Cyber-protection : Au-delà de la Loi de programmation militaire

RENCONTRE EVENEMENTIELLE DU 27 MARS 2015
« Cyber-protection : Au-delà de la Loi
de programmation militaire »
Cyber-exigences ciblées…et protection globale de la Place
Volet 1
L’évolution de la menace cyber et les réflexions
qu’elle a suscitées
« Cybersécurité – cybercriminalité »
Myriam Quemener
Avocat général près la Cour d’appel de Versailles
La thématique est un sujet d’actualité bien sûr, avec une cyber actualité importante
et médiatisée comme en témoigne l’attaque de TV5 monde et de multiples exemples
où les délinquants accèdent à des données sensibles comme par exemple des
données bancaires. Mais il est important de cerner précisément des concepts
voisins mais distincts que sont la cyberdéfense relevant du domaine étatique, la
Cybersécurité qui inclue aussi la prévention des risques numériques qui visent les
entreprises et tous les secteurs économiques et enfin la cybercriminalité qui
concerne le champ judiciaire car il s’agit de la délinquance transposée à l’ère du
numérique.
Concernant la cyberdéfense, l’État prend conscience que les cyberattaques peuvent
être une forme de guerre portée contre les systèmes vitaux et économiques des
États (exemple de l’Estonie en 2007). Le ministre de la Défense a pris la mesure de
ces enjeux. La cyberdéfense se positionne ainsi en amont du judiciaire, il s’agit de
défendre les intérêts fondamentaux de la nation, du patrimoine des entreprises.
Forum des Compétences
15 rue Taitbout 75009 Paris - Tel : 01 48 01 69 69 - Fax : 01 48 01 69 68 - Mail : forum@forum-des-compétences.org
Dans ce cadre, l’ANSSI a un rôle clé dans la prévention et le conseil, mission qui a
été renforcée par la loi de Programmation Militaire.
Concernant la cybercriminalité, celle-ci recouvre les infractions commises
contre les « systèmes de traitement automatisés de données » (STAD), mais aussi
les infractions plus classiques telles que la fraude externe mais aussi interne,
l’escroquerie, l’usurpation identité, l’abus de confiance du fait de salariés, etc. La
conception française de la notion de cybercriminalité est en effet assez large., Par
exemple lors du piratage de Bercy, permis grâce à une pièce jointe infectée : la
Direction générale de la sécurité intérieure (DGSI) a été saisie et, sur la base de leur
rapport, une information judiciaire a été ouverte. Ainsi, L’institution judiciaire a toute
sa place dans la chaîne pénale car c’est elle qui traite les procédures produites par
les services d’enquête souvent spécialisés en la matière comme par exemple
l’OCLCTIC, la BEFTI.
Il est donc important de connaître le rôle de chacun. Des groupes
interministériels existent sur le sujet et les ministères à des degrés divers se sont
approprié le sujet, notamment grâce au rapport Robert (rapport sur la
cybercriminalité, « protéger les internautes » de février 2014). Suivant ses
préconisations, le ministère de l’Intérieur a ainsi créé une sous-direction dédiée à la
lutte contre la cybercriminalité, qui traduit la recommandation d’augmentation des
moyens faite par le rapport.
L’objectif est de coordonner l’ensemble du dispositif, d’adopter une stratégie
globale, dans le respect du rôle de chacun des acteurs (ANSSI, judiciaire, etc.), sans
concurrence, mais au contraire en toute complémentarité. À côté de la politique de
prévention, doit également être prévue l’intervention du judiciaire, en cas d’échec
de cette prévention et de commission d’infractions.
Un exemple de ces propos peut être trouvé dans le renforcement de la lutte
contre le terrorisme et en particulier la répression de son apologie : en répertoriant le
nombre d’entreprises dont les sites ont été effacés et remplacés par des propos
faisant l’apologie du terrorisme, et en mettant en œuvre la loi du 13 novembre 2014
renforçant la lutte contre le terrorisme.
Ces Infractions ont été transférées dans le Code pénal ce qui permet une
répression plus efficace avec l’application de la prescription de droit commun, de
même que la possibilité de recourir à la comparution immédiate), cela a logiquement
entraîné une hausse subite des procédures.
Ce rapport a eu le mérite de faire un état des lieux très complet, mais également de
préconiser des avancées, notamment sur le procédural avec la généralisation du
recours à l’enquête sous pseudonyme notamment en matière de criminalité
organisée.
L’article 22 de la loi de Programmation Militaire n’est pas le seul devant attirer
l’attention, aujourd’hui, tous les nouveaux textes adoptés ont un versant sécurité
numérique comme par exemple la loi du 13 novembre 2014 précitée.
En 2013, on peut estimer qu’il y a eu 343 attaques d’entreprise réussies par
semaine. Il faut renforcer et accélérer la politique pénale dans la lutte contre les
infractions relatives à la cybercriminalité.
Forum des Compétences
15 rue Taitbout 75009 Paris - Tel : 01 48 01 69 69 - Fax : 01 48 01 69 68 - Mail : forum@forum-des-compétences.org
Avec la loi de Programmation Militaire et l’accès aux données, ainsi que le
projet de loi sur le renseignement, on peut constater un glissement vers des
procédures de plus en plus administratives permettant une action rapide comme par
exemple le blocage des sites sans intervention du juge. Le judiciaire peut
apparaître aujourd’hui quelque peu en recul Or il faut à mon sens maintenir un
équilibre entre protection de l’ordre public « numérique » et libertés, c’est tout l’enjeu
de la réglementation du numérique. Le judiciaire doit protéger le patrimoine
informationnel des entreprises, mais en cas de mise en danger de la nation, il doit
être possible de procéder à un contrôle administratif, c’est le sens du projet de loi sur
le renseignement qui propose de légiférer sur ce qui se faisait de manière officieuse
jusque-là. De ce point de vue, la loi de Programmation Militaire peut susciter des
craintes légitimes, mais elle suit les orientations politiques européennes.
Le rapport Robert et ses suites ont également souligné que l’action et l’activité
réglementaire et législative sur ces sujets réclament de nouvelles méthodes de
travail, une coopération entre les secteurs public et privé, notamment entre les
acteurs de l’internet et les grandes entreprises dont certaines ont des missions
classifiées défense.
L’institution judiciaire doit encore développé ses relations avec le secteur privé
dans la mesure où la preuve et les indices numériques sont détenus par ce
secteur, par les entreprises et les prestataires techniques.
il est important de construire un ordre public numérique passant par la répression du
vol de données immatérielles, la consécration d’une infraction de violation du secret
des affaires, la généralisation des enquêtes sous pseudonyme permettant aux
officiers de police judiciaire de mener des enquêtes plus adaptées à l’univers
numérique.
Enfin le rapport Robert préconisait la création d’une coopération
interministérielle, dans le cadre d’une cyber-stratégie nationale, le ministère de
l’Intérieur a récemment désigné un cyber-préfet chargé de la lutte contre les
Cybermenaces ayant pour rôle de préfigurer une délégation ministérielle s’inscrivant
dans cette stratégie globale.
Au titre de la réflexion à mener en matière de sécurité de systèmes
d’information, il faut parvenir à une meilleure utilisation des infractions prévues. Le
socle législatif reposant notamment sur la loi Godfrain survit au temps, mais est
complété par des adaptations progressives en fonction des évolutions
technologiques.
***
Forum des Compétences
15 rue Taitbout 75009 Paris - Tel : 01 48 01 69 69 - Fax : 01 48 01 69 68 - Mail : forum@forum-des-compétences.org