III. ORGANISATION DE LA SÉCURITÉ NUMÉRIQUE
De nombreux domaines sont aujourd'hui confrontés à la gestion de situations de crise nées de la mise en danger de leur sécurité numérique. Le besoin de mesures institutionnelles est alors ressenti concernant les institutions spécialisées, leur rôle et leur accès, les normes, l'arsenal juridique, les certifications, les aides financières.
Le rôle des institutions spécialisées est d'apporter une aide au sein d'un écosystème. Pour être efficace, ces institutions ont intérêt à être multi-échelle en s'adressant aussi bien aux individus, entreprises, communautés, pays, continents et monde, dans les buts de faciliter la circulation des informations qui proviennent du contexte, d'ajuster les actions correctives et, enfin, de mesurer les variations de la cybercriminalité.
En outre, leur rôle, qui comprend la prévention comme le contrôle, mérite bien le nom de gouvernance. Ce système hiérarchique favorise la circulation des informations de contrôle en dépit des conflits d'intérêts. À noter que le mode d'accès aux institutions traduit leur capacité à rendre le service attendu d'elles ; cette caractéristique est donc essentielle.
A. LES INVESTIGATIONS DES OBSERVATOIRES PUBLICS ET PRIVÉS
Au-delà de l'évaluation de la criminalité numérique déjà évoqué, la notion d'attaque et sa mesure gagneraient à être précisées.
C'est avec ses repères sociétaux habituels que l'internaute s'engage dans l'échange. Parmi les préjudices remarquables, résultant d'actes interagissant entre les sphères sociétales et technologiques, le vol d`identité qui selon les statistiques du gouvernement québécois - l'un des rares à communiquer sur ce sujet - toucherait près de 15 % de la population d'internautes. L'obtention de telles statistiques bute sur la difficulté de s'accorder sur une définition technique et juridique d'un tel vol, d'où le fait que tous les pays n'en comptabilisent pas les mêmes formes. De plus, seule une minorité de victimes (21,8 % au Québec) déclarerait ce type de préjudice.
Enfin, le manque de méthodologie de surveillance est lié aux faibles taux constatés de ce délit et aux dommages limités qu'il entraîne en raison notamment de la politique de dédommagement systématique menée par les établissements financiers.
En France, en 2013, ce sont 236 millions d'euros de petits cyberlarcins qui ont été commis au moyen de malveillances dans les échanges technologiques et sociaux.
La dangerosité ne provient pas des conséquences de tels larcins (d'un montant estimé inférieur à 100 $ par victime) mais de son étendue dans le temps (réitération et récidive) et dans l'espace (absence de frontières) ainsi que de la facilité insidieuse de son mode opératoire. L'étendue se traduit en plus du nombre de victimes par la nature très variée de son utilisation allant de la fraude bancaire (obtention de crédit), à la fraude aux services, qu'il s'agisse d'immigration, de terrorisme ou de justice.
En dehors de l'utilisation frauduleuse de cartes de crédit ou de cartes Vitale, le vol d`identité consiste aussi pour le délinquant à voler ou obtenir des « renseignements d'identification personnelle » ou des « documents d'identification personnelle » comme, par exemple, un permis de conduire, un certificat de naissance, une carte de sécurité sociale, un badge d'employé ou encore à diffuser ou vendre de l'« information d'identification personnelle », comme une facture de services publics ( EDF ), à un groupe du crime organisé.
À ces inquiétudes sapant la confiance que l'on peut éprouver envers un système technologique, vient s'ajouter l'incompréhension née de résultats statistiques contradictoires en fonction des différents observatoires privés ou publics de la sécurité consultés. Par exemple, les statistiques d'incidents publiés par le CERT évaluent le risque d'intrusion en France à 8 % environ.
L'enjeu de publier des statistiques cohérentes est extrêmement fort puisque c'est au travers d'outils d'informations pertinentes et utiles que les usagers retrouveront leur confiance dans l'Internet.