La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?

V. METTRE LA CYBERSÉCURITÉ À LA PORTÉE DES TPE ET PME

A. RENDRE LA CYBERPROTECTION PUBLIQUE PLUS ACCESSIBLE AUX TPE ET PME

1. Faciliter l'accès des TPE et PME aux solutions de sécurité numérique

a) Offrir aux entreprises un numéro d'appel en cas de cyberattaque

En Israël, État très exposé à la guerre numérique et qui a également constaté en 2020 une augmentation de 50 % des actes de cybermalveillance ^{172 ( * )} , la cybersécurité est « le secteur le plus privilégié par les politiques publiques » ^{173 ( * )} . C'est le premier pays au monde à avoir instauré un numéro d'urgence pour les victimes d'actes de cybercriminalité. Toute entreprise qui suspecte une attaque peut appeler le 119 gratuitement 24 heures sur 24, 7 jours sur 7, et entrer en contact avec des spécialistes.

En France, le site cybermalveillance.gouv.fr renvoie vers le numéro d'aide aux victimes du ministère de la Justice mais qui n'est destiné qu'aux particuliers.

Il manque toutefois de visibilité puisque, selon l'enquête CCI France de févier 2021 ^{174 ( * )} , seulement 24 % des dirigeants d'entreprise ont entendu parler du dispositif. La connaissance de la plateforme apparait d'autant plus lacunaire que 14 % déclarent en avoir entendu parler, mais ne pas bien voir de quoi il s'agit et 76 % n'en ont simplement jamais entendu parler . La connaissance de la plateforme est à peine meilleure dans les entreprises comptant plus de 10 salariés : 29 % de notoriété, contre 23 % dans les entreprises plus petites.

Une campagne de promotion en direction des entreprises permettrait de mieux identifier cybermalveillance.gouv.fr comme dispositif de cyberprotection. Au sein de cette plateforme , un service d'urgence pourrait être dédié exclusivement aux entreprises . Il pourrait être composé d'étudiants disposant des compétences numériques adéquates et effectuant leur service civique . Ces derniers pourraient être encadrés par la réserve citoyenne de cyberdéfense (RCC), branche de la réserve citoyenne nationale créée en 2016. Elle a pour vocation à intervenir principalement non seulement sur les réseaux du ministère des Armées mais également au profit des opérateurs d'importance vitale (OIV), des administrations et de leurs sous-traitants et mène des actions de sensibilisation et d'information, sans rôle opérationnel en cas de cyberattaque de grande ampleur.

b) Assurer une meilleure connaissance du cyberrisque

Il n'existe pas à ce jour en France d'organisme, privé ou public, dont la mission serait de collecter et d'anonymiser les incidents cyber afin de produire des statistiques qui pourraient être partagées avec tous les acteurs.

Ainsi qu'il a été dit, toutes les entreprises ne portent pas plainte après une cyberattaque et les pouvoirs publics n'ont pas une vision exhaustive de la cybermenace.

De même, l'obligation de notification à la CNIL pour les victimes d'incident cyber, en cas d'atteinte à la sécurité des données ou des systèmes d'information, a été étendue depuis le 25 mai 2018 à toutes les entreprises ayant des activités de traitement des données. Mais elle est loin d'être respectée , bien qu'elle soit lourdement sanctionnable ^{175 ( * )} et a été lourdement sanctionnée ^{176 ( * )} , d'autant que le recours à un prestataire pour la gestion des données n'exonère pas la société de son obligation de garantir la sécurité des données traitées pour son compte.

Les établissements de santé ont déjà une obligation de signalement des incidents de sécurité des systèmes d'information ^{177 ( * )} .

Cette absence de base de données fiable prive l'ensemble des acteurs économiques d'une source d'information qui contribuerait à une prise de conscience accrue du risque cyber. Elle prive également les assureurs d'un outil de travail essentiel pour modéliser les risques cyber.

L'anonymisation de ces déclarations , des victimes comme des attaquants, permettrait d'une part aux entreprises victimes de préserver leur capital relationnel, leur image de marque, et, d'autre part, de mettre en échec les stratégies de communication des cybercriminels. Ces derniers les intègrent en effet de façon croissante afin d'effrayer les entreprises, « ce qui maximise les chances des cyberassaillants d'être payés par leurs futures victimes lors de leurs prochains forfaits » ^{178 ( * )} comme il a été souligné lors de l'attaque, en mai 2021, par le groupe de cybercriminels DarkSide des réseaux de Colonial Pipeline, oléoduc alimentant le nord-est des États-Unis ^{179 ( * )} .

