Les crises catalysent l’opportunisme criminel, et s’agissant de la cybercriminalité, la crise de la Covid-19 n’a pas fait exception à la règle. Un tel phénomène bien que non inhérent au contexte actuel, mais se répandant depuis plusieurs années, n’a pas manqué de faire l’objet de nombreuses études. Jean-Nicolas Robin, avocat au barreau de Rennes et docteur en droit, a fait le choix lors d’une conférence à l’École de guerre économique de soulever la question du risque en entreprise, véritable fléau du XXIe siècle. Celui-ci se distingue foncièrement des autres types de cybercriminalité par l’utilisation d’outils techniques, représentant désormais la plus grosse criminalité du monde.
Briser les idées reçues sur la cybercriminalité
De nombreuses idées reçues entourent les questions liées à la lutte contre la cybercriminalité. Existe-t-il réellement un vide juridique sur le sujet ? Selon Jean-Nicolas Robin, ce prétendu vide n’existe pas. Si les États n’arrivaient pas à répondre aux questions cyber pendant de nombreuses années, il existe aujourd’hui des outils permettant la mise en place d’une réponse efficace bien que difficile à mettre en œuvre. Autre idée reçue : le développement de la cybercriminalité serait trop rapide pour être véritablement appréhendé. C’est pourtant un constat évident : le droit se collant à la société, il se développe donc toujours avec un temps en retard. Finalement, on entend régulièrement qu’Internet serait un lieu de non-droit notamment sur ce qu’on appelle le “Darknet”, un réseau parallèle et anonyme souvent utilisé à des fins criminelles. Mais la justice a évolué et les juges d’instruction ont aujourd’hui la capacité de faire des requêtes afin de retrouver des personnes même dans les réseaux non indexés.
Le droit est loin de négliger la délinquance en ligne. Au contraire, dès les années 1970, le législateur a su se saisir de la lutte contre la cybercriminalité et la législation française a évolué par paliers. La première loi à citer est la Loi informatique et libertés (la LIL) du 6 janvier 1978, qui réglemente la gestion des données personnelles, mais le champ de ses incriminations reste encore très restreint. La première loi à appréhender les fraudes informatiques en tant que telles est la loi Godfrain du 5 janvier 1988, référant aux articles 323-1 et suivants du Code pénal. La cybercriminalité étant un phénomène en perpétuelle évolution, le législateur a dû prendre conscience de ce phénomène pour s’adapter et envisager de nouvelles infractions ne portant pas uniquement sur un système d’information. Il n'existe dès lors pas de corpus unifié sanctionnant tout acte cybercriminel mais tout un panel d'infractions diverses.
Les attaques spécifiques des systèmes et réseaux numériques
Les délits spécifiques sont prévus à l’article L323-1 et suivants du Code Pénal. Ces infractions sont toutes conditionnées à l’existence d’un système de traitement automatisé de données (STAD) qui peut être entendu comme l’ensemble composé d’une ou plusieurs unités de traitement, de mémoire, de logiciel, de données qui concourent à un résultat déterminé. Le premier article de la liste (article 323-1 du Code Pénal) sanctionne les personnes qui cherchent à prendre connaissance d’informations confidentielles ou non contenues dans un STAD. L’infraction pourra être retenue dès lors qu’une modification frauduleuse de données ou une entrave au bon fonctionnement du STAD est constatée. Cet article permet notamment de sanctionner les attaques par ransomware qui cherchent à rendre des données inaccessibles en les chiffrant puis réclamer une somme d’argent au propriétaire en échange de la clé permettant le déchiffrage des données. Le ransomware est également passible de la qualification d’extorsion de fonds du fait de la contrainte exercée sur le propriétaire de l’ordinateur afin d’obtenir des fonds.
L’article 323-2 du Code pénal prévoit quant à lui de sanctionner le fait de bloquer l’efficacité du système de traitement, allant du simple blocage à sa paralysie. Cette qualification pourra notamment être retenue en cas d’attaque par déni de service distribué (DDOS). Il s’agit d’une attaque qui vise à rendre un serveur, un service ou une infrastructure indisponible, et ce en "surchargeant" le réseau par un nombre de requêtes supérieur à celui possiblement supporté par ledit réseau.
