infractions recensées par les forces de l’ordre ne permettent
« pas une mesure directe des phénomènes liés à la cybercriminalité » et
estime qu’il est urgent de se doter des moyens nécessaires pour appréhender
ce phénomène.
Dans son rapport de février 2014, le haut magistrat Marc Robert pointait
plusieurs explications. « L’appréhension de la cybercriminalité doit d’abord
être fondée sur la définition légale des infractions » or, le dispositif statistique
du ministère de l’Intérieur procède de manière plus globale que celui de la
Justice conçu autour du concept d’infractions. De plus, « la définition légale
des infractions est le plus souvent insuffisante pour prendre en compte la
Sommaire
Introduction .............................................................................................................................. 3
Préambule : La cybercriminalité,
une menace aussi lourde que difficile à cerner ........................................... 5
Constat
La France, un des pays européens les plus touchés par les cyberattaques . ............ 8
Conclusion .................................................................................................................................. 49
Glossaire ........................................................................................................................................ 50
Constat
d’imposer des choses, comme l’obligation de dévoiler les incidents, mais les
différents travaux que l’on mène en terme de bonnes pratiques de protection
des OIV sont tout à fait adaptés pour les entreprises, au moins les plus grosses
et une véritable relation de confiance est en train de s’instaurer entre ces
entreprises et l’administration», avait estimé M. Poupard.
S’agissant des produits et des réseaux de sécurité, l’ANSSI est chargée :
- de développer et d’acquérir les produits essentiels à la protection des
réseaux interministériels les plus sensibles de l’État ;
- de mettre en œuvre les moyens gouvernementaux de commandement et
de liaison en matière de défense et de sécurité nationale ;
- de délivrer des labels aux produits de sécurité.
Que penser de l’intérêt à agir d’une entreprise victime d’un blocage total de son
serveur informatique le dernier jour de l’envoi d’un important appel d’offres ?
Outre le risque d’atteinte à sa réputation, une telle entreprise ne verra aucun
avantage concret et rapide à vouloir agir judiciairement contre les auteurs de
l’attaque : la simple indemnisation du préjudice subi, à supposer qu’elle puisse
être mise en œuvre, ne sera qu’une consolation futile.
Les particuliers,
victime s nombreuses
mais trop souvent silencieuses
La cybercriminalité est un problème en croissance constante qui a le potentiel
d’affecter directement chaque citoyen dans une société moderne. Malgré
les nombreux progrès apportés par les ordinateurs, ils ont produit un certain
nombre d’effets négatifs tels que le piratage et l’écriture de virus ainsi que
d’autres infractions plus répandus et plus faciles à perpétrer, notamment le vol
d’identité et la fraude financière. La nouvelle génération est dépendante des
ordinateurs dans la vie quotidienne sans en connaître les dangers. Aussi, il est
devenu plus important que jamais que les individus soient conscients de leurs
vulnérabilités et des différents cybercrimes commis.
© INHESJ – Juillet 2015 – Rapport du Groupe de diagnostic stratégique n°6 15
Enjeux et difficultés de la lutte contre la cybercriminalité
Rapport du Groupe de diagnostic stratégique n°6 - 26e Session nationale « Sécurité et Justice » - 2014/2015
Report 2014 : Volume 19, Rep. Symantec. April. 2014). Le rapport souligne
que les attaques de phishing évoluent, se déplaçant de plus en plus loin dans
le paysage des médias sociaux. Néanmoins, les mêmes techniques observées
dans le phishing et le spam e-mails sont maintenant exploitées dans des
campagnes de médias sociaux.
Même si le niveau de sensibilisation aux cybermenaces a généralement
augmenté, de même que les mesures prises par la communauté d’application
de la loi contre les cybercriminels, il doit être souligné que les profits illicites
ont également atteint des sommets incroyables et continuent à croître. Le
coût financier total de la cybercriminalité en France en 2013 a été estimé à
900 millions d’euros. Le coût direct moyen par victime est estimé à 275 euros
(2013 Norton Report : Cost per Cybercrime Victim Up 50 Percent. Rep.
Symantec, 1 Oct. 2013).