Un même souci de confidentialité devrait animer une réflexion sur la publicité des appels d'offre des collectivités locales pour souscrire une assurance de leurs risques cyber.

L'une des missions du GIP « ACYMA » devait être justement : « la fourniture d'éléments statistiques offrant une vue réelle et consolidée de la menace cyber afin de mieux l'anticiper à travers la création d'un observatoire dédié », qui n'a pas encore été créé. Cette proposition l'y encourage , en associant le privé et le public.

c) Créer des équipes régionales de réponse afin de mieux protéger les PME

Entre le dispositif Cybermalveillance.gouv.fr adressé aux TPE et les PME ou ETI qui sont considérées comme opérateurs d'importance vitale et cyberprotégés à ce titre par l'ANSSI, le dispositif public devrait être complété pour mieux protéger les PME par le déploiement territorial de plusieurs équipes de réponse aux incidents informatiques (CSIRT - Computer Security Incident Response Team ) dans les Régions , avec le soutien de ces dernières.

Plusieurs des schémas régionaux de développement économique, d'internationalisation et d'innovation (SRDEII) évoquent le numérique, mais ce volet devrait être précisé afin que les Régions puissent investir dans la cybersécurité, en déclinant territorialement les CSIRT.

Dans le même sens, la commission supérieure du numérique et des postes dans son avis n°2021-03 du 29 avril 2021 portant recommandations dans le domaine de la sécurité numérique préconise que la création des CSIRT en région soit l'occasion de fédérer localement les acteurs de la sécurité numérique, de les faire travailler en réseau, et de sensibiliser l'écosystème public et privé à ces problématiques . « Ce campus hébergerait le CSIRT incubé par l'ANSSI et serait notamment un véritable relais de gouvernance régional pour l'ANSSI, au service de tous les départements d'une même région pour un maillage territorial efficace. La création de ces campus régionaux pourrait s'appuyer sur l'article L.4251-13 du Code général des collectivités territoriales portant nouvelle organisation territoriale de la République, et être inscrite dans les schémas régionaux de développement économique, d'innovation et d'internationalisation ».

Cet investissement des Régions dans la cybersécurité permettrait une sensibilisation des collectivités locales, lesquelles sont à la fois insuffisamment averties du cyberrisque et totalement démunies pour s'en protéger, malgré deux publications récentes qui leur sont spécifiquement adressées :

- un guide « Sécurité numérique des collectivités locales » rédigé par l'ANSSI, en mars 2020 ;

- un guide de « sécurité numérique pour les petites et moyennes collectivités locales », en décembre 2020, réalisé par le Pôle d'excellence cyber, résultant d'un partenariat entre la Région Bretagne et le commandement de la cyberdéfense (COMCYBer).

Dans le cadre du plan France Relance, l'ANSSI bénéficie d'une enveloppe de 136 millions d'euros pour renforcer la cybersécurité de l'État et des territoires sur la période 2021-2022 ^{180 ( * )} . L'objectif est d'élever durablement le niveau de cybersécurité de l'État, des collectivités, des établissements de santé et des organisations au service des citoyens, tout en développant le tissu industriel français de cybersécurité. Cette somme doit servir au co-financement des CSIRT régionaux.

Engagées dans une transformation numérique profonde, autant pour répondre à des obligations réglementaires qu'au souci de rendre un meilleur service aux citoyens, la dépendance croissante des collectivités territoriales aux systèmes d'information, couplée à l'hétérogénéité de la taille des communes crée une fragilité , soulignée dans la Revue stratégique de cyberdéfense de 2018 ^{181 ( * )} .

Il faut aider les collectivités territoriales à se cybersécuriser en privilégiant les acteurs de proximité de la cybersécurité , ce qui suppose une adaptation du droit de la commande publique, comme développé ci-après.

« La maturité des collectivités locales est incomplète, les budgets sont insuffisants et elles ne disposent pas des compétences humaines en capacité de rédiger des appels d'offres. Malgré l'assouplissement par le décret de 2018 sur les marchés innovants ^{182 ( * )} , le droit de la commande publique constitue un frein » témoigne ainsi Erwan Keraudy, CEO de CybelAngel ^{183 ( * )} .

