Allez au contenu, Allez à la navigation

La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?

10 juin 2021 : La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? ( rapport d'information )

II. UN ÉTAT CONSACRANT DES MOYENS INSUFFISANTS À LA CYBERSÉCURITÉ DES TPE ET PME

A. UN DISPOSITIF RÉGALIEN DE CYBERPROTECTION COMPLEXE

Un récent rapport d'information84(*) fait au nom de la commission des affaires européennes et de la commission des lois du Sénat, du 9 juillet 2020, a présenté le dispositif de lutte contre la cybercriminalité.

1. Un dispositif de lutte contre la cybercriminalité à la recherche d'une constante coordination

En France, l'accès au dispositif public s'effectue par cybermalveillance.gouv.fr qui a enregistré en 2020 une hausse de fréquentation de + 155 %, toutes victimes confondues. Parmi elles, ce sont plus de 10 000 entreprises qui sont venues y chercher de l'assistance à la suite d'une attaque. Ce dispositif est pour l'instant peu connu de la grande majorité des entreprises.

Il vient compléter PHAROS (Plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements), site web créé en 2009 par le Gouvernement pour permettre aux internautes de signaler des contenus et comportements illicites repérés en ligne et qui s'adresse au grand public, et le site Signal Spam, pour les pourriel (spam).

Derrière ce guichet unique, interviennent ensuite plusieurs acteurs publics :

- Au sein de la gendarmerie, le centre de lutte contre les criminalités numériques (C3N) est chargé de piloter la lutte contre la cybercriminalité ;

- Au sein de la direction centrale de la police judiciaire (DCPJ) du ministère de l'intérieur, a été créée une sous-direction en charge de la lutte contre la cybercriminalité (SDLC) ;

- À la préfecture de police de Paris, existe également une unité de police judiciaire spécialisée dans la lutte contre la cybercriminalité : la Brigade de lutte contre la cybercriminialité (BL2C) -ancienne brigade d'enquête sur les fraudes aux technologies de l'information (BEFTI)- compétente pour les affaires relevant de l'accès ou du maintien frauduleux dans un système de traitement automatisé des données (STAD).

Aux côtés de ces trois acteurs, la cellule Cyberdouane de la direction nationale du renseignement et des enquêtes douanières (DNRED), le service de traitement du renseignement et d'action contre les circuits financiers (Tracfin) et le service national des enquêtes (SNE) de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) du ministère de l'Économie peuvent être saisis de dossiers en lien avec la cybercriminalité.

Au sein du ministère de la Justice enfin, le procureur de la République, le pôle de l'instruction, le tribunal correctionnel et la cour d'assises de Paris disposent d'une compétence concurrente nationale85(*) en matière d'atteintes aux systèmes de traitement automatisé de données (STAD) et d'atteintes aux intérêts fondamentaux de la Nation (ce qui peut couvrir des hypothèses de cyber-sabotage). Cette juridiction nationale chargée de la lutte contre la criminalité organisée (JUNALCO) est confiée, au sein du parquet, à la section J3.

Les rapporteurs et le président de la Délégation aux entreprises du Sénat se sont successivement rendus dans les locaux du C3N le 13 avril, de la SDLC et du BL2C le 28 avril.

Ce dispositif public, éclaté et difficile à lire pour les entreprises, présente certaines caractéristiques originales :

- Un équilibre entre centralité de la compétence technique et la proximité, avec la possibilité de déposer plainte dans les gendarmeries et commissariats dans les territoires, malgré l'absence de dépôt de plainte en ligne (le projet Thésée du ministère de la Justice n'étant pas encore opérationnel). Le projet de création de CERT86(*) régionaux va dans le bon sens car il faut des capteurs de terrain ;

