MME MYRIAM QUÉMÉNER, MAGISTRAT, SPÉCIALISTE DES PROBLÈMES DE LA CYBERSÉCURITÉ
11 juin 2014
Tous les jours, nous recevons des rapports émanant, entre autres, d'éditeurs de logiciel, qui nous donnent une idée de l'ampleur du préjudice dans le domaine de la sécurité numérique. D'ailleurs, les compagnies d'assurance ont développé des départements de façon à assurer le risque numérique, comme l'ont fait les Anglo-saxons.
Il n'existe pas, en France, de vue d'ensemble au niveau des chiffres. C'est l'une des préconisations du rapport du groupe interministériel présidé par M. Marc Robert, procureur général. Selon l'Institut national des hautes études de la sécurité et de la justice (INHESJ) et l'Observatoire national de la délinquance et des réponses pénales, 180 000 entreprises auraient été victimes d'actions de phishing , de vol en ligne, de vol d'informations, d'altération de leur site, ou d'infection de leurs machines .
Deux tendances apparaissent, la fraude externe mais aussi la fraude interne avec des contentieux qui se développent. Des salariés par vengeance, par exemple, ou dans le cadre d'une procédure de licenciement, dérobent des éléments à une entreprise. La problématique droit du travail et nouvelles technologies s'est assez intensifiée ces derniers temps.
Le fléau identifié au niveau des entreprises c'est la contrefaçon en ligne qui s'est fortement développée avec Internet. 40 % de l'activité du Service national de douane judiciaire (SNDJ) sont constitués d'affaires de contrefaçons en ligne.
En réaction, les entreprises, face parfois à un manque de moyens étatiques, ont créé leur propre service de veille avec souvent d'anciens commissaires divisionnaires ou d'anciens gendarmes.
Assez peu de condamnations par la Justice interviennent . Les affaires comme, par exemple, les escroqueries en bande organisée, ne sont souvent pas repérées en tant qu'actes de cybercriminalité alors qu'il peut y avoir des personnes qui créent leur réseau de « mules » - d'intermédiaires -, par exemple des particuliers, qui acceptent de voir transiter sur leur compte bancaire des sommes de provenance frauduleuse, du blanchiment, moyennant un pourcentage qu'elles vont recevoir ou non.
Nous avons eu le cas d'un réseau créé en Roumanie et en Chine, ce qui illustre la problématique internationale de la cybercriminalité.
La majorité des escroqueries sont des abus de confiance ou des fraudes aux cartes bancaires . On compte également beaucoup d' atteintes aux personnes comme l' usurpation d'identité en ligne , la création de faux profils . C'était le cas d'un webmestre qui, par vengeance, pour déstabiliser une entreprise, avait créé le profil d'un salarié qui n'existait pas ; il a été condamné pour usurpation d'identité en ligne.
Comme exemple de déstabilisation du site d'une entreprise , on peut citer le cas d'un grand laboratoire pharmaceutique, en l'occurrence Sanofi , dont l'une des filiales située en Algérie, a été inondée de courriels menaçants, faisant l'apologie du terrorisme, de sorte qu'une cellule de crise a dû être créée. L'auteur de cette attaque, qui ne s'est pas présenté à l'audience, a été condamné à un an d'emprisonnement.
Au niveau de la cyberdéfense, de la cybersécurité, qui sont des enjeux de sécurité nationale, il existe avec l'ANSSI un dispositif tout à fait structuré, étoffé.
Concernant les opérateurs d'importance vitale (OIV), nous avons parfois des rapports de l'ANSSI et ensuite c'est la Direction générale de la sécurité intérieure (DGSI) qui est saisie. Le dispositif est renforcé, c'est parfait et lisible.
En revanche, comme le Livre blanc sur la défense et la sécurité nationale l'indique, la cybercriminalité n'est pas intégrée dans la sécurité nationale mais il y a une porosité entre les trois niveaux suivants : cyberdéfense, cybersécurité et cybercriminalité qui est la criminalité transposée à l'ère numérique.