Pour la population, les niveaux de victimisation de la cybercriminalité sont
nettement plus élevés que pour les formes «classiques» («étude approfondie de
l’ONUDC sur la cybercriminalité.» Février 2013).
Le rapport Marc Robert pointe le manque de sensibilisation de l’opinion
publique sur les risques induits par leurs nouveaux modes de communication et
d’expression, notamment « la mémorisation considérable induite par internet et
sans limitation de durée, niant le droit à l’oubli » ou bien « l’effet amplificateur
d’internet en terme d’informations partagées à l’infini qui peut conduire jusqu’à
la mort sociale voire au suicide ».
L’Institut national d’aide aux victimes et de médiation (INAVEM), cité dans le
rapport Robert, résume les attentes des victimes individuelles :
- la première est qu’il soit mis un terme à l’infraction, en particulier, en cas
d’atteinte à la vie privée et sans attendre d’éventuelles poursuites ;
- la deuxième a trait à une meilleure prise en considération et à une plus
grande reconnaissance, notamment au stade du dépôt de plainte, dans
la mesure où, faute de sensibilisation suffisante mais aussi au regard
du sentiment d’impuissance ressenti par les enquêteurs eux-mêmes
en matière d’escroqueries, certaines plaintes se heurtent à un refus
d’enregistrement, voire à un accueil inadapté ;
- la troisième consiste à reconstruire une image salie et à éviter qu’elle
continue à se répandre ;
- la quatrième concerne la compensation financière sur fonds publics,
s’agissant d’escroqueries commises au préjudice de victimes en situation
de détresse et de fragilité.
Par ailleurs, la question des mineurs victimes mérite une approche particulière,
estime le rapport Robert. Selon le groupe interministériel, « Plus que tous les
autres, les mineurs ont besoin d’être sensibilisés aux risques numériques et
informés de la protection réelle dont ils peuvent bénéficier », et il faudrait que
« leur environnement immédiat ainsi que les policiers et les magistrats soient
davantage formés à cette question ».
Les cybercriminels,
des prédateurs aux multiples
visages et motivations
S’il est un constat sur lequel tous les acteurs de la cybersécurité s’accordent, c’est
bien sur l’augmentation exponentielle du nombre de cybercriminels qui diversifient
leurs attaques grâce à des moyens d’action de plus en plus sophistiqués.
L’image d’épinal du petit génie en informatique, vissé devant son ordinateur, a
vécu. Désormais, tout un chacun peut devenir un cybercriminel, d’abord parce
que les techniques sont facilement accessibles sur le darkweb (web profond)
et souvent à portée de bourse mais aussi parce que l’utilisation croissante des
moyens d’anonymisation des adresses IP crée un sentiment d’impunité propice
au passage à l’acte délictuel voire criminel.
Les groupes criminels traditionnels, de plus en plus professionnels, ont su s’adapter
aux innovations technologiques et n’hésitent plus à recruter des informaticiens
victimes de licenciement économique pour utiliser leurs compétences.
La cybercriminalité se diversifie dangereusement. Les cybercriminels de droit
commun sont les plus visibles et les plus nombreux. Trois grands types émergent :
les délinquants sexuels, les cyberviolents qui s’en prennent aux personnes et les
cyberescrocs qui déploient un large éventail d’arnaques en tout genre.
D’après la Direction centrale du renseignement intérieur (DCRI devenue depuis
la DGSI), citée dans le rapport Robert, ceux qui s’attaquent aux entités étatiques
et aux opérateurs d’importance vitale présentent des profils particuliers. Le
rapport parlementaire relatif à l’espionnage économique (décembre 2014)
souligne que « nos principaux partenaires peuvent aussi être nos meilleurs
adversaires dans le domaine économique ».
- les cybermercenaires, qui proposent leurs services sur le darkweb
afin de perpétrer des attaques pour le compte d’états, d’individus
ou d’organisations ne souhaitant pas apparaître ou ne possédant
pas la technicité ou la ressource nécessaire : ce système fonctionne
exclusivement par cooptation et sous « contrat » ;
- les cyberespions, qui réalisent des intrusions afin de s’approprier
des informations stratégiques ou économiques : ces attaques sont
principalement commanditées par des états, alliés ou non de la
France. En parallèle, le cyberespionnage économique constitue une
menace majeure ;
- les cyberterroristes, animés par des idéologies extrémistes, qui
utilisent internet de manière intensive depuis quelques mois comme
une tribune ou un moyen de radicalisation, comme l’illustre le piratage
de TV5 Monde.