Afin de cybersécuriser rapidement les collectivités locales , tout en leur permettant l'acquisition de solutions nationales de cybersécurité, le décret de 2018 doit être pérennisé dans le domaine de la cybersécurité.

Elles pourraient ainsi faire appel à des solutions de cybersécurité proposées par des start-up ou PME locales, afin de favoriser l'émergence de « l'écosystème de la cybersécurité ».

d) Adapter le droit de la commande publique pour favoriser l'émergence de l'écosystème de la cybersécurité

Le marché des TPE et des PME est un marché de masse.

L'accès des entités publiques aux start-up de la cybersécurité que souhaite développer l'ÉtatÉtat passe par un assouplissement des règles de la commande publique et de fonctionnement de l'Union des Groupements d'Achats Publics (UGAP).

En effet, cette dernière a confié à Specialist Computer Company France (SCC France), acteur privé spécialiste de la transformation digitale des organisations ^{184 ( * )} , le marché relatif aux logiciels multi-éditeurs. Ce marché permet d'intégrer à l'offre de la centrale d'achat public les catalogues de plus de 800 éditeurs répondant à l'ensemble des besoins des DSI de l'État, des collectivités, et plus largement de celles de la sphère publique.

Une PME française doit donc être référencée dans le catalogue établi par cette société britannique pour être proposée à des entités publiques françaises....

Par ailleurs, la commission supérieure du numérique et des postes dans son avis précité du 29 avril 2021, préconise d'étudier une modification de la directive 2014/25/UE du 26 février 2014 relative à la commande publique des opérateurs de réseaux, « notamment pour permettre aux opérateurs de réseaux, dont les achats de produits et services de cybersécurité sont généralement soumis à cette directive, d'orienter leurs achats en la matière auprès de fournisseurs nationaux et européens. A minima, il conviendrait de définir que la cybersécurité entre dans le champ d'exclusion de l'application de la directive au profit des OIV (Opérateurs d'Importance Vitale) et OSE (Opérateurs de Services Essentiels) afin de leur permettre d'accéder à des solutions de confiance ».

2. Renforcer la cyberprotection publique des entreprises

a) Établir des plans de prévention des risques numériques

Il existe en France des plans de prévention des risques naturels (inondation, littoral, mouvement de terrain et multirisques), mais aucun document public de prévention d'une attaque numérique systémique qui ciblerait non seulement les opérateurs d'importance vitale mais toutes les entreprises, par une cyberattaque des grands fournisseurs informatique, qui, par rebond et se déployant dans la supply chain informatique, affecterait des dizaines de milliers de PME, voire de TPE.

Les grands fournisseurs d'accès , souvent en situation de monopole, sont régulièrement attaqués et ne sont pas invulnérables comme l'a montré la cyberattaque contre Microsoft Exchange début mars 2021, ayant affecté 60 000 entreprises.

Or comme l'a souligné l'étude précitée de l'Institut Montaigne : « à l'heure où les systèmes sont de plus en plus interconnectés et où les réseaux sont de plus en plus imbriqués, la France, comme tous les pays, est susceptible d'être touchée par un " ouragan cyber " », provenant d'un acteur non-étatique, qui aurait dérobé directement ou indirectement des outils d'attaques développés par un État. Selon les scénarii, une telle cyberattaque d'ampleur, qui impacterait, par exemple, 15 000 PME, 12 grandes entreprises, dont quatre dans des secteurs stratégiques et quatre ministères, coûterait entre 5 et 50 milliards d'euros , pouvant affecter tout particulièrement les PME, moins bien protégées, transformant cette cyberattaque « en une véritable crise sociétale ».

Un plan national de prévention des cyberrisques devrait être établi afin de coordonner la réponse des pouvoirs publics et des acteurs privés en cas d'attaque numérique systémique. En s'inspirant de l'entraînement de l'Estonie ^{186 ( * )} , des exercices civils de simulation de cyberattaque devraient être régulièrement organisés.

b) Renforcer le dispositif public de cyberprotection des entreprises

(1) Fédérer public et privé pour renforcer la cyberprotection

Présenté le 18 février 202 1 pour répondre aux cyberattaques ayant visé des hôpitaux et la chaîne d'approvisionnement ( supply chain) de la production de vaccins contre la COVID-19, le « plan à 1 milliard d'euros pour renforcer la cybersécurité » vise à « doubler les effectifs de la filière d'ici à 2025 » en faisant émerger des « champions français de la cybersécurité ».

