La cybercriminalité concerne l’ensemble de la sphère économique : les entreprises publiques et privées ainsi que les particuliers. Le 24 novembre 2016, Investance Partners a réuni un parterre de spécialistes du domaine[1] afin de présenter le panorama des évolutions du paysage réglementaire et législatif destinées à contenir l’expansion de la cybercriminalité.

Cette tribune se propose de reprendre les points saillants de cette conférence.

La cybersécurité est un dispositif de lutte contre la cybercriminalité

L’Agence Nationale de la Sécurité des Systèmes d’Information (« ANSSI ») définit la cybersécurité comme un « état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense ».

La cybercriminalité est un fléau par son caractère nuisible

Le terme de fléau est malheureusement approprié pour quantifier les effets de la cybercriminalité. Les quelques chiffres recueillis ci-dessous en 2015, le démontrent :

• En moyenne, une nouvelle vulnérabilité Zero Day a été découverte par semaine. La faille zero-day est une vulnérabilité informatique qui n’est pas encore connue ou non corrigée. Outre l’exploitation malveillante qu’elle peut entraîner, elle fait aussi l’objet d’une exploitation commerciale[2].

• Un demi-milliard de dossiers personnels ont été volés ou perdus.

• Trois quarts des sites Web populaires contiennent des vulnérabilités majeures en termes de sécurité.

• Le nombre de campagnes d'hameçonnage ciblant les employés a augmenté de 55 %. Cette technique de fraude par courriel est basée sur l’usurpation d’identité de banques ou d’entreprises commerciales, afin d’obtenir de particuliers des renseignements confidentiels (numéros de cartes de crédit, par exemple).

• Le nombre de ransomwares a augmenté de 35 %. Le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. Les hôpitaux ont été touchés par un ransomware qui est parvenu à verrouiller les outils office. Le déblocage des postes s’est monnayé en bitcoin. Demain des cybercriminels pourraient bloquer les bases de données des banques ;

• Les objets connectés n’échappent pas à une nouvelle forme d’attaque par déni de service. Lancées à des fins de déstabilisation et relayées par les réseaux sociaux, les attaques par déni de service, généralement peu sophistiquées, visent aussi bien des systèmes gouvernementaux que ceux des entreprises. Fiat a rappelé ainsi 1,4 millions de véhicules après avoir détecté la possibilité que l’on puisse en prendre le contrôle à distance.

Tous les secteurs sont touchés par la cybercriminalité, la banque et l’assurance représentent 10% des attaques en 2015, ce qui place ce secteur au 4ème rang des secteurs impactés.

Le cadre législatif et réglementaire évolue pour répondre à la cybercriminalité

La prise de conscience et la mise en œuvre d’un cadre législatif ne date pas d’hier. La loi GODFRAIN [3]du 5 janvier 1988, relative à la fraude informatique, réprime les actes de criminalité informatique et de piratage. C'est l'une des lois pionnières concernant le droit des NTIC[4], après, notamment, la loi Informatique et libertés de 1978.

En 2013, une communication européenne conjointe [5] rappelle que les pouvoirs publics à travers le monde ont commencé à élaborer des stratégies de cybersécurité et à considérer le cyberespace comme une question internationale de plus en plus importante. L’Union Européenne souhaite intensifier son action dans ce domaine par une protection solide et une promotion efficace des droits individuels, pour que l'environnement en ligne de l'UE soit le plus sûr au monde.

En 2014, la loi du 13 novembre renforce les dispositions relatives à la lutte contre le terrorisme. Elle crée un dispositif d’interdiction de sortie du territoire, punit plus sévèrement l’apologie des actes de terrorisme et permet le blocage administratif des sites faisant la promotion des actes terroristes.

Face à la montée de la cybercriminalité, les états se mobilisent, renforcent le cadre législatif et se dotent d’outils adaptés, d’entités dédiées à la lutte contre la cybercriminalité et ce malgré une apparente dispersion des textes et des organismes. L’année 2016 est marquée par l’aboutissement de 2 textes fondamentaux.

La Directive Network and Information Security (NIS)[6]

Le Parlement européen et le Conseil de l’Union européenne (UE) ont adopté le 6 juillet 2016 la directive sur la sécurité des réseaux et des systèmes d’information connue sous l’appellation « directive NIS ».Les Etats membres ont jusqu’au 9 mai 2018 pour la transposer dans leur droit national.