- Une répartition originale des compétences police-gendarmerie non en fonction de la localisation de l'infraction (critère territorial) mais en fonction de la famille de cyberattaque (de rançongiciel) à traiter (critère fonctionnel) : c'est en effet le Parquet (la section J3) qui répartit le traitement des plaintes entre le C3N, l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), et la Sous-direction de lutte contre la cybercriminalité de la police nationale et dispose de la Brigade de Lutte contre la Cybercriminalité (BLCC) de la Préfecture de police de Paris (qui conserve toutefois une compétente territoriale, pour Paris et petite couronne : 75, 92, 93 et 94). Cette répartition des compétences par famille de cyberattaque impose une neutralité de la taille de l'entreprise, qu'elle soit une TPE, une PME ou une grande entreprise, dans le traitement judiciaire de la cyberattaque ;

- Une coopération européenne qui fonctionne bien et qui permet la création d'équipes communes d'enquête (ce qui ne serait pas possible en France, faute de cadre juridique de partage de l'information), ainsi qu'une coopération public-privé, avec les opérateurs privés numériques (via le CLUSIF ou le CESIN). La DCPJ a signé récemment, le 13 janvier 2021, une convention de partenariat avec le cabinet de conseil Wavestone88(*), afin de partager l'information à des fins de prévention comme de remédiation. De même, la Direction générale de la sécurité intérieure (DGSI) travaille depuis 2015 avec la startup Palantir89(*) afin d'établir une cartographie des réseaux criminels et terroristes, bien qu'une alternative française soit possible selon Thalès90(*) ;

- Une capacité de projection de forces d'intervention sur le terrain à même de rassurer un dirigeant d'entreprise qui « ne comprend pas ce qui lui arrive », est confronté à un « ennemi invisible ». La priorité d'une PME attaquée n'est pas de déposer plainte, « compte-tenu de l'état de sidération de la victime », qui, le plus souvent, ignore les compétences numériques de la Gendarmerie. L'expertise numérique acquise par la Gendarmerie change son image auprès des dirigeants d'entreprise lorsqu'ils se rendent compte qu'elle est capable de les aider à sauver leur entreprise.

2. Une justice trop démunie face à une cybercriminalité industrialisée

À l'issue des déplacements et des auditions effectuées par la Délégation aux entreprises du Sénat, et notamment de sa table-ronde du 15 avril 2021, , plusieurs enseignements peuvent être soulignés.

Il est indispensable de renforcer les moyens humains et budgétaires. Le pôle du Parquet avec trois magistrats mériterait notamment d'être étoffé. Paradoxalement, ce n'est pas une solution suffisante car « les cybercriminels pourraient noyer la procédure judiciaire en lançant 10 000 attaques quotidiennes nécessitant autant d'actes d'instruction judiciaire ».

Un exemple des limites actuelles des outils juridiques pour lutter efficacement contre la cybercriminalité est l'affaire Vinnik. Ce dernier n'a pu être condamné que sur le fondement d'incriminations classiques.

RANÇONGICIEL LOCKY : VINNIK RELAXÉ DES FAITS DE CYBERCRIMINALITÉ
MAIS CONDAMNÉ POUR BLANCHIMENT

« Le tribunal correctionnel de Paris a relaxé lundi Alexander Vinnik des faits de cybercriminalité liés au rançongiciel Locky mais l'a condamné pour blanchiment organisé à cinq d'emprisonnement et 100 000 € d'amende. Le parquet avait requis dix ans et 750 000 €.

Dossier emblématique de la section cybercriminalité du parquet de Paris, le dossier Locky, du nom de ce rançongiciel qui a fait plus de 5 000 victimes dans le monde entre 2016 et 2018, vient d'être au trois quarts balayé par la 13e chambre du tribunal correctionnel de Paris. L'unique prévenu de cette affaire, Alexander Vinnik, un Russe de 41 ans, a été relaxé de treize des quatorze chefs de prévention.