Une fois énumérés ces différents profils de cybercriminels, reste que leurs
victimes peuvent être tour à tour des entreprises, des particuliers, des états.
La cellule Cyberdouane
Créée en février 2009 et installée à la très discrète Direction nationale du
renseignement et des enquêtes douanières (DNRED), le plus petit des services
de renseignement français et bras armé des douanes, la cellule Cyberdouane
intervient en amont de l’enquête, son rôle est de détecter les transactions
illicites sur Internet et de transmettre après instruction à un service opérationnel.
La DNRED dispose également d’une Cellule de la preuve informatique (CRPI),
qui intervient en appui technique des enquêteurs douaniers.
Dans un grand nombre de cas, le « cyber » est le vecteur d’un délit – voire
d’un crime – déjà existant. à cet effet, le législateur a fait le choix d’intégrer ce
nouveau mode opératoire en adaptant la réponse pénale. On soulignera un
certain nombre de disposition en matière de lutte contre la pédopornographie :
par exemple, depuis 2007, « le fait pour un majeur de faire des propositions
sexuelles à un mineur de quinze ans ou à une personne se présentant comme
telle en utilisant un moyen de communication électronique est puni de deux ans
d’emprisonnement et de 30 000 euros d’amende ».
Plus récemment, en 2014, le délit de harcèlement a connu une évolution,
avec une circonstance aggravante supplémentaire, en l’espèce lorsqu’il a été
« commis par l’utilisation d’un service de communication au public en ligne »
qui double le quantum de la peine.
En matière de terrorisme, la loi du 13 novembre 2014 a, de la même manière,
alourdi la peine encourue dans le cas de l’apologie du terrorisme, la faisant
passer de 5 à 7 ans d’emprisonnement.
Le procureur de la République de Paris, François Molins, a, lors des entretiens,
en particulier répondu que l’arsenal législatif était globalement adapté en
ce qui concerne la réponse pénale. Néanmoins, les incriminations tendent à
être éparpillées dans différents codes. Ainsi que le soulignait déjà en 2014
le rapport de Marc Robert, cela tend à nuire à la lisibilité et à la clarté
de ces dispositions.
Un partenariat public - privé
à consolider
L’état ne peut à lui seul vaincre ce fléau planétaire et complexe. La
cybercriminalité doit pousser tous les acteurs à des actions communes (analyse
de la menace, prévention, formation, retour d’expérience) et faire bénéficier
les services étatiques de son expérience. On peut citer certains établissements
de formation et de recherche ou encore des associations qui ont pour objectif
d’aider les citoyens, particuliers et entreprises, à s’organiser face à la menace.
• Signal Spam (http://www.signal-spam.fr)
Créée en 2003, l’association Signal Spam rassemble des représentants
des pouvoirs publics et des entreprises œuvrant dans la sécurité numérique.
Elle gère une plate-forme de signalement par les internautes des spams qui
permettent aux acteurs concernés de prendre des mesures adaptées. Les
services d’enquête peuvent obtenir sur réquisition des informations utiles lors
de certaines investigations judiciaires.
• CLUSIF (http://www.clusif.asso.fr)
Le Club de la sécurité de l’information français (CLUSIF) est une association
indépendante rassemblant des entreprises, des collectivités territoriales mais
aussi des administrations, qui s’est fixée pour objectif d’agir pour la sécurité
de l’information et de sensibiliser à cette question tous les acteurs concernés ;
elle aide les entreprises à mieux sécuriser leurs réseaux et leurs systèmes
d’information.
• CECYF (www.cecyf.fr)
Le Centre expert contre la cybercriminalité français est une association
permettant aux services chargés de l’application de la loi, aux chercheurs de
toutes origines (académiques, industriels, indépendants) et aux établissements
d’enseignement de se rencontrer et d’échanger pour créer des projets
qui contribuent à la formation, l’éducation et la recherche contre la
cybercriminalité.