De plus en plus, il existe des affaires d' extorsion . Au départ, il s'agit d'une rencontre virtuelle par le truchement d'un site et ensuite un guet-apens est tendu. Cela permet des rencontres qui n'auraient jamais eu lieu.
Le dispositif autour de la cybercriminalité doit être amélioré. On parle parfois d'une certaine nébuleuse. Au niveau des services, il y a la police et la gendarmerie, ainsi que l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC).
L'Office central pour la répression de la grande délinquance financière (OCRGDF) a sorti des affaires d' escroquerie aux faux ordres de virement . Certaines entreprises, comme le Géant vert, ont osé en parler. Une sensibilisation commence à avoir lieu. C'est pourquoi, par exemple, Infogreffe est très vigilant sur la communication de renseignements, de noms, d'adresses électroniques de dirigeants.
Les délinquants vont demander, de préférence le vendredi soir, des ordres de virement.
La Délégation interministérielle à l'intelligence économique vient de mettre sur son site une alerte à destination plutôt des PME pour les sensibiliser à ces nouveaux modes opératoires.
Beaucoup d'initiatives sont prises mais pas nécessairement de façon coordonnée.
Certains magistrats ne connaissent pas l'activité de la Délégation interministérielle à l'intelligence économique.
Il est nécessaire de coordonner l'ensemble des actions de lutte contre la cybercriminalité.
Au niveau des services d'enquête, d'importants efforts sont consentis avec des formations spécialisées notamment des cellules dites NT (nouvelles technologies) dans la gendarmerie et avec des investigateurs en cybercriminalité (ICC) dans la police nationale. Pour les magistrats, il n'y a pas de spécialisation pour l'instant.
Aucune définition de la cybercriminalité ne figure dans le code pénal. Il faudrait qu'il y ait des orientations de politique pénale et que la notion de cybercriminalité soit définie ; en France, nous en avons une conception assez large. Cela comprend les infractions strictement informatiques, qui ont pour cibles les systèmes d'information, les systèmes de traitement informatisé des données, ainsi que les infractions classiques comme les fraudes, les escroqueries, qui vont être facilitées, démultipliées, par le recours à Internet. La Commission européenne parle d'infractions de contenu comme la pédophilie sur Internet, le racisme, mais cela concerne moins le domaine de l'entreprise.
La cybercriminalité n'est mentionnée que dans le code de procédure pénale dans la liste des trente-deux infractions qui peuvent se dispenser de la double incrimination en matière de mandat d'arrêt européen. Le manque de définition officielle contribue à une réticence sur ce sujet.
On dispose d' un arsenal juridique extrêmement complet avec la loi de 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, qui percevait les ordinateurs comme pouvant porter atteinte aux libertés individuelles. Mais il y a énormément d'infractions qui sont sous-utilisées comme la collecte illégale de données ; cette infraction peut intéresser les entreprises car le vol de données peut être réprimé. La doctrine est contre le fait de retenir le vol d'éléments immatériels mais, par le biais de la collecte illégale de données, on pourra apporter une réponse juridique. C'est comme le détournement de finalité . Par exemple, pour réserver une chambre d'hôtel, vous avez, communiqué vos données bancaires alors qu'on ne sait pas ce qu'en font certains hôteliers.
Tout comme la loi de 1978, la loi Godfrain de 1988, relative à la fraude informatique, est sous-utilisée ; elle ne donne lieu qu'à une centaine de condamnations par an, ce qui est assez faible.
Le dispositif législatif s'est complété au fil du temps notamment en matière de droit matériel avec l'usurpation d'identité en ligne par exemple mais surtout en matière de droit processuel, c'est-à-dire le droit de la procédure pénale, après les attentats du 11 septembre 2001 et les lois de sécurité intérieure. Au minimum une loi par an sur la cybercriminalité est adoptée depuis.
L'infiltration , c'est-à-dire entrer en contact avec une personne soupçonnée de commettre des infractions, est maintenant possible en matière de contrefaçons. La captation de données à distance n'est pas encore opérationnelle même si la loi d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI 2) commence à dater. Cela pose des problèmes techniques de mise en oeuvre : il ne faut pas confondre le logiciel espion des délinquants avec celui des officiers de police judiciaire. Les moyens d'investigation existent. Il est possible aussi de faire des copies. L'interception de communications est transposable au réseau Internet.