L’article 323-3 du Code Pénal se concentre à son tour sur l’atteinte à l’intégrité des données qu’il contient et non plus à l’intégrité du système. Le Code pénal mentionne le fait d’introduire frauduleusement des données dans un STAD. Par exemple, lorsqu’une entreprise ou un particulier se trouve face à une attaque de type ransomware, l’attaquant aura probablement recours à la création d’un fichier afin d’exposer sa demande et/ou les instructions de paiement nécessaires à sa victime. Il sera donc possible d’invoquer le dernier article mentionné.
Le législateur a également prévu des circonstances aggravantes . A cet effet, l’article 323-1 alinéa 2 du Code pénal relève une circonstance aggravante lorsque l’accès ou le maintien engendre la suppression, la modification ou une altération des données contenues dans le système. De manière générale, cet arsenal pénal peu invoqué à son adoption tend à prendre de l’importance au sein des tribunaux français au regard de l’évolution des cybermenaces et des attaques de plus en plus nombreuses commises envers les entreprises. Ces infractions spécifiques du Code pénal ne sont pas les seules outils à la disposition des victimes. Selon le faits, il est possible d’incriminer l’auteur de la cyberattaque grâce à d’autres délits traditionnels existants en dehors de l’utilisation d’un système d’information.
L’appréhension de la cybercriminalité par des règles préexistantes
Contrairement aux atteintes sur les réseaux numériques stricto sensu, il existe des infractions pénales par l’intermédiaire des réseaux numériques. En effet, ce sont toutes les infractions qui vont être constituées à l’aide des réseaux numériques. A titre d’exemple, l’escroquerie est un délit qui peut être constitué avec ou sans utilisation d’Internet. Les méthodes d’escroquerie ainsi que tout un panel d’infractions ont évolué et su saisir les opportunités offertes par le développement d’internet. Autre infraction courante utilisant les réseaux numériques, l’atteinte à la réputation. Ce sont toutes les manœuvres mises en œuvre par un agent économique qui peuvent avoir pour objectif d‘anéantir la concurrence ou de la déstabiliser. Afin de condamner ces actions, le droit met à disposition des outils, tels que la diffamation, qui peuvent se transposer à une campagne de fausses informations sur les réseaux sociaux par exemple. Est apparu également une criminalité liée à la cyberpornographie. Le terme de « revenge porn » est désormais utilisé afin de désigner le partage en ligne d’un contenu à caractère pornographique sans le consentement de la personne. Le Code pénal permet d’appréhender la répression de ce délit grâce à son article 226-1 qui sanctionne l’atteinte à l’intimité de la vie privée d’autrui. Autre catégorie d’infraction, le Code pénal envisage également toute atteinte aux intérêts fondamentaux de la nation dans son livre IV intitulé « Des crimes et délits contre la nation, l’Etat et la paix publique ». Le droit actuel, de par ses incriminations spécifiquement liées au STAD ou par de la répression des délits de façon générale, permet d’appréhender un large spectre de la cybercriminalité. En effet, toute infraction réalisable à l’aide d’un réseau numérique pourra faire l’objet d’une poursuite. Les règles de droit ont été conçues de façon à s’adapter aux évolutions et une atteinte constituée à l’aide d’outil tel qu’Internet ou directement sur les systèmes d’information ne doit pas empêcher l’application des règles juridiques préalablement établies. La rapidité d’une cyberattaque, sa technicité et l’anonymat de l’attaquant peuvent parfois décourager une entreprise d’actionner la machine judiciaire. Or, une marche à suivre existe permettant à toute victime de faire valoir ses droits. En effet, en cas de cyberattaque, plusieurs étapes peuvent être suivies afin de limiter les dommages et de contenir l’attaque.
