Cybersécurité : « Certaines entreprises font encore preuve de crédulité »

Des attaques multipliées par quatre en l’espace d’une année et un coût estimé à 6 000 milliards de dollars, le risque cyber menace toutes les entreprises, quelle que soit leur taille. Dans un rapport intitulé : Le droit pénal à l’épreuve des cyberattaques, le Club des juristes évalue le traitement juridique de ce défi contemporain pour la société et formule dix préconisations. Me Valérie Lafarge-Sarkozy, avocate associée au cabinet Altana, et Myriam Quéméner, avocat général à la cour d’appel de Paris, ont activement participé à la rédaction de ce rapport.

Actu-juridique : Quel est l’état de la menace cyber pour les entreprises françaises ?

Myriam Quéméner : De plus en plus d’entreprises sont victimes de cyberattaques. En France, 9 entreprises sur 10 ont constaté un incident de cybercriminalité et pour près de la moitié d’entre elles ce sont des PME. Les attaques par rançongiciels (ransomwares) sont les plus préoccupantes, elles chiffrent les données tant sur les postes de travail que sur les serveurs en réclamant une rançon, rançon que l’Autorité nationale de sécurité des systèmes d’information (ANSSI) déconseille de régler car le paiement ne garantit nullement la récupération des données. Le nombre de plaintes augmente heureusement de la part des entreprises victimes de ces attaques.

Valérie Lafarge-Sarkozy : Deux chiffres permettent de bien saisir l’ampleur de la menace cyber en France. D’après les données de l’ANSSI qui nous ont été communiquées par son directeur général, Guillaume Poupard, le nombre d’attaques par rançongiciel traitées par l’Agence a été multiplié par 4 entre 2019 et 2020, passant de 54 à 192. Le procureur de la République de Paris, Rémi Heitz, quant à lui, nous a indiqué que la section J3, spécialisée dans la cybercriminalité, a enregistré au titre de sa compétence nationale 397 saisines, alors que ce chiffre n’était que de 62 en 2019. Nous sommes face à une évolution exponentielle. Et si le nombre de plaintes est en hausse lui aussi, il ne suit pas pour autant la même courbe. Certaines entreprises font encore preuve de crédulité. Beaucoup de petites et moyennes entreprises ne pensent pas être suffisamment intéressantes pour être attaquées. Or c’est méconnaître certaines techniques des cyber attaquants, et notamment l’attaque « au chalut ». Cette méthode permet de bloquer le système d’information des PME de manière indifférenciée, sans souci du secteur d’activité ou des informations récoltées, et nécessite peu de ressources pour un gain substantiel. Notre rapport est donc là pour rappeler que personne n’est à l’abri quand on parle de cybercriminalité. Pour s’en prévenir, comme pour la Covid-19, il faut mettre en place des gestes barrières et avoir une hygiène informatique irréprochable. Au niveau mondial, la cybercriminalité pourrait également coûter aux entreprises 6 000 milliards de dollars par an à partir de 2021 selon un rapport international.

AJ : La Covid, avec la numérisation forcée des modes de travail, a donc entraîné une hausse des cyberattaques ?

M.Q. : Oui, incontestablement. Et notamment le télétravail qui s’est développé parfois de façon anarchique pour les petites entreprises. Le premier confinement a pu être très brutal pour certaines d’entre elles qui n’ont pas eu les ressorts nécessaires pour se préparer. Cela les a rendues d’autant plus fragiles aux yeux des cybercriminels. L’expansion également du e-commerce a conduit à une hausse des fraudes et escroqueries en ligne. La pandémie n’a fait en réalité qu’exacerber des tendances existantes.

AJ : La pandémie a-t-elle eu au moins le mérite de mobiliser les entreprises sur le sujet de la cybercriminalité ?

V.L.-S. : Elles ont été alertées par la multiplication des attaques dans le contexte de la Covid. Beaucoup d’entre elles ont décidé de mieux informer et former leurs salariés à ce sujet. Mais soyons lucides, la fin de la crise Covid ne marquera pas la fin des attaques. Il est urgent que l’on franchisse un tout autre niveau d’investissements dans la protection, et que l’on donne davantage de moyens aux enquêteurs et aux magistrats. Si la dématérialisation de nos modes de vie et de travail s’est certes accélérée ces derniers mois, elle avait débuté avant la crise, et elle continuera après la crise. Ainsi la protection​​, l’hygiène informatique, la traque des délinquants et la coopération internationale sont essentielles. Les cybercriminels ont pour l’instant encore un temps d’avance sur nous. Il faut que la peur change de camp, nous devons arrêter de courir après les attaques informatiques, nous devons nous en protéger et rendre la tâche des cybercriminels « difficile ». Agir plutôt que réagir.