• AFSIN (https://www.afsin.org)
Créée en 2006 l’Association francophone des spécialistes de l’investigation
numérique regroupe des enquêteurs spécialisés, des experts judiciaires et des
magistrats de toute la francophonie traitant de l’investigation numérique au
sens large. Pour la France, toutes les administrations sont représentées.
• CESIN (http://cesin.fr)
Le Club des experts de la sécurité de l’information et du numérique (CESIN)
est une association ayant pour objet de favoriser l’échange de connaissances,
le partage d’expériences et la coopération entre professionnels de la sécurité
de l’information et du numérique. Il est composé d’experts occupant des
postes de responsabilité dans la sécurité de l’information et du numérique au
sein d’entreprises privées ou publiques, mais aussi des spécialistes du droit de
la sécurité ; y sont associés les représentants des services de l’état.
• Le CHECy (www.checy.org)
Le Centre des hautes études du cyberespace est une association « loi
de 1901 », créée en partenariat avec l’école européenne d’intelligence
économique. Il délivre une formation de haut niveau sur la culture digitale,
les enjeux de transformation numérique et les méthodes de raisonnement en
cyberintelligence. Elle s’adresse à des cadres et des dirigeants des secteurs
public et privé. Ses objectifs sont l’analyse des enjeux du cyberespace,
dans une approche pluridisciplinaire ; la compréhension des transformations
numériques qui bouleversent la société et tous ses secteurs d’activités ; la
connaissance des acteurs du cyberespace ; la préparation à l’exercice de
responsabilités dans lesquelles la culture digitale est un facteur stratégique à
comprendre et à maîtriser.
LES RECOMMANDATIONS
État et opérateurs
d’importance vitale
Au moment où ce rapport est rédigé, l’État et les opérateurs d’importance
vitale sont en train de définir les règles propres à la sécurisation des SIIV
(Systèmes d’information d’importance vitale). Les critères de définition de ces
systèmes vitaux varient d’un secteur à l’autre mais correspondent d’une façon
générale à des systèmes d’information pour lesquels l’atteinte à la sécurité
ou au fonctionnement pourrait avoir une conséquence néfaste pour la nation
et les citoyens.
L’État
Quelle politique publique de cyberdéfense ?
Les récentes atteintes démontrent un besoin permanent de disposer de façon
centralisée d’une capacité d’analyse technique jouissant d’une autorité
suffisante pour assurer la coordination et le pilotage des moyens de lutte
informatique défensive (LID). Ce modèle d’organisation s’appuie sur le socle
organique constitué par l’ANSSI. Dans un contexte budgétaire particulièrement
contraint, une telle centralisation évite une dispersion des ressources financières
et humaines. L’ANSSI centralise une capacité d’engagement de l’expertise au
profit de toutes les administrations et OIV.
La détection et les alertes sont primordiales pour la défense des intérêts
de l’état et des OIV. Dans ce contexte, il est devenu nécessaire d’améliorer
la construction, la mutualisation et la coordination des dispositifs d’alertes.
Il conviendrait a minima de diriger les flux de données et les alertes vers
un centre unique en charge d’établir une appréciation globale de situation.
Les attaques devenant de plus en plus coordonnées et construites comme une
véritable opération avec des effets politiques, économiques et techniques,
la coordination est un impératif.
