C. Féral-Schuhl : « On devrait en permanence sensibiliser au risque cyber »

Publié le 30/05/2022 - mis à jour le 30/05/2022 à 10H57

Dans « Cybersécurité, mode l’emploi » qui vient de sortir aux PUF un magistrat, Xavier Leonetti, et une avocate, Christiane Féral-Schuhl, croisent leurs regards et leurs expériences de terrain pour proposer aux entreprises une vision pratique  à 360 degrés de la cybersécurité. Christiane Féral-Schuhl, ancien bâtonnier de Paris et ancienne présidente du Conseil national des barreaux,  nous explique ce que propose l’ouvrage. 

C. Féral-Schuhl : "On devrait en permanence sensibiliser au risque cyber"
Photo : ©AdobeStock/Gorodenkoff

Actu-Juridique : Vous venez de publier avec Xavier Leonetti « Cybersécurité, mode d’emploi ». D’où est venue l’idée et à qui s’adresse l’ouvrage ?

Christiane Féral-Schuhl : C’est Xavier Leonetti qui a eu l’idée de ce projet et qui m’a proposé d’y participer.  La première fois qu’il m’en a parlé, j’étais en fonction, à la tête du Conseil national des Barreaux, en pleine crise du régime des retraites suivie de celle du Covid. Je n’étais absolument pas disponible comme vous pouvez l’imaginer. Il a eu la délicatesse d’attendre la fin de mon mandat pour renouveler sa proposition. Je ne m’y attendais pas. J’ai été sensible à sa démarche et à l’intérêt du projet surtout que, début 2021, après un mandat au CNB pour le moins chargé, j’avais l’impression d’avoir du temps. C’était aussi l’occasion de remettre à jour mes connaissances dans une matière que je connais bien, mais qui évolue très vite. Et l’écriture a toujours été, pour moi, structurante ! Enfin, et ce point est important, je trouvais que l’approche « regards croisés » magistrat-avocat était originale. Xavier Leonetti, anciennement substitut du Procureur à Marseille et, depuis septembre 2021, Chargé de mission de la prévention et de la lutte contre la cybercriminalité à la Chancellerie, a une expérience de terrain très précieuse en la matière. J’ai celle du conseil et de l’avocat en amont, aux côtés des chefs d’entreprise que j’accompagne dans la prévention et dans la gestion des crises cyber. Il s’agit donc bien d’une démarche inédite à ma connaissance.

Actu-Juridique : Que proposez-vous aux chefs d’entreprise dans ce livre ?

CFL : L’objectif est de mettre entre les mains des décisionnaires – les chefs d’entreprise ou leurs délégués à la cybersécurité – un mode d’emploi accessible, pragmatique et une vision à 360 degrés pour leur permettre d’identifier, en termes simples, les bonnes questions. Il s’agit aussi de leur permettre de s’y retrouver dans toutes leurs obligations, en application d’une multitude de textes nationaux et européens.

C’est un outil de sensibilisation et d’alerte, car la cybersécurité est un enjeu stratégique pour toute entreprise. Il s’agit non seulement de préserver le patrimoine informationnel de l’entreprise (par exemple, contre le pillage des données et la violation du secret des affaires), mais également de maîtriser un environnement technologique pour rester compétitif !

En d’autres termes, un guide pratico-pratique nourri par l’expertise et l’expérience des auteurs.

Actu-Juridique : Un récent rapport du Club des Juristes sur la cybercriminalité met en garde contre l’explosion de cette délinquance depuis la crise sanitaire. Est-ce également ce que vous constatez dans votre pratique ?

CFL : Une chose est sûre, la cyberdélinquance concerne chacun de nous. Nous avons tous individuellement été confrontés à des tentatives de fraude sur internet (phishing par exemple pour dérober des accès à nos comptes) ou d’usurpation d’identité ou encore à du cyberharcèlement…  C’est vrai dans la sphère personnelle comme dans la sphère professionnelle.

La période de crise sanitaire a certainement favorisé et amplifié le risque, d’autant que l’imagination des cyberdélinquants n’a pas de limite et que leur  nombre ne cesse de croître.

Dans l’environnement du travail, on sait depuis longtemps que les menaces sont générées à 80% par la négligence ou la malveillance interne (employés ou anciens employés ou encore prestataires externes qui ont des accès facilités au sein de l’entreprise).

La généralisation du télétravail est certainement un facteur amplificateur qu’il faut prendre en compte. En effet, les mesures indispensables comme les mises à niveau des antivirus ou les mises à jour des logiciels suite à des failles de sécurité identifiées par les éditeurs n’ont pas été toujours mises en œuvre dans des délais rapides et efficaces. L’utilisation des outils propres aux salariés (ce qu’on appelle les BYOD – Bring you own device) a contribué également à une baisse du niveau de sécurité, car les ordinateurs ou smartphones personnels ne sont pas ou sont mal configurés avec les protections requises … tout cela provoque  une inflation des cyberrisques pour l’entreprise. Les « portes d’entrée » – en d’autres termes les failles de sécurité – sont de plus en plus nombreuses. Le chef d’entreprise se retrouve en capitaine d’un navire dont la coque peut être fissurée en plusieurs endroits et qui peut prendre l’eau à tout moment. Les conséquences peuvent être désastreuses.