Les objectifs clés fixés à l'horizon 2025 :

- multiplier par trois le chiffre d'affaires de la filière (passant de 7,3 milliards à 25 milliards d'euros) ;

- positionner la France par rapport à la concurrence internationale en doublant notamment les emplois de la filière (passant de 37 000 à 75 000) ;

- structurer la filière et repositionner la France par rapport à la concurrence internationale en nombre d'entreprises ;

- faire émerger trois licornes françaises en cybersécurité en s'appuyant sur les grandes start-up du secteur, et notamment celles membres du French Tech 120 ;

- diffuser une véritable culture de la cybersécurité dans les entreprises ;

- stimuler la recherche française en cyber et l'innovation industrielle (hausse de 20 % des brevets).

Ce plan répond également à l'interpellation du CIGREF ^{187 ( * )} du 18 novembre 2020, considérant inacceptable l'augmentation, en nombre et en intensité, des cyberattaques, constituant une menace croissante pour l'économie. Pour le CIGREF, « aucun autre secteur d'activité que celui du numérique n'accepterait de se développer dans un tel contexte de faiblesse du droit applicable et de quasi impunité des criminels ».

Or, alors que les entreprises demandent à l'État de renforcer les moyens, notamment humains de la cyberprotection publique, celui-ci renvoie aux entreprises la responsabilité de construire un écosystème censé les protéger.

Le milliard d'euros pour la cybersécurité ne peut consacrer 0 euro au renforcement du dispositif public des PME et TPE, même si la dotation supplémentaire de 136 millions en faveur de l'ANSSI est naturellement bienvenue.

Ce malentendu est d'autant plus flagrant que l'État proclame que « à la fois essentielle à la souveraineté des États, à la pérennité du développement des entreprises et à la sécurité des citoyens, la cybersécurité est un enjeu majeur du XXIe siècle. » , selon les propos de Bruno Le Maire, ministre de l'Économie, des Finances et de la Relance, tenus à l'occasion de la présentation de ce plan, sans se donner suffisamment les moyens de l'ambition qu'il affiche.

Or, selon deux experts de la cybersécurité des entreprises ^{188 ( * )} : « Le domaine judiciaire est en difficulté pour s'attaquer au cybercrime, et ce pour de nombreuses raisons : de trop nombreux dossiers, un manque d'effectifs qualifiés, un code pénal peu adapté à la lutte contre le cybercrime , des difficultés législatives liées à l'obtention et à la validité des preuves numériques, un cloisonnement entre les différents acteurs, un manque de ressources pour suivre les flux de monnaies virtuelles...

L'action répressive sur la cybercriminalité est aujourd'hui limitée par deux facteurs à l'international comme en France : d'une part, les effectifs alloués et compétents sont trop rares, et ce à toutes les échelles (la police judiciaire, la gendarmerie, Tracfin, Europol, Eurojust, et tout particulièrement la Justice). D'autre part, l'arsenal technique est limité, avec un manque d'outils souverains et fonctionnels pour mener les enquêtes numériques (citons entre autres la captation de preuves et le suivi des transactions de cryptomonnaies).

À l'échelle nationale, nous devons également lever certaines barrières pour rattraper le retard accumulé. L'un des enjeux principaux est le manque de coopération entre les nombreuses institutions, en particulier entre la justice et les services de renseignement. Un meilleur partage d'informations permettrait d'accélérer les enquêtes ».

(2) Renforcer les moyens humains de la lutte contre la cybercriminalité

Cette insuffisance de moyens humains, qui est revenue régulièrement lors des auditions conduites par les rapporteurs, a été récemment soulignée par le Sénat, malheureusement sans que leur proposition soit suivie d'effet :

La police, la gendarmerie et les magistrats doivent être mieux soutenus pour lutter à armes égales contre la cybercriminalité.

Les forces de sécurité publique recourent de façon croissante à des experts contractuels dont la rémunération doit être attractive, afin de les retenir dans un contexte, déjà évoqué, de pénurie mondiale d'ingénieurs qualifiés, et de surenchère avec le privé. Les budgets publics doivent donc être renforcés pour mieux rémunérer ces cyberexperts contractuels .