On ne fait pas suffisamment l'état des lieux des dispositions qui existent. Par exemple, la géolocalisation , la possibilité de surveiller quelqu'un en temps réel, est soumise au régime de l'interception téléphonique. Les arrêts de la Cour de cassation du 22 octobre 2013, ont conduit à l'adoption d'une nouvelle loi, le 28 mars 2014. Or, la surveillance était prévue par la loi du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité et a été étendue par la loi du 6 décembre 2013 relative à la lutte contre la fraude fiscale et la grande délinquance économique et financière. Mais le problème reste que personne n'a dit que la géolocalisation est une forme de surveillance . La doctrine l'avait dit, en prenant l'exemple de la surveillance numérique. Le traité de procédure pénale Desportes-Lazerges avait d'ailleurs indiqué que la géolocalisation pouvait correspondre à de la surveillance.
La surveillance est limitée à la surveillance physique. Or, les flux financiers, les flux illicites, étant de plus en plus dématérialisés, la surveillance présente un intérêt moindre cependant il devient intéressant d'intercepter des flux illégaux.
Il existe toujours un décalage entre le droit et la réalité.
La France a tenu compte de la réglementation internationale en effectuant la transposition de la plupart de ses textes. La convention de Budapest du Conseil de l'Europe sur la cybercriminalité, même si certains la trouvent dépassée, demeure un outil qui fixe les bases d'une réglementation internationale pénale intéressante.
La notification des failles a été mise en place. Elle est effectuée auprès de la CNIL pour les données personnelles et auprès de l'ANSSI quand cela touche à la sécurité des systèmes d'information, notamment celle des OIV .
Le milieu bancaire est très inquiet car il est déjà soumis à une surveillance étroite selon un dispositif extrêmement contraignant, par l'Autorité des marchés financiers (AMF), l'Autorité de contrôle prudentiel et de résolution (ACPR), etc. Il ne sait plus trop où il en est.
Certains cadres ignorent encore la notion d'opérateur d'importance vitale (OIV) ; cela est encore apparu récemment, lors d'une intervention chez Total . Une formation continue associant l'ensemble des acteurs de l'entreprise est donc absolument nécessaire. Les différents départements d'une entreprise doivent se parler. C'est l'intérêt de la création du poste du directeur de la sécurité. La nécessité de décloisonner les services ressort des réflexions que je mène avec le Club des directeurs de sécurité des entreprises.
Il faut mieux faire connaître l'action judiciaire auprès des entreprises. Surmontant leurs réticences premières, de grandes entreprises s'engagent maintenant à porter plainte. Pour cela, il faut mettre en place des stratégies, prendre contact avec des services spécialisés, des offices de préférence ou l'ANSSI, qui peut prendre le relais, par l'intermédiaire de son chargé de mission, pour s'engager dans une démarche de dépôt de plainte qu'il faut dédramatiser. Cela nécessite des contacts directs avec le procureur de la République ou un magistrat référent.
J'ai piloté un groupe de travail dans le cadre d'un conseil régional de politique pénale Paris-Versailles, pendant un an et demi. Nous avions mis en place, malheureusement de façon empirique, un magistrat cyberréférent au sein des parquets des principaux tribunaux de la région parisienne.
Ce qui constitue une source d'insécurité pour les entreprises c'est le problème du vol de données, d'éléments immatériels . Il y a eu quelques décisions, notamment à Clermont-Ferrand, mentionnant le vol d'éléments immatériels. Un projet de directive européenne prévoit la répression de la violation du secret des affaires - ce projet de texte émanant de la Délégation interministérielle à l'intelligence économique.
Il faudrait prévoir des infractions assez simples susceptibles d'être comprises par tous et sur lesquelles les magistrats se spécialiseraient.
Depuis trente ans, l'institution judiciaire connaît une évolution avec des spécialisations, des compétences nationales sur des sujets pointus comme le terrorisme, les crimes contre l'humanité, la santé publique, etc.