Si, lors du procès, le ministère public l'a dépeint comme le « chef d'orchestre » de ce rançongiciel, le tribunal semble l'avoir plutôt considéré comme un deuxième, si ce n'est un troisième soliste. Quant aux autres membres de l'orchestre, personne ne connaîtra leur partition, l'enquête ne les ayant jamais identifiés.

Le tribunal n'a donc pas retenu l'extorsion de fonds en bande organisée, l'association de malfaiteurs et toutes les infractions liées à la cybercriminalité comme l'accès frauduleux dans tout ou partie d'un système de traitement automatisé de données.

En revanche, ce citoyen russe de 41 ans est condamné pour blanchiment en bande organisée commis entre le 1er janvier 2016 et le 25 juillet 2017, le tribunal considérant qu'il y avait « suffisamment d'éléments à charge en procédure » montrant son implication dans des opérations de blanchiment « des sommes issues des infractions au rançongiciel Locky » via la plateforme de cryptomonnaie Btc-e.

Apparu en 2016, le rançongiciel Locky a touché près de 5 700 personnes dans le monde, dont 183 en France. Une pièce jointe était adressée par mail à des particuliers, des entreprises ou collectivités locales. Une fois ouverte, le logiciel malveillant cryptait les données informatiques. En échange d'une rançon payable en bitcoin, les victimes recevaient une clé de déchiffrement permettant de récupérer les données.

Les rançons ont alimenté plusieurs comptes avant d'en abonder deux autres sur la plateforme Btc-e liés à Alexander Vinnik. Ces fonds en bitcoin ont ensuite été convertis en monnaie fiduciaire avant de disparaître dans la nature. Selon l'accusation, l'enquête aurait permis d'établir qu'Alexander Vinnik aurait reçu 76 % des rançons payées par l'ensemble des victimes de ce rançongiciel, soit un peu plus de huit millions de dollars.

Cette plateforme a été fermée le 15 juillet 2017 à la demande des autorités américaines, le jour de l'interpellation en Grèce de M. Vinnik qui y passait des vacances en famille. Il a été remis à la France en janvier 2020.

Le tribunal a condamné M. Vinnik à verser près de 35 000 € de dommages et intérêts à sept parties civiles et en a débouté dix-neuf autres. Sa défense réfléchit à un appel. Tout comme le parquet de Paris ».

Source : Dalloz actualité, Pierre-Antoine Souchard, 8 décembre 2020.

Pour lutter efficacement contre la cybercriminalité, les services de cyberprotection ont besoin de conserver les données relatives au trafic et à la localisation d'un réseau de communication91(*). Ce recueil fait l'objet de 40 000 demandes par an.

Alors que le droit français impose aux opérateurs de télécommunication de conserver pendant un an toutes les données de connexion des utilisateurs pour les besoins du renseignement et des enquêtes pénales, la Cour de Justice de l'Union européenne avait fortement limité la possibilité d'imposer aux opérateurs la conservation des données de connexion92(*).

Qualifiée dans un récent rapport de l'Assemblée nationale93(*) de « difficulté majeure » pour la lutte contre la cybercriminalité, et de « holdup jurisprudentiel », cette jurisprudence a toutefois été désamorcée par le Conseil d'État qui a estimé, dans un récent arrêt d'Assemblée French Data Network du 21 avril 2021, que la conservation généralisée aujourd'hui imposée aux opérateurs par le droit français est bien justifiée par une menace pour la sécurité nationale94(*).


* 84 Rapport n°613 (2019-2020) de Mme Sophie Joissains et M. Jacques Bigot.

* 85 Depuis la loi n°2019-222 du 23 mars 2019 et la circulaire du 17 décembre 2019.

* 86 Un CERT (Computer Emergency Response Team)87 a pour tâches la centralisation des demandes d'assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d'informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ; le traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d'informations avec d'autres CERT, contribution à des études techniques spécifiques ; l'établissement et la maintenance d'une base de données des vulnérabilités ; la prévention par diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou au pire leurs conséquences ; la coordination éventuelle avec les autres entités : opérateurs et fournisseurs d'accès à Internet, CERT nationaux et internationaux.