Le renforcement de la formation en cybersécurité est en cours depuis plusieurs années à l'École nationale de la magistrature, dont l'enseignement est largement numérisé. « S'il n'y a pas d'enseignement spécifique dédié à la cybercriminalité, les moyens d'investigation qui peuvent être utiles dans les dossiers relatifs à la cybercriminalité sont présentés et notamment l'expertise informatique dans les enseignements de la fonction de juge d'instruction » ^{189 ( * )} mais la faiblesse du temps consacré (quelques heures) ne permet qu'une sensibilisation des futurs magistrats.

Le renforcement de cette formation est indispensable « non seulement pour avoir une vision et une connaissance des modes opératoires des délinquants qui sont de plus en plus sophistiqués, mais également pour gérer la dimension de coopération internationale. Cette formation doit également mettre l'accent sur les techniques spéciales d'enquête harmonisées par la loi de 2019, qui sont très encadrées juridiquement et qu'il convient de sécuriser pour faire tenir les procédures . Il s'agit plus particulièrement de l'enquête sous pseudonyme, de la géolocalisation, de la captation de données à distance », selon Mme Myriam Quéméner, Avocat général près de la Cour d'Appel de Paris ^{190 ( * )} . Compte tenu de l'évolution permanente de la cybercriminalité, cette formation doit être continue.

Il serait également nécessaire que les magistrats soient intégrés à la communauté cyber et participent aux think tanks et aux divers événements rassemblant les professionnels de la matière. La technicisation croissante de la cybercriminalité suppose également de créer, non seulement au Parquet, mais également au Siège et à chaque degré de juridiction, un département cyber numérique étoffé, composé de magistrats et de cadres spécialisés .

Enfin, le pôle spécialisé du Parquet de Paris doit être étoffé car les effectifs actuels, trois magistrats, sont notoirement insuffisants. La création d'un Parquet national de lutte contre le cybercrime pourrait être envisagée.

(3) Adapter les procédures judiciaires pour lutter plus efficacement contre la cybercriminalité

Bien que le temps de la justice reste globalement trop lent en comparaison avec l'environnement extrêmement dynamique de la cybercriminalité, il n'existe pas encore de procédure de « cyberréféré » lui permettant d'accélérer ses interventions.

Il convient en priorité de mettre l'accent sur l'adaptation de la procédure pénale aux infractions numériques de masse.

Ainsi, les infractions d'atteinte aux systèmes de traitement automatisé de données (STAD) ne sont pas mentionnées aux articles 706-73 et 706-73-1 du code de procédure pénale alors que les cybercriminels disposent des connaissances et des moyens techniques pour réduire leurs traces numériques, agir de façon anonyme notamment par l'utilisation de cryptoactifs.

Il est également nécessaire d'adapter les obligations pesant sur les opérateurs nationaux de télécommunications pour réduire le nombre de déplacements inutiles des forces de sécurité sous de faux prétextes ou d'escroquerie, qui sont générés par appels téléphoniques masquant le véritable numéro d'appel par un numéro de téléphone appelé ne correspondant pas à la réalité. Le numéro présenté reprend fréquemment le numéro géographique d'un commissariat de Police ou autre afin de tromper plus facilement son interlocuteur.

Ce « spoofing » est rendu possible notamment par l'utilisation de services internet dédiés à cette activité, qui émettent les appels, via des opérateurs internationaux. Le lien entre l'appel et le service internet est rendu très difficile par le fait que l'acheminement de l'appel à l'international transite par plusieurs opérateurs internationaux avant d'arriver sur le territoire. S'agissant d'appels provenant de l'étranger, les opérateurs nationaux n'ont pas d'obligation de vérification de l'adéquation entre l'opérateur acheminant l'appel et le numéro affiché.

Enfin, et d'une manière générale, les difficultés sont récurrentes pour obtenir une preuve numérique : les éléments constitutifs de l'infraction sont dématérialisés et extraterritorialisés ; l'absence de conservation des données ou l'utilisation de Virtual Private Networks (VPN) ou de TOR ^{191 ( * )} , destinés à préserver l'anonymat des utilisateurs du réseau, comme les outils de chiffrement, obligent les enquêteurs à multiplier les actes d'enquête pour retrouver l'auteur des faits.