AJ : Que diriez-vous à un chef d’entreprise qui tarderait à faire les investissements que vous préconisez ?

V.L.-S. : Le sujet est simple, préfère-t-on consacrer 10 % de son budget pour protéger son patrimoine informationnel et former ses salariés ou prendre le risque d’être l’objet d’une attaque et voir son activité paralysée pendant des semaines, ou des mois, et s’exposer à la menace d’un dépôt de bilan ? Je crois que tous les chefs d’entreprise vous répondront la même chose. La protection des systèmes d’informations n’est pas un choix mais une nécessité. Et plus vite les entreprises le comprendront, moins elles encourront de risques. Dans ce rapport nous leur donnons quelques pistes pour qu’elles puissent mettre en place une cybergouvernance : identifier les informations ainsi que les données sensibles et stratégiques à protéger, instaurer une procédure de gestion de crise en cas de cyberattaque, rédiger une charte informatique, ou encore disposer d’un plan de communication et de gestion de crise.

AJ : Conformément au titre de votre rapport, diriez-vous que le droit pénal français permet de répondre aux cyberattaques ?

M.Q. : L’arsenal juridique français est très complet en la matière, et ce depuis longtemps. La cybercriminalité est appréhendée depuis la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 (L. n° 78-17, 6 janv. 1978). Elle a été complétée ensuite par la loi Godfrain du 5 janvier 1988 relative à la fraude informatique (L. n° 88-19, 5 janv. 1988), qui a introduit plusieurs articles dans le Code pénal afin de réprimer toutes les atteintes aux systèmes de traitement automatisé de données (STAD), tels que les piratages et les entraves par déni de service distribué (DDOS), ainsi qu’aujourd’hui, les ransomwares chiffreurs de données. Au niveau des procédures également, les évolutions nécessaires ont été entreprises, avec la possibilité de faire des enquêtes sous pseudonymes, l’interception de données et l’harmonisation des techniques spéciales d’enquête qui sont adaptées en matière de lutte contre la cybercriminalité.

Notre problème majeur en France concerne les moyens humains. Il serait ainsi utile, d’après nous, de recruter des cadres et assistants spécialisés en matière de cybersécurité, tant au niveau du tribunal judiciaire que de la cour d’appel de Paris. Nous préconisons aussi de renforcer le pôle cyber au niveau du parquet de Paris ou de créer une filière de cybermagistrats, au besoin par le biais d’une formation diplômante. Aussi, et c’est notre première recommandation, nous préconisons de faire de la lutte contre la cybercriminalité une cause nationale pour 2022. Avec pour objectif de mobiliser tous les acteurs et toute la société autour de cette problématique.

V.L.-S. : La France est techniquement excellente pour lutter contre les menaces informatiques et notamment grâce à l’action de l’ANSSI qui collabore avec tous les services de renseignements étrangers. Ce qui nous fait défaut en fait ce sont les effectifs dédiés à la lutte contre la cybercriminalité. Nous avons des experts, des enquêteurs très bien formés, à la pointe des connaissances et des techniques, mais ils sont trop peu nombreux. Et les magistrats ne sont que trois au sein de la section spécialisée J3 du parquet de Paris. C’est trop peu au regard de l’évolution de la menace dont nous parlons.

Notons aussi que de nouvelles annonces ont été faites récemment. Le président de la République, a ainsi dévoilé en février dernier un plan d’un milliard d’euros pour renforcer la cybersécurité avec pour objectif, notamment, de doubler les emplois dans la filière à l’horizon 2025. Ce fonds bénéficiera aussi au « cyber campus » qui permettra bientôt de fédérer dans un même lieu tous les acteurs nationaux et internationaux du domaine : grands groupes, PME, services de l’État, organismes de formation et acteurs de la recherche.

AJ : Vous incitez à davantage de coopération internationale pour « mettre fin à l’impunité des groupes cybercriminels ». Mais n’est-ce pas une vaine intention au regard des enjeux géopolitiques des États ?

M.Q. : Il n’y aura jamais de concorde politique internationale, c’est évident, mais des avancées significatives sont envisageables car la cybercriminalité nuit en réalité à tous les pays. Mais la coopération pénale entre plusieurs États ou bilatérale est efficace et porte ses fruits. Par exemple, le mandat d’arrêt européen a permis récemment d’interpeller des cybercriminels tout à fait actifs et importants. La convention de Budapest du Conseil de l’Europe relative à la cybercriminalité, est un outil international contraignant signé par plus d’une soixantaine d’États, qui permet depuis plus de 15 ans de mener des avancées significatives. En outre, un protocole additionnel devrait être prochainement adopté pour améliorer les conditions d’accès aux preuves numériques.