En 2018, en France, 80 % des entreprises (grandes entreprises et PME) ont été victimes d’un incident de cybercriminalité et ce taux est passé à 90 % en 2019. Sur le plan mondial, la cybercriminalité devrait coûter aux entreprises 6 000 milliards de dollars par an à partir de 2021. Sous l’égide du Club des juristes, un rapport détaillé propose de mieux utiliser le droit comme arme de lutte contre la cyberdélinquance, tout en pointant du doigt les mécanismes qu’il serait judicieux de mettre en place rapidement.
Cyberattaques : le bouclier juridique doit devenir une arme
Fini le temps des braquages de banques spectaculaires. Désormais, la plupart des vols et escroqueries ont lieu en ligne. Mais "le Web n’est pas une zone de non-droit !", rappelle Nicolas Arpagian, directeur de la stratégie et des affaires publiques d’Orange Cyberdefense et membre de la commission ad hoc cyber risk du Club des juristes qui vient tout juste de publier un rapport consacré au droit pénal à l’épreuve des cyberattaques, à destination des juristes, des directeurs des systèmes d’information, des régulateurs et des pouvoirs publics. Principale conclusion de ce groupe de travail qui a réuni des professionnels du droit, des technologies et des forces de police : le droit est suffisamment dense pour devenir une arme redoutable. Encore faut-il avoir les moyens financiers et humains pour ce faire.
Une cybersphère sans frontières
Obstacle majeur : la cybercriminalité est par essence mondiale et sans frontières là où le droit est national, au mieux européen. Le constat est sans appel : les cyberdélinquants atteignent simultanément en quelques clics des personnes et des entreprises sur tout le globe. Cette lutte impose dès lors une coopération internationale entre les États, souvent "frileux de céder une part de leur souveraineté et très précautionneux de leurs intérêts stratégiques", explique Nicolas Arpagian. Au fil des années, les pays se sont dotés de règles sanctionnant les infractions en ligne et ont créé des agences nationales chargées de la sécurité informatique, telle que l’Anssi en France. Mais encore faut-il que les victimes sachent vers qui se tourner pour porter plainte face à des cyberpirates se déplaçant facilement d’un pays à l’autre et, donc, d’un droit à un autre droit. Il existe un décalage entre le caractère national du droit et la nécessité d’une coopération policière judiciaire internationale.
Une coopération internationale insuffisante
Sur le plan européen, l’Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa) a été créée dès 2004 afin d’aider l’Union européenne et les États membres à être mieux équipés et préparés pour prévenir et détecter les problèmes de sécurité de l’information et y répondre. "Si sa création part d’une bonne intention, son budget reste inférieur à celui du CSA français", modère le spécialiste de la cybersécurité chez Orange. Ce à quoi s’ajoute un éloignement géographique certain : ses bureaux sont basés à Heraklion en Crète et à Athènes, bien loin des centres décisionnels de l’Union européenne et donc de ses préoccupations. "Les compétences en la matière étant rares, les États cherchent à conserver leurs connaissances techniques sur leur sol", ajoute Nicolas Arpagian. Les gouvernements européens ne sont donc pas encore prêts à passer d’une coopération à une collaboration.
À l’échelle mondiale, on ne compte qu’un seul texte véritablement international consacré à la cybercriminalité : la Convention de Budapest, un traité du Conseil de l’Europe ouvert à la signature en 2001. "Ce texte a été lancé par le besoin de lutter contre la pédocriminalité, qui a fait consensus", révèle Nicolas Arpagian. C’est notamment ce qui a motivé les diplomates à se réunir autour de la table pour évoquer le sujet de la cybercriminalité. Si le traité a été signé par 67 pays, nombre d’entre eux, parmi lesquels l’Allemagne, l’Espagne ou encore Malte et la Grèce, ont mis des années avant de le transposer, montrant ainsi les freins à une lutte transfrontalière contre la cybercriminalité. "Cette convention a néanmoins le mérite d’exister et d’avoir réuni des pays au-delà du territoire européen", précise le directeur de la stratégie et des affaires publiques d’Orange Cyberdefense. Ce à quoi s’ajoute l’arsenal juridique des infractions spéciales du droit de l’informatique et du droit pénal général, dont le rapport détaille les textes de référence et les qualifications. Mais, du point de vue des victimes, particuliers et entreprises, l’action policière et judiciaire est défaillante. Un constat qui amène les principaux auteurs du rapport du Club des juristes, Bernard Spitz du Medef et l’avocate Valérie Lafarge-Sarkozy en tête, à formuler des propositions.
La table des dix préconisations
Le rapport "Le droit pénal à l’épreuve des cyberattaques" en présente dix afin d’améliorer le traitement juridique de la criminalité du Web devant "faire l’objet d’une réponse judiciaire globale et transversale", lit-on dans le document. Certaines s’adressent au ministère de la Justice français comme la spécialisation des juges (préconisation 2) par la création d’une filière de cybermagistrats, le renfort du pôle cyber du parquet de Paris ou encore la consolidation des services de la justice en matière de lutte contre la cybercriminalité (préconisation 4). D’autres sont à l’attention de l’Anssi, une agence qui devrait pouvoir inciter les États sanctuaires à mettre fin à l’impunité des groupes cybercriminels (préconisation 7). Aux entreprises, il est vivement recommandé d’investir dans la prévention contre les cyberattaques (préconisation 9) et de déposer immédiatement plainte en cas de cyberattaques (préconisation 10).