Comme l'a souligné Myriam Quémener, avocate générale près la cour d'appel de Paris, « la matière pénale renforce les exigences sur les enquêteurs qui devront pouvoir démontrer son origine et son authenticité aux avocats et aux magistrats. Le respect de la procédure d'accès à la preuve numérique est d'une importance fondamentale car elle permet de démontrer l'intégrité des données électroniques et d'expliquer la manière dont elles ont été obtenues en conformité avec les droits des parties » ^{192 ( * )} .

Il est donc nécessaire de renforcer les échanges d'information avec les opérateurs privés : « Microsoft connaît mieux la cybersécurité des entreprises françaises que la cybersécurité publique nationale mais ne partage pas toujours cette information », et de développer la coordination avec le dispositif « Cybermalveillance.gouv.fr ». S'agissant du secteur privé, le rôle des opérateurs de réseau pourrait être conforté. Il pourrait ainsi sensibiliser leurs clients à la cybersécurité, voire renforcer cette dernière, moyennant une majoration marginale du coût des abonnements.

La place de l'ANSSI dans le dispositif pénal, et la répartition des rôles entre les investigations techniques et les investigations judiciaires, devraient être précisées car l'essentiel est d'apporter des preuves ^{193 ( * )} , ce que seule l'ANSSI peut techniquement opérer. Sur ces deux éléments (coopération avec le privé et avec l'ANSSI), une base législative au traitement et au partage de l'information doit être créée.

Le projet de loi relatif à la prévention d'actes de terrorisme et au renseignement ^{194 ( * )} , en cours d'examen par l'Assemblée nationale, renforce le partage d'information mais seulement en matière de terrorisme .

Par ailleurs, une proposition de loi de l'Assemblée nationale (n°2778), visant à renforcer la cybersécurité française, a été déposée le 24 mars 2020 par M. Jean-Louis Thiériot (LR) et d'autres députés. Elle prévoit qu'en cas d'attaque informatique ou de pré-positionnement d'implants logiciels qui visent « les systèmes d'information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation », les services de l'État puissent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l'attaque et à la neutralisation de ses effets en accédant aux systèmes d'information qui sont à l'origine de l'attaque. À cet effet, l'article unique vise à compléter l'article L.2321-2 du code de la défense. La notion de « potentiel économique » permet d'englober les cyberattaques contre les TPE et PME.

(4) Mettre à profit la Présidence française de l'Union européenne pour approfondir la coopération européenne en matière de lutte contre la cybercriminalité

Pour renforcer la coopération européenne dans la lutte contre la cybercriminalité, la présidence française de l'Union européenne (PFUE) au premier semestre 2022 devra être mise à profit pour porter ces différents sujets auprès des États-membres et des institutions, afin de renforcer la sécurité et la protection de l'espace numérique européen.

Des négociations sont actuellement en cours au niveau de l'Union européenne, dans le cadre du paquet « e-evidence », afin d'harmoniser les règles de recueil de la preuve numérique applicables à l'échelle européenne. Elles ont toutefois été ralenties par la crise sanitaire. Actuellement, la durée de conservation des données par chaque hébergeur n'obéit à aucune norme commune dans l'Union européenne. Ce recueil doit également garantir que la preuve n'a pas été falsifiée.

Par ailleurs, une harmonisation de la position de l'Union européenne sur une vision plus offensive de la cybersécurité est nécessaire.

L'interdiction juridique des perquisitions virtuelles ou de la fabrication et l'implantation d'éléments de neutralisation de logiciels malveillants dans des ordinateurs situés à l'étranger avait été évoquée dans le rapport du Sénat précité mais n'a toujours pas trouvé de réponse juridique satisfaisante.

Est-il permis d'apporter une modification, sans l'accord de leur propriétaire ni des États concernés, à des ordinateurs situés à l'étranger ?

Dans la résolution de l'affaire REDATUP en 2019, le C3N n'avait pas porté atteinte à un STAD puisque ce sont les ordinateurs contaminés qui se connectaient au serveur présent sur le territoire national, sans qu'il leur soit ordonné de réaliser de codes supplémentaires. Mais serait-il envisageable que des données plus intrusives soient envoyées vers les ordinateurs de particuliers ou d'entreprises à l'étranger, sans les en informer, dans le but de « nettoyer » ces machines, voire dans le but de neutraliser un botnet à distance ?