Actu-Juridique : Pensez-vous que notre arsenal législatif est suffisant ?

CFL : Pour pouvoir être sanctionnée, l’infraction exige bien sûr d’être répertoriée dans le Code pénal. Mais notre arsenal législatif est suffisant et il faut arrêter de penser que la solution réside dans un renforcement de la loi. Depuis la loi Godfrain de 1988, l’entrée sans droit -comme la tentative d’entrée sans droit – dans un système automatisé de traitement de données (ce qu’on appelle les STAD) constituent des infractions pénales. Le code pénal s’est enrichi de nombreux textes ces 30 dernières années pour répondre à chaque situation, par exemple le délit d’usurpation d’identité.

Les difficultés sont d’un autre ordre. Ce sont tout d’abord les moyens dont disposent les autorités chargées d’enquête. Identifier l’auteur d’une infraction n’est pas simple, surtout lorsqu’il est localisé à l’étranger. Ensuite, il peut y avoir une réticence de la victime à porter plainte. Les entreprises n’ont souvent aucune envie de donner de la publicité à des failles de sécurité (violation des données personnelles des clients par exemple ou encore lorsqu’elles sont victimes d’un rançongiciels). C’est une question d’image, de réputation…

Enfin, lorsqu’une procédure va à son terme, il faut que les décisions soient à la hauteur des enjeux et des préjudices subis.Il reste encore à évoquer la difficulté, dans certains cas, à faire exécuter les jugements obtenus souvent à l’issue de procédures longues, notamment et toujours à raison de la difficulté à localiser l’auteur de l’infraction.

Actu-Juridique : C’est une délinquance sophistiquée, qu’en est-il de la formation des policiers dans les commissariats ?

CFL : C’est un vrai sujet. Je partage avec vous cette anecdote qui illustre la méconnaissance du sujet par certains interlocuteurs. Ayant porté plainte pour spoofing (l’émetteur prétend être moi en utilisant mes éléments d’identité), mon interlocutrice au commissariat m’a fait comprendre qu’elle considérait que ce n’était pas un problème.

« — Ah bon ? Et tous les destinataires d’un mail prétendûment envoyé par moi ? L’utilisation de mes titres, de ma carte d’identité, de ma signature… ce n’est pas un problème  ???

— Mais non me dit-elle, il vous suffit de changer d’adresse mail !

— Ah bon ? Donc si je me fais cambrioler, la réponse est « changez d’adresse » ??? « 

J’ai fini par abandonner cet échange qui m’a semblé surréaliste, peu optimiste sur la détermination de mon interlocutrice à traiter le sujet qu’elle considérait de toute évidence comme très mineur et très loin des vrais sujets concrets de délinquance.

Bien sûr, il ne s’agit pas de généraliser, mais il faut se préoccuper de la cyberdélinquance et donc apporter des réponses adaptées. Il est donc impératif de sensibiliser et de former le personnel à l’accueil dans les commissariats. Des formations conjointes policiers, gendarmes, magistrats avocats favoriseraient une meilleure prise en charge des victimes.

Actu-Juridique : Les moyens humains, en particulier au parquet, sont-ils suffisants en nombre et en compétence ?

CFL : Je ne sais pas s’ils sont suffisants, mais je sais, pour les avoir vu à l’œuvre, que certains services spécialisés sont très performants. Je pense notamment à la BEFTI – la Brigade d’enquêtes sur les fraudes aux technologies de l’information – ou encore au C3N (centre de lutte contre les criminalités numériques). Ils font un travail formidable. Pour nous professionnels, savoir à quelle porte frapper est certainement un atout décisif !

Mais qu’il s’agisse des services d’enquête ou des procureurs, la formation permettrait certainement de monter en compétence, tout simplement parce que les technologies et les techniques de fraude évoluent en permanence.

Ici encore, l’approche conjointe policiers-avocats-magistrats est un ticket gagnant pour avancer avec efficacité.

Mais l’école, l’université, le cercle de famille, l’environnement du travail… sont autant de lieux où l’on devrait en permanence sensibiliser aux risques de la cyber. Les alertes doivent être systématiques, car il suffit d’un moment d’inattention pour ouvrir un fichier attaché à un courriel et paralyser le serveur de l’entreprise avec un virus.

Actu-Juridique : La guerre en Ukraine révèle une montée en puissance du risque cyber, faut-il investir davantage en France ?

CFL : La guerre en Ukraine démontre seulement que la guerre se fait également sur les réseaux. Couper les accès réseau n’est pas un acte anodin. La diffusion de fausses informations non plus. Il faut certainement que le chef d’entreprise intègre que son obligation de sécurité à l’égard de ses clients, ses salariés, ses partenaires, ses actionnaires…. concerne la cybersécurité ! On ne parle pas suffisamment des entreprises qui ont déposé le bilan faute d’avoir su prévenir ou gérer le risque !

X