L’ANSSI et L’Agence européenne chargée de la sécurité des réseaux et des systèmes d’information (ENISA)[7] avec laquelle l’ANSSI travaille étroitement, sont chargés d’aider les Etats dans la bonne mise en œuvre de la directive. Structurée autour de quatre axes, la directive prévoit :

• le renforcement des capacités nationales de cybersécurité par la mise en place d’équipes compétentes en matière de cybersécurité, d’équipes nationales de réponse aux incidents informatiques (CSIRT)[8] et de stratégies nationales de cybersécurité. Respectivement en France, l’ANSSI, le CERT –FR[9] et la stratégie nationale pour la sécurité du numérique ;

• l’établissement d’un cadre de coopération volontaire entre Etats membres de l’UE via la création d’un « groupe de coopération » des Etats membres sur les aspects politiques de la cybersécurité et un « réseau européen des CSIRT » des Etats membres. Ce dernier visera notamment à faciliter le partage d’informations techniques sur les risques et vulnérabilités ;

• le renforcement par chaque Etat de la cybersécurité d’« opérateurs de services essentiels » au fonctionnement de l’économie et de la société via la définition au niveau national de règles de cybersécurité auxquels ces derniers devront se conformer ; l’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels.

• l’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne.

La loi sur la république numérique

Le 7 octobre 2016, le Président de la République a promulgué la loi pour une République numérique. [10] Neutralité du net, portabilité des données, droit au maintien de la connexion, confidentialité des correspondances privées, droit à l'oubli des mineurs, ouverture des données publiques, mort numérique, ouverture des algorithmes publics ou encore reconnaissance des compétitions de jeux vidéo, telles sont les thématiques abordées par ce texte de loi collaboratif. Visant, de manière globale, à anticiper les changements liés au numérique.

La loi pour une République numérique renforce les pouvoirs de sanctions de la CNIL dont le plafond maximal des sanctions passe de 150.000€ à 3 millions € [11] et lui confie de nouvelles missions (promotion des technologies de chiffrement de la donnée, certification des processus d’anonymisation des données personnelles).

Le cadre réglementaire et législatif doit être renforcé par une vigilance de tous, entreprises et personnes

Les experts présents à la conférence I2Fdu 24 novembre ont recommandé d’adapter et de faire évoluer les pratiques en matière de réactivité, de sensibilisation et d’organisation des entreprises.

Il paraît essentiel de ne pas sous-estimer la menace et de ne pas attendre la réglementation.Les textes de base existent depuis plusieurs années, il appartient donc aux établissements de mettre en œuvre les moyens internes. Par exemple, ne pas hésiter à déclarer les failles de sécurité constatées, ne pas garder les éléments même en cas de soupçon et ne pas temporiser le signalement des dysfonctionnements, l’ANSSI est à l’écoute de toute information. La vigilance est le meilleur outil de protection.

Le droit va augmenter la responsabilité des dirigeants, il convient de sensibiliser les managers à ces nouvelles formes de risques. Les actions de sensibilisation doivent s’étendre aux employés et comités de Direction pour réduire le délai entre la prise de conscience du risque et la remontée de l’information. Par exemple, la réduction de l’usage des réseaux sociaux passe par une sensibilisation de l’ensemble des salariés. La sensibilisation inclus aussi les clients des banques aux moyens de sécurité mis en œuvre pour les protéger, par exemple communication sur les faux ordres de virements.

Les Directions des systèmes d’information (DSI) sont souvent en première ligne, Dans le cas de détournement d’objets connectés, il ne faut pas hésiter à bloquer rapidement les flux d’information pour limiter la propagation et renforcer les moyens d’analyse pour détecter les signaux faibles et sécuriser les flux d’échange.

Enfin en matière d’organisation, la prévention des risques passe par un décloisonnement des DSI et des directions juridiques pour une meilleure collaboration. La direction des achats est aussi concernée, car elle doit être plus vigilante aux achats des nouveaux moyens techniques, cloud et objets connectés qui introduisent des vulnérabilités nouvelles.

Les données personnelles ou représentatives de l’activité des entreprises sont un capital qu’il faut protéger. L’ACPR, lors de sa conférence du 16 juin 2016, a rappelé les risques existant en matière de vol de données prudentielles, de la prise d’otage de ces données et engagé les établissements à se protéger de ce risque.

[1] Conférence I2F Investance Partners : Myriam QUEMENEUR Conseiller juridique mission lutte contre les cybermenaces, Laurent CARON Avocat à la Cour, Jacques CHEMINAT Rédacteur en Chef - Silicon.fr

[2] Source : GotCredit, Flickr, CC by 2.0

[3] Jacques Godfrain député RPR

[4] NTIC : Nouvelles Technologies de l'Information et de la Communication

[5] Source COMMUNICATION CONJOINTE AU PARLEMENT EUROPÉEN, AU CONSEIL, AU COMITÉ ÉCONOMIQUE ET SOCIAL EUROPÉEN ET AU COMITÉ DES RÉGIONS Stratégie de cybersécurité de l'Union européenne: un cyberespace ouvert, sûr et sécurisé /* JOIN/2013/01 final */

[6] Source ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information

[7] ENISA : European Union Agency

[8] CSIRT : Computer Security Incident Response Team

[9] CERT computer emergency response teams

[10] Source espace presse su Sénat à propos de la nouvelle loi.

[11] Il s’agit d’une anticipation sur l’augmentation du plafond du montant des sanctions par le règlement européen qui sera applicable le 25 mai 2018 et prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.