Sur ce sujet, le rapport du Sénat appelait à une « réflexion européenne et internationale afin de définir les pratiques qui sont juridiquement acceptables et de prévoir des règles de bonne conduite dans les relations entre État s ».

Elle pourrait déboucher dans les négociations (entamées depuis 2017) portant un deuxième protocole additionnel à la convention du Conseil de l'Europe sur la cybercriminalité du 23 novembre 2001, dite convention de Budapest ^{195 ( * )} .

(5) Approfondir la coopération mondiale contre la cybercriminalité

Par ailleurs, tant que le numérique reste dominé par les acteurs privés américains, une coopération juridique entre l'Union européenne et les États-Unis demeure la clé de voûte de la cybersécurité .

Aux États-Unis, il n'existe pas d'obligation générale de conservation minimale des données pour une utilisation éventuelle par les services de police ou de justice. Malgré les coopérations existantes, « le traitement des demandes (liées par exemple aux GAFAM Google, Amazon, Facebook, Apple, Microsoft), adressées par les autorités judiciaires françaises aux autorités judiciaires américaines, prennent parfois plusieurs semaines, hormis en cas d'urgence vitale, et peuvent ne pas aboutir, notamment lorsque la liberté d'expression, moins restrictive que l'analyse juridique de la France, est en jeu » ^{196 ( * )} .

Un mandat de négociation a été confié à la Commission européenne pour organiser l'accès réciproque à la preuve électronique dans la relation avec les États-Unis, en application du Cloud Act américain. Quatre sessions de négociation ont eu lieu entre septembre 2019 et mars 2020. « Toutefois, la Commission européenne lie la poursuite de ces négociations à celles du paquet « e-evidence », soulignant la nécessité de disposer de positions consolidées au niveau européen avant de poursuivre les discussions avec les États-Unis au-delà des aspects techniques relevant des États membres. Aucune nouvelle session de négociation n'a eu lieu depuis mars 2020 », selon une réponse ministérielle récente ^{197 ( * )} .

« Les criminels utilisent des technologies rapides et modernes pour organiser leurs crimes et dissimuler les preuves. Une grande partie des données nécessaires pour traquer ces criminels sont conservées aux États-Unis ou par des compagnies américaines. Il est temps de travailler à un accord global entre l'Union européenne et les États-Unis pour accélérer l'accès de nos autorités judiciaires à ces preuves » , avait plaidé la commissaire européenne à la Justice, Vera Jourova, en février 2019.

---

* ¹⁷² « An increase of about 50% in reports to the 119 center of INCD on cyber incidents in 2020 », Israel National Cyber Directorate, 31 janvier 2021.

* ¹⁷³ « La cyberpuissance israélienne. L'essor inachevé de la start-up nation ? », études de l'Ifri, novembre 2020.

* ¹⁷⁴ Étude réalisée du 12 au 18 février 2021 par OpinionWay, auprès d'un échantillon de 608 dirigeants d'entreprise.

* ¹⁷⁵ Les violations des dispositions concernant la sécurité des données peuvent être sanctionnées par une amende administrative d'un maximum de 10 millions d'euros ou de 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

* ¹⁷⁶ Les sociétés Dailymotion et Uber ont été sanctionnées par la CNIL, en juillet et décembre 2018, pour manquement à la sécurité des données de leurs clients, à des amendes respectives de 50 000 € et de 400 000 €.

* ¹⁷⁷ Article L.1111-8-2 du code de la santé publique : « Les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l'agence régionale de santé les incidents graves de sécurité des systèmes d'information. Les incidents de sécurité jugés significatifs sont, en outre, transmis sans délai par l'agence régionale de santé aux autorités compétentes de l'État. Un décret définit les catégories d'incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d'information ». Le décret d'application n°2016-1214 du 12 septembre 2016 précise que les incidents graves de sécurité des systèmes d'information du secteur santé doivent être signalés sans délai à compter du 1 ^er octobre 2017.

* ¹⁷⁸ « 5 choses à savoir sur Darkside, le groupe de cybercriminels qui prend en otage le pétrole américain », Nicolas Richaud , Les Echos, 11 mai 2021.

* ¹⁷⁹ « Five signs ransomware is becoming an industry », Roman Dedenok , Kapersky Daily, 16 avril 2021.