En 2004, il y a eu la création des juridictions interrégionales spécialisées (JIRS ) mais elles sont tellement spécialisées en tout qu'elles traitent assez peu d'affaires en lien avec la cybercriminalité. Plus de 50 % des affaires traitées par les JIRS concernent des gros trafics de stupéfiants. Au sein des JIRS, il faudrait spécialiser des magistrats en criminalité informatique.
M. Jean-Marie Bockel avait préconisé dans son rapport, pour les attaques visant les OIV et pour des affaires complexes d'envergure qui nécessiteraient des investigations mettant en cause plusieurs pays, la création d'une juridiction spécialisée à Paris . Le procureur de Paris, M. François Molins, a écrit une note en ce sens prônant la création d' un pôle numérique en reprenant plusieurs éléments d'un ouvrage que j'ai écrit avec M. Yves Charpenel.
En revanche, les JIRS auraient vocation à traiter les petites affaires d'attaques d'entreprises en province . Il y aura peut-être des calages à opérer sur la compétence territoriale, par exemple, à Nanterre où il y a une concentration d'entreprises avec La Défense. L'OCLCTIC a un contact « TIC » au parquet de Nanterre qui est son interlocuteur privilégié. La compétence territoriale est l'une des problématiques car on a vu des procédures relatives à des escroqueries qui ont tourné dans différents parquets qui se demandaient s'ils étaient vraiment compétents. Il faut mettre un terme à ces situations qui s'apparentent à une forme de déni de justice. Le parquet de Nanterre, qui dispose d'une plate-forme de signalement, appelée « PHAROS », gérée par l'OCLCTIC, pourrait avoir vocation à traiter les procédures au même titre que Paris.
Au niveau de l'administration centrale, tous les pays européens se sont dotés de services spécialisés en matière de lutte contre la cybercriminalité numérique sauf la France . La Chancellerie a vocation à appréhender de façon officielle ce sujet en créant, par exemple, un pôle numérique rattaché soit au Secrétariat général, qui est complétement transversal, soit à la Direction des affaires criminelles et des grâces.
Pour l'instant, les magistrats qui traitent ces affaires soit ont une appétence particulière pour le sujet soit sont à la Cour de cassation. D'ailleurs, celle-ci a lancé, en 2013, tout une série de conférences consacrées au numérique, intitulée « Le numérique dans tous ses états » avec des experts, des universitaires. J'ai moi-même participé à une séance sur la preuve numérique car l'un des sujets majeurs c'est l'harmonisation des modes de preuve, au moins au niveau européen. En effet, beaucoup d'avocats qui, eux, se spécialisent, font des requêtes en nullité dans ce domaine de la preuve, fondées sur la relativité, la fragilité de la preuve numérique.
À titre d'exemple, lors d'une affaire, des avocats ont invoqué la nullité des moyens d'investigation en disant qu'il s'agissait de géolocalisation et que la loi de mars 2014 n'avait pas été appliquée. Or, il s'agissait de bornage c'est-à-dire d'interception a posteriori. Ce qui montre que les magistrats doivent avoir une idée des modes opératoires.
Il y a des affaires de fraudes à la téléphonie qui causent des préjudices très importants aux entreprises avec les numéros surtaxés. Des escrocs montent ainsi des entreprises. Il n'est pas inutile de faire de la pédagogie. Les escrocs sont défendus par des cabinets d'avocats spécialisés en la matière.
La criminalité financière et la cybercriminalité peuvent se recouper mais il y a des modes opératoires et des spécificités qui nécessitent une formation obligatoire alors qu'elle n'est encore que facultative ; elle est également ouverte aux officiers de police judiciaire. Cette formation devrait être imposée aux magistrats dès la formation initiale. Il faudrait au moins que les magistrats sachent où chercher. La Chancellerie a un rôle d'expertise et de conseil aux juridictions à jouer sur ce sujet-là. On peut envisager un forum, des formations à distance ( e-learning ). Cette formation devrait être pluridisciplinaire, dispensée par des experts, des avocats, des officiers de police judiciaire, qui montreraient des cas pratiques et qui dédiaboliseraient ce domaine encore ésotérique pour de non-spécialistes.