…
• permettre à l’administration de facturer ses prestations dans les domaines
de la prévention ou lorsqu’un acteur public comme privé est en défaut
de son obligation de moyens ;
• normaliser et généraliser les dispositifs de détection : créer une offre
industrielle et de services souple de dispositifs déployables ; il s’agirait
de positionner l’ANSSI comme autorité de régulation et de contrôle ;
• rationaliser et mieux coordonner les initiatives prises par les ministères
pour leur stratégie de sécurité numérique ;
• faire cesser la prolifération législative et accroître la mise en œuvre des
dispositions existantes ;
• imposer une régulation aux éditeurs de contenus qui sont opérateurs
de fait : soumettre le GAFA aux obligations d’interceptions légales qui
s’imposent aux opérateurs télécom ;
• libérer les initiatives et la créativité dans le domaine de la recherche
de vulnérabilités ; en effet, la loi relative à la confiance numérique interdit
ce type d’activité sans motif légitime ; organiser et réglementer cette
activité sur le territoire national ainsi que la participation de l’état ;
• inclure la cyberdéfense et la cybersécurité dans les motifs de contrôle
de prise de participation ;
• créer un ou des corps techniques et administratifs au sein de la fonction
publique d’état dédié à la cybersécurité ;
• inclure la cyberdéfense dans le socle pédagogique des grandes écoles
françaises et dans les cycles de formation interne des cadres de la
fonction publique d’état ;
• supprimer ou alléger la TVA sur les produits français de sécurité
informatiques achetés par les PME ;
• créer un observatoire et un outil statistique pour mesurer les cybercrimes
et délits ;
• créer un organisme de contrôle avec des pouvoirs disciplinaires
de la bonne application et du maintien des règles imposées ou
recommandées par l’ANSSI .
• rendre l’ANSSI, qui est une autorité administrative et un régulateur du
domaine de la sécurité des systèmes d’information, plus transparente ;
mieux brasser les profils et compétences y travaillant, renforcer la
séniorité des personnes afin d’améliorer la relation avec le reste de
l’administration et les OIV.
La prévention
De très nombreuses attaques auraient été parfaitement inopérantes et sans
objet si les systèmes d’information avaient bénéficié de simples mesures de
prévention. Aujourd’hui, l’effort porte, de façon significative, sur les moyens
de détection et de surveillance afin de ne pas découvrir les attaques une fois
avérées. Cependant, il est nécessaire de rééquilibrer les moyens financiers,
les compétences, les opérations de sensibilisation et de communication sur les
actions de prévention. Cela signifie concrètement de penser les architectures,
les développements logiciels, avec une préoccupation de sécurité ; de se doter
de moyens de maintenir à jour les systèmes d’information en déployant des
correctifs et ainsi d’éviter bon nombre d’attaques.
à l’image de l’action publique dans d’autres domaines sécuritaires, la détection
permet de contenir et réduire le risque avant qu’il ne se manifeste. Il s’agit d’une
séquence en amont dont l’objectif est de comprendre puis d’adapter la posture
générale. Elle est donc nécessairement distincte de la phase judiciaire mais doit
l’irriguer. La détection n’empêche donc pas l’attaque ni l’atteinte contrairement
à la prévention. Un rééquilibrage des dispositifs est donc nécessaire et relève
du domaine administratif pour l’état, de l’investissement pour les acteurs privés.
Le grand public
Il est déterminant de mettre en place un outil de mesure des cyberdélits et
cybercrimes : en effet, en l’absence de cet indicateur, le pilotage de toute
politique publique dans ce domaine s’en trouvera nécessairement fortement
pénalisé.
Les élèves doivent faire l’objet d’une attention toute particulière, en raison de
leur vulnérabilité, mais aussi de la possibilité d’atteindre, par leur intermédiaire,
le public parental. Un des objectifs est d’éviter de laisser l’enfant seul, livré
à lui-même, devant l’écran. Sur le modèle du permis piéton, il conviendrait
d’enrichir les démarches de formation dont bénéficient déjà les écoliers,
collégiens et lycéens (B2I : brevet informatique et internet). L’objectif serait de
dispenser à chaque futur citoyen la formation lui permettant, à terme, de faire
une utilisation appropriée des technologies d’information et de communication,
en toute sécurité. La formation existante est donc à renforcer sur la dimension
« cybercriminalité ». Cela suppose bien évidemment une formation préalable du
corps enseignant (un groupe de travail sénatorial étudie actuellement ce sujet).
Tous les produits présentant des dangers (électroménager, alcool, tabac,etc.)
font l’objet d’informations de la part du fabricant et du vendeur, spontanément
ou par obligation légale. Force est de constater la faiblesse, dans ce domaine,
des informations fournies par les fabricants de matériels et de logiciels.
Plusieurs voies sont envisageables à court et moyen terme : mise en place d’une
normalisation adaptée, promotion d’un concept de « vente éthique », voire
obligation réglementaire, d’inspiration nationale ou européenne.