Les notifications
Très souvent, l’entreprise va activer une cellule de crise afin de répondre le plus efficacement à la situation. La réponse est multiple et gérée généralement par la cellule de crise mise en place. Il s’agit à la fois pour l’entreprise de contenir techniquement les effets de l’acte malveillant à son encontre et d’assurer une continuité d’activité, le tout en notifiant l'événement aux institutions compétentes.
Dès lors qu’un acteur privé a connaissance d’une attaque, il doit répondre techniquement afin de limiter la poursuite de cette attaque et/ou de limiter ses effets sans pour autant répondre techniquement à l’attaque. En effet, l’ANSSI s’oppose à l’adoption de stratégies offensives en matière de cybersécurité, autrement dit, de recourir au hack-back. Cette pratique a été définie comme le droit pour un acteur privé de répondre à une attaque informatique par une attaque informatique. Cependant, une victime de cyberattaque ne pourra pas décider d’agir seule en recourant finalement à ce qui pourrait être assimilé à de la justice privée. Seule l’ANSSI est habilitée à procéder à des pratiques plus intrusives afin d’attribuer la cyberattaque. En revanche, elle n’est autorisée qu'à investiguer et ne peut aller jusqu'à pratiquer le hack back en tant que tel. En revanche, l’ANSSI pourra être notifiée de l’attaque afin d’apporter son expertise à la victime. Outre l’ANSSI, l’entreprise doit avoir le réflexe de notifier à la CNIL la situation dès lors qu’une atteinte aux données personnelles est constatée. Le délai légal de cette notification est de 72h et passé ce délai, l’entreprise s’expose à des sanctions.
Le dépôt de plainte comme moyen de défense ?
Le volet juridique n’est pas exclu lors de cette phase de gestion de crise. Le gestionnaire doit en effet s’interroger sur les implications juridiques. Afin d’être en mesure de solliciter l’action publique, il est impératif de cartographier l’attaque, autrement dit, de constater les faits grâce à un huissier de justice. Cette étape permet de déterminer si l’attaque dispose d’une dimension pénale, permettant ensuite de qualifier juridiquement les faits pour porter plainte. Elle pourra être déposée auprès du procureur de la République territorialement compétent, à savoir, du lieu de résidence de l’une des personnes soupçonnées (article 43 CPP) ou du lieu de l’infraction. Lorsque le siège social de l’entreprise victime se situe à Paris ou en région parisienne, le dépôt de plainte peut se faire directement auprès d’une section spécialisée en matière de cybercriminalité du tribunal judiciaire de Paris, la section J3. Dans les autres régions de France, saisir directement le procureur de la République du tribunal judiciaire de Paris n’est pas envisageable dans la mesure où il ne sera pas territorialement compétent. Juridiquement, sa demande sera irrecevable. La saisie passe obligatoirement par le tribunal du lieu de l’infraction qui fera par la suite une demande au procureur de renvoyer au tribunal judiciaire de Paris. La plainte étant l’étape préalable à l’ouverture d’une enquête judiciaire, après son enregistrement, le procureur confiera l’enquête au service spécialisé selon la nature de l’infraction. Il en existe plusieurs qui interviennent dès lors que les procédures sont considérées plus complexes en raison de leur technicité et de leur dimension parfois internationale. Parmi ces services spécialisés en France, on peut citer l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) ainsi que la sous-direction de lutte contre la cybercriminalité (SLDC).
Il est également possible de confier la plainte à la Brigade de lutte contre la cybercriminalité (BLCC), anciennement Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) qui est compétente pour traiter les infractions liées aux STAD. Ces organismes ne répondent en revanche pas des atteintes commises envers les opérateurs d’importance vitale (OIV). Dans l’hypothèse d’une cyberattaque, la section judiciaire de la DGSI sera systématiquement saisie. Les entreprises désignées comme OIV possèdent un correspondant à la DGSI qui les orientera pour leur plainte (rapport cyberattaque). La DGSI pourra également être impliqué dès lors que les intérêts fondamentaux de la nation sont en jeu, par exemple lorsqu’il s’agit d’une apologie au terrorisme, ou de manière générale afin de défendre les intérêts de l’Etat. L’écosystème français en matière de cybercriminalité est riche et les entreprises tout comme les particuliers victimes de cyberattaques ont la possibilité de se faire assister dans ce type d’incident. Le gouvernement a également mis à leur disposition l’outil “cybermalveillance.gouv.fr” Cette plateforme, gratuite, a pour missions d'assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de malveillance en ligne. Elle pourra les orienter sur la marche à suivre en cas d’attaque et les informer sur le dépôt de plainte. La plateforme est un moyen d’informer sur les menaces numériques et les moyens de s'en protéger.