Au niveau international, on voit apparaître des opérations qui concernent l'entreprise alors qu'avant il s'agissait surtout d'opérations internationales de lutte contre la pédophilie sur Internet qui suscitent un consensus. Maintenant, il existe des affaires de contrefaçons de médicaments, les opérations PANGEA.
Récemment, la chambre criminelle a validé une procédure initialement américaine, visant à repérer des délinquants qui allaient sur des forums donnant des renseignements pour s'y livrer à de la cybercriminalité, du carding , du skimming , tout ce qui constitue une escroquerie aux cartes bancaires . La chambre criminelle a pris position et validé cette procédure en disant que l'on avait affaire à une provocation à la preuve et non pas une provocation à l'infraction qui aurait été invalidée, elle, par la chambre criminelle.
Il convient de mener une veille juridique assez importante. La Chancellerie aurait dû faire connaître et commenter cette décision de la chambre criminelle qui date d'environ trois semaines.
Pour la géolocalisation , dès 2011, le milieu universitaire avait alerté sur le fait qu'elle avait été validée en Allemagne parce qu'il existait un texte général qui prévoyait sa réglementation. En raison de l'absence de veille en France, le problème de la géolocalisation a abouti à une loi adoptée dans la précipitation.
En matière d'arsenal pénal, on dispose de tout ce qu'il faut.
Mais, contrairement aux contentieux sur les violences conjugales, les stupéfiants, la politique d'immigration, la cybercriminalité , elle, ne dispose pas de politique pénale d'ensemble . Il n'existe que des circulaires, des commentaires, etc. Il incombe au ministère de la justice de mettre en place cette politique pénale et de donner des conseils de stratégie procédurale à adopter notamment lorsqu'il s'agit d'infractions commises au préjudice des entreprises .
Des projets sont en cours au niveau du ministère de l'intérieur pour obtenir des éléments chiffrés plus précis. Pour l'instant, cela dépend d'éditeurs de logiciels qui publient certes des rapports extrêmement intéressants mais il est un peu gênant de dépendre du secteur privé pour la justice.
La coopération du secteur public et du secteur privé est prometteuse dans ce domaine mais la justice est parfois un petit peu trop prudente dans cette démarche nouvelle. L'État se voit obligé de travailler avec le secteur privé en raison des dispositifs comme la plate-forme d'interception qui sera mise en place au niveau national - il y a des accords avec Thales. Une collaboration, avec des prestataires techniques, etc., doit être menée dans le respect du rôle de chacun.
La Chancellerie devra mettre l'accent sur ce type de travaux. Le Conseil de l'Europe organise des ateliers, mène des conférences d'experts sur la cybercriminalité.
Il faudrait réfléchir à créer de nouveaux outils procéduraux plus rapides au niveau européen. Les commissions rogatoires internationales en matière de cybercriminalité sont très longues à obtenir, très lentes, avec en plus le problème de la traduction. Et pendant ce temps-là, il y a un risque dépérissement des preuves.
Il existe beaucoup de textes pour lesquels il faudrait procéder à une mise à plat avec l'aide de la commission de codification de la Chancellerie. Certains articles devraient être simplifiés, y compris ceux de la loi Godfrain même si elle reste une base très intéressante. Les systèmes ont traversé les années.
La Chancellerie a un rôle d'expertise et de conseil aux juridictions. Il faudrait expliquer ce qu'est un système de traitement automatisé des données, par exemple. Au sujet du système de vidéoprotection, les entreprises ne savent même pas qu'il existe des textes et ne connaissent pas, en l'occurrence, la loi Godfrain.
Les magistrats sont très demandeurs de conseils, de formations. Tout le monde est un peu noyé dans la masse, dans les efforts pour gérer la crise. De nouvelles problématiques apparaissent comme la monnaie virtuelle. Il va falloir réglementer sur ce sujet pour encadrer ce dispositif. Il ne s'agit pas véritablement de monnaies, il s'agit plutôt de moyens de transaction.
C'est un droit en devenir et nous sommes en formation continue.