* 88 Cabinet de conseil indépendant, le cabinet Wavestone accompagne les entreprises et administrations dans la sécurisation de leur transformation numérique depuis les phases stratégiques, jusqu'à la déclinaison opérationnelle et dispose de 600 consultants répartis dans le monde. Il propose également des prestations de réponse en urgence à incidents de sécurité et de gestion de crises en cas de cyberattaques. À cette fin, il a mis en place un centre de réponse à incident, pôle d'expertise dans la lutte contre la cybercriminalité : le CERT-Wavestone (CERT-W) alliant expertises fonctionnelles, sectorielles et techniques, première, et actuellement la seule équipe en France ayant reçu la qualification de « Prestataire de Réponse à Incident de Sécurité (PRIS) » délivré par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) décision n°1443 du 29/06/2020. D'autres sont en cours de qualification : Airbus CyberSecurity SAS, AMOSSYS, Capgemini Technology Services / Sogeti ESEC, Intrinsec, LEXFO, Orange Cyberdéfense, THALES SIX GTS France SA.

* 89 La société fondée en 2004 par Peter Thiel, cofondateur de PayPal et conseiller de Donald Trump, Alex Karp et Nathan Gettings, entrée à la Bourse de New York fin septembre 2020 et valorisée à près de 13 milliards d'euros, est un partenaire stratégique du gouvernement américain (NSA, CIA, FBI, forces armées...). Dès sa création, le fonds d'investissement de la CIA, In-Q-Tel, a investi deux millions de dollars dans la start-up. Son logiciel d'analyse de données est développé à partir d'un outil utilisé par PayPal pour détecter les flux financiers douteux.

* 90 « Une alternative française au logiciel d'analyse de données de Palantir est possible, d'après Thales », Alice Vitard, L'Usine digitale, 26 octobre 2020.

* 91 Ces données, parfois appelées « métadonnées » pour les distinguer de celles qui portent sur le contenu des échanges, comprennent trois catégories :

- les données d'identité, qui permettent d'identifier l'utilisateur d'un moyen de communication électronique (par exemple les nom et prénom liés à un numéro de téléphone ou l'adresse IP par laquelle un utilisateur se connecte à internet) ;

- les données relatives au trafic, parfois appelées « fadettes », qui tracent les dates, heures et destinataires des communications électroniques, ou la liste des sites internet consultés ;

- les données de localisation, qui résultent du « bornage » d'un appareil par l'antenne relais à laquelle il s'est connecté.

* 92 Dans ses jurisprudences Digital Rights Ireland et Seitlinger, 8 avril 2014 puis Tele2 Sverige et Watson e.a. 21 décembre 2016, Ministerio fiscal 2 octobre 2018.

* 93 Rapport d'information n°3069 du 10 juin 2020 sur l'évaluation de la loi du 24 juillet 2015 sur le renseignement.

* 94 Le Conseil d'État a estimé que, pour les infractions pénales, la solution suggérée par la CJUE de conservation ciblée en amont des données n'est ni matériellement possible, ni - en tout état de cause - opérationnellement efficace. En effet, il n'est pas possible de pré-déterminer les personnes qui seront impliquées dans une infraction pénale qui n'a pas encore été commise ou le lieu où elle sera commise. Toutefois, la méthode de « conservation rapide » autorisée par le droit européen peut à ce jour s'appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales.

S'agissant de la distinction établie par la Cour entre la criminalité grave et la criminalité ordinaire, pour laquelle elle n'admet aucune conservation ou utilisation de données de connexion, le Conseil d'État rappelle que le principe de proportionnalité entre gravité de l'infraction et importance des mesures d'enquête mises en oeuvre, qui gouverne la procédure pénale, justifie également que le recours aux données de connexion soit limité aux poursuites d'infractions d'un degré de gravité suffisant.