Avant l’attaque : gouvernance du risque juridique
Avant l’attaque, il est possible de réaliser un audit juridique interne : il s’agit d’analyser les documents juridiques comportant des notions de cybersécurité, permettant ainsi de faire des audits auprès des prestataires de l’entreprise. Il est également possible de procéder à des changements dans le règlement intérieur, la charte informatique, ou la PSSI (Politique de la Sécurité des Systèmes d’Information), mais bien qu’efficaces au niveau technique, ces solutions manquent d’éléments contraignants. C’est le rôle du juriste : ce dernier intervient pour sécuriser cette politique, en la rendant contraignante ou en la mettant à jour. Finalement, la gestion de crise (dont le juridique est le point d’ancrage et peut donner une vision) et le Plan de Continuité d’Activité entrent en compte dans la prévention du risque cyber. Pour la gestion de crise, le juridique va déterminer à qui incombe la responsabilité, qui prévenir, qui notifier, comment mener la crise, tout cela en s’appuyant par exemple sur une cartographie des risques juridiques.
Concernant les audits de contrats, il est primordial de vérifier ce qui y est inscrit, et en cas d’utilisation de sous-traitants, d’insérer des clauses RGPD, de protection des données et de sécurité informatique. L'avocat Jean-Nicolas Robin rappelle également qu’il est nécessaire de veiller à la bonne mise en place des clauses, la meilleure arme restant la prévention : ne pas se faire avoir par la rhétorique du « cela n’arrive jamais », bien prendre en compte l’évolution des risques… Il est possible de procéder ainsi par analyse des clauses contractuelles avec les sous-traitants et partenaires : si des données personnelles sont mises en causes, une contractualisation est donc obligatoire. Finalement, la formation des équipes est une dimension primordiale à l’anticipation des risques cyber. Il est nécessaire de veiller aux clauses et aux différents seuils, à la prise en compte ou non des dommages et aux responsabilités immatérielles.
Finalement, lutter contre la cybercriminalité peut s’avérer difficile, car de véritables compétences techniques sont souvent nécessaires. Par exemple, des acteurs tels que les « Pen-tester » (contraction de « penetration tester », soit un « testeur d’intrusion ») peuvent faire partie des réponses techniques qui peuvent être apportées, de même que des moyens juridiques et humains. S’agissant des moyens techniques, on retrouve les problématiques entourant la sécurité des réseaux et la sécurité des applications. Les moyens juridiques représentent les corpus de textes et de lois, qui peuvent eux-mêmes être appuyés par des moyens humains : gestionnaires de crises, traducteurs, communicants… Finalement, le travail d’enquête, de communication et de gestion de procédure constitue un pilier fondamental de la lutte contre la cybercriminalité : c’est la pose du diagnostic juridique. Le juge d’instruction peut en outre ouvrir une instruction Europol, extraterritoriale, pour laquelle il faudra demander des conventions bilatérales ou des conventions d’entente entre pays. En revanche, Jean-Nicolas Robin souligne le fait que, durant sa carrière, il n’a vu aucune instruction aboutir, attestant de la difficulté de mener des instructions au niveau européen et international.
Un article basé sur les propos de Jean-Nicolas Robin recueillis pendant sa conférence du 5 mai 2021 à l’École de Guerre Economique.
Anna DE CASTRO et Mélanie LEROUVILLOIS du Club Cyber de l'AEGE
Pour aller plus loin :