Les assurances, concernées par l’indemnisation des risques, doivent être
mobilisées, pour la réalisation des actions d’information et de sensibilisation.
Par exemple, l’assureur AXA intervient déjà, en partenariat avec la
Gendarmerie nationale, pour des programmes pédagogiques en milieu
scolaire (avec bien sûr en perspective le marché de la garantie du risque face
aux risque internet : e-réputation, vol en ligne, etc.).
…
– Les expérimentations de justice restaurative (ce qui suppose l’interpel-
lation d’auteurs d’infractions) peuvent en l’espèce paraître adaptées
à ce type de procédures et de victimes favorisant la mise en présence
des victimes et d’auteurs d’infractions en vue de leur résilience et de la
restauration de la cohésion sociale.
• Le droit à l’oubli numérique doit être mis en place de façon concrète et
systématique, afin de permettre l’effacement des conséquences d’une
cyberattaque visant des personnes physiques ou morales. Une obligation
d’effacement des données portant préjudice, sur plainte de la personne
concernée, est à instaurer. À cet effet, pour que les fournisseurs d’accès ne
soient juges et parties, une instance indépendante, appréciant les demandes
et disposant de pouvoirs coercitifs, pourrait être constituée. Le droit à l’oubli
pourrait également porter sur les données personnelles publiées à l’initiative
des personnes physiques et morales, en dehors de toute cyberattaque
(en complément des actions de prévention).
• Il conviendrait d’unifier dans un même texte l’ensemble des dispositions
pénales de lutte contre la cybercriminalité afin d’accroître la lisibilité, la
simplicité et surtout la cohérence du dispositif. à cet effet, la création d’une
partie spécifique au sein du code pénal, ainsi que du code de procédure
pénale, pourrait être accompagnée par la diffusion d’une circulaire de
politique globale, déclinant les objectifs prioritaires à mettre en œuvre.
Conclusion
Glossaire
HADOPI Haute autorité pour la diffusion des œuvres et la protection des droits
sur internet
HFDS Haut fonctionnaire de défense et de sécurité
ICC Investigateurs en cybercriminalité
IDATE Institut de l’audiovisuel et des télécommunications en Europe
INAVEM Institut national d’aide aux victimes et de médiation
JIRS Juridictions interrégionales spécialisées
LBDSN Livre blanc du gouvernement pour la sécurité et la défense nationale
LID Lutte informatique défensive
LOPPSI Loi d’orientation et de programmation pour la performance de la sécurité
intérieure
LPM Loi de programmation militaire
NSA National Security Agency
OCDE Organisation de coopération et de développement économiques
OCLCTIC Office central de lutte contre la criminalité liée aux technologies de
l’information et de la communication
OIV Opérateur d’importance vitale
ONDRP Observatoire national de la délinquance et des réponses pénales
ONUDC Office des Nations unies contre la drogue et le crime
PHAROS Plateforme d’harmonisation, d’analyse, de recoupement et d’orientation
des signalements
PICyAN Plateau d’investigation cybercriminalité et analyses numériques
PJGN Pôle judiciaire de la Gendarmerie nationale
PME Petites et moyennes entreprises
PP Préfecture de police de Paris
PSSI-E Politique de sécurité des systèmes d’information de l’État
RSSI Responsable de la sécurité des systèmes d’information
SDLC Sous-direction de lutte contre la cybercriminalité
SGDSN Secrétariat général de la défense et de la sécurité nationale
SI Système d’information
SIIV Système Informatique d’importance vitale
SNDS Système national des données de santé
SNE Service national des enquêtes
SSI Sécurité des systèmes d’information
STAD Système de traitement automatisé de données
STD Service de traitement direct
TPE Très petites entreprises
UE Union européenne
UNODC United Nations Office on Drugs and Crime
personnalités interviewées
institut national
des hautes études
de la sécurité et de la justice
ÉCOLE MILITAIRE
1 place Joffre
Case 39
75700 PARIS 07 SP
Tél.: 33 (0)1 76 64 89 00 – Télécopie : 33 (0)1 76 64 89 27
www.inhesj.fr