* ¹⁸⁰ Voir le document :

https://www.ssi.gouv.fr/uploads/2021/02/anssi-france_relance-cybersecurite_proteger_services_publics_et_collectivites_territoriales.pdf

* ¹⁸¹ Voir le guide « Sécurité numérique des collectivités locales » rédigé par l'ANSSI en mars 2020 :

https://www.ssi.gouv.fr/uploads/2020/01/anssi-guide-securite_numerique_collectivites_territoriales-reglementation1.pdf

* ¹⁸² Le décret du 24 décembre 2018 portant diverses mesures relatives aux contrats de la commande publique crée une expérimentation de trois ans permettant aux acheteurs de passer des marchés négociés sans publicité ni mise en concurrence préalable pour leurs achats innovants d'un montant inférieur à 100.000 euros.

* ¹⁸³ Audition du 6 mai 2021.

* ¹⁸⁴ Suite à un accord-cadre lancé par l'UGAP en février 2012 et de la mise en concurrence en février 2017, renouvelé en 2019.

* ¹⁸⁵ Jusqu'à 100 000 euros HT.

* ¹⁸⁶ Le dernier exercice de cyberdéfense s'est tenu à Tallinn (Estonie) du 13 au 16 avril 2021. Il a réuni 2000 spécialistes occidentaux issus de 22 pays. Selon le scénario, une « Red Team » (attaquants) aurait déclenché une vaste série d'incidents cyber contre le « Berylia », un pays situé près de l'Océan Atlantique. L'attaque aurait visé les infrastructures critiques, dont le secteur de l'eau et le secteur financier, et les systèmes de communication militaires.

* ¹⁸⁷ Fondé en 1970, le CIGREF organise, anime, synthétise et diffuse la pensée collective de ses membres sur leurs principaux enjeux numériques. Il entretient des relations de dialogue avec leurs principaux fournisseurs afin de traiter collectivement les difficultés rencontrées. Il compte 150 adhérents, grandes entreprises et administrations publiques françaises représentant un chiffre d'affaires cumulé de 1 700 Md€, 9 millions de salariés, 200 000 employés internes dans l'IT et les systèmes d'information, pour une dépense annuelle de 50 Md€ dans les solutions et services numériques.

* ¹⁸⁸ « Cybercrime : briser la rentabilité », Gérôme Billois, Marwan Lahoud, Blog de l'Institut Montaigne, 16 mars 2021.

* ¹⁸⁹ Réponse écrite de l'ENM au questionnaire de la Délégation aux entreprises, 17 mars 2021.

* ¹⁹⁰ Audition du 15 avril 2021.

* ¹⁹¹ TOR ( T he O nion R outer - le suffixe des domaines natifs de TOR .onion, étant devenu synonyme de liberté sur internet, TOR étant parfois surnommé « onionland ») est de loin la plus connue et la plus importante des portes d'entrée du Darknet (autrefois appelé « Arpanet »). Ce dernier est un ensemble de réseaux et de technologies utilisés pour partager du contenu numérique. Il est formé par l'ensemble des darknets et des outils associés de préservation de la confidentialité. Il permet un partage anonyme, chiffré, sans divulgation des adresses IPs de chacun, grâce à des protocoles spécifiques intégrant nativement des fonctions d'anonymisation. Le Darknet contient, entre autre, le darkweb.

* ¹⁹² Audition du 15 avril 2021.

* ¹⁹³ La question de l'accès à la preuve numérique dépasse d'ailleurs le cadre de la lutte contre la cybercriminalité : dans les affaires d'une certaine complexité, quelle qu'en soit la nature, les enquêteurs ont souvent comme premier réflexe d'exploiter des données de téléphonie mobile, de vidéosurveillance ou de solliciter des expertises informatiques, ce qui témoigne de la nécessité de sécuriser ces données.

* ¹⁹⁴ N°4104 du 28 avril 2021.

* ¹⁹⁵ Établie dans le cadre du Conseil de l'Europe, seul traité à portée universelle sur ce sujet. Son objectif principal est de poursuivre une politique pénale commune destinée à protéger la société de la criminalité dans le cyberespace, notamment par l'adoption d'une législation appropriée et l'amélioration de la coopération internationale.

* ¹⁹⁶ « Le droit pénal à l'épreuve des cyberattaques », Club des Juristes, avril 2021.

* ¹⁹⁷ Réponse du 8 décembre 2020 à la question n° 33267 adressée au Ministre de l'Europe du 20 octobre 2020 de Mme Marielle de Sarnez .