Anne Souvira, commissaire divisionnaire : « Pouvoirs publics et secteur privé doivent s’allier dans un objectif commun de cybersécurité collective »

Image
01/06/2021
Pénal - Vie judiciaire

Le Club des juristes a publié un rapport « Le droit pénal à l’épreuve des cyberattaques ». Il dresse un état des lieux des phénomènes de cybercriminalité, qui connaissent une recrudescence en raison notamment de la crise sanitaire et économique. Il formule 10 propositions concrètes pour renforcer la protection des entreprises et des citoyens.
Le rapport « Le droit pénal à l’épreuve des cyberattaques » est issu d’un groupe de travail piloté par Bernard Spitz, président du pôle International et Europe du MEDEF, ancien président de la Fédération française de l’assurance, et par Valérie Lafarge-Sarkozy, secrétaire générale, avocate associée du cabinet Altana.
 
Parmi les membres, Myriam Quéméner, avocat général près la cour d’appel de Paris et Anne Souvira, commissaire divisionnaire, chargée de mission aux questions relatives à la cybercriminalité au sein du cabinet du préfet de police de Paris, qui ont répondu aux questions d’Actualité du droit.
 
 
Actualités du droit : Comment expliquer l’augmentation de la cyberdélinquance ? Quelles conséquences pour les acteurs privés, comme publics ?
 
Myriam Quéméner : On constate un déplacement de la délinquance vers le numérique. C’est très facile d’utilisation et on évite une confrontation directe entre l’auteur et la victime. De plus, la cyberdélinquance est souvent internationale ce qui peut complexifier les enquêtes.
 
Anne Souvira : La facilitation par l’achat sur les marchés noirs de l’Internet sombre de « kits » permettant d’attaquer avec une faible mise pour un gain confortable, alors qu’on a du temps et sans prendre grand risque d’être identifié en raison de l’internationalisation des enquêtes et des embûches du droit explique pour partie l’augmentation côté appât du gain. Pour les attaques étatiques aux mobiles plutôt tournés vers l’espionnage ou le sabotage, le recours à la sous-traitance de hackers de bon niveau et, sans doute bien rémunérés, amène aussi à développer la cyberdélinquance.
Les conséquences dans le domaine économique pour les acteurs privés sont des points de PIB en moins voire des licenciements, quand on paie des rançons pour arrêter un déni de service ou déchiffrer les données de son entreprise, ou une atteinte dure à la réputation qui fera chuter l’activité. Pour les acteurs publics, la confiance dans la sécurité des services de l’État est fondamentale et les atteintes dans le domaine informationnel visant à peser sur des élections, sur la confiance en général et l’utilisation du deep fake pour manipuler l’opinion est un nouveau risque à bien reconnaître…
 
 
ADD : La législation française apporte-t-elle une réponse suffisante ? Quelles améliorations peuvent-être apportées ?
 
M. Q. : La France dispose d’un arsenal pénal complet et conforme aux orientations européennes et internationales en matière de droit matériel qui prévoit des infractions réprimant les cyberattaques. Par contre, au niveau procédural, des améliorations peuvent être apportées, notamment en simplifiant par exemple l’enquête sous pseudonyme dans le « darknet ».
 
A. S. : Le droit pénal spécial appliqué à la cybercriminalité s’il n’est pas nouveau, compte tenu du développement de ce type de délinquance, a besoin d’être enseigné dès la formation initiale et en tout état de cause en formation continue, afin de prendre la vraie mesure de ces infractions et du succès de leur poursuite par le Parquet. Aujourd’hui les infractions classiques se commettent via les réseaux et apporter la preuve numérique est une véritable gageure entre la faible durée de conservation des données par les opérateurs notamment étrangers et l’application du droit international qui allonge nécessairement les avancées de l’enquête. Sans compter la pédagogie dont il faut faire preuve pour convaincre à partir de la science informatique…
Les améliorations sont en cours dans des textes notamment européens sur l’injonction de produire les éléments de preuves et avec le second protocole additionnel à la Convention de Budapest (N° 185 sur la cybercriminalité du 23 novembre 2001).
 
 
ADD : La commission préconise notamment la spécialisation des acteurs en matière de cybercriminalité. Pouvez-vous préciser ?
 
M. Q. : Dans la mesure où les modes opératoires sont de plus en plus sophistiqués et que les usages du numérique évoluent sans cesse, il faut comprendre ces mécanismes et c’est pour cela que la spécialisation s’impose. Elle se développe d’ailleurs au niveau des forces de l’ordre et progressivement au niveau judiciaire. Cette spécialisation s’impose aussi car les procédures ont souvent une dimension internationale qui implique des acteurs étrangers, par exemple, le FBI, Interpol, Europol.
 
A. S. : Les forces de l’Ordre confrontées en première place à la cybercriminalité ont prôné depuis 2009, sur un essor des infractions aux STAD, une spécialisation des magistrats. Sur le ressort de Paris cela a conduit il y a quelques années à la création d’une section cyber près le Tribunal Judiciaire qui a été renforcée à trois magistrats pour l’heure avec un assistant spécialisé venant de la BL2C et un officier de liaison de la gendarmerie.
 
 
ADD : Quelles actions proposez-vous au niveau européen ? Au niveau international ?
 
M. Q. : Au niveau européen, il convient d’adopter un régime juridique de conservation des données harmonisé permettant de répondre aux besoins concrets et opérationnels des service d’enquête et de la justice. Il faut également renforcer la coopération européenne et aussi bilatérale.
Au niveau international, il faut accélérer la publication de nouveaux textes comme le deuxième protocole additionnel à la convention de Budapest sur la preuve numérique.
 
A. S. : Le système de trilogue européen entre le conseil européen, la commission et le parlement européen qui consultent tous les pays de l’UE qui ont des vues très différentes et les différentes commissions et espaces de dialogues européens sur les textes est peut-être un temps à réduire dans des domaines aussi régaliens que la preuve numérique qui permet, ou non, de rendre la Justice. Il faut rapprocher l’Europe des textes, de la réalité des infractions que vivent les victimes pour des procès équitables aussi pour elles. Les services opérationnels se font leur porte-voix en expliquant en quoi la jurisprudence de la CJUE sur la non conservation des données généralisée et indifférenciée s’oppose à toute enquête aujourd’hui dans le monde numérique. Le Conseil d’État récemment en a tiré les conséquences tout en tentant de concilier des principes fondamentaux et la réalité.
 

ADD : Comment prévenir les cyberattaques ?
 
M. Q. : Il convient de sensibiliser les acteurs tant dans le secteur public que privé, sensibiliser les collaborateurs et les salariés car l’humain est souvent le maillon faible et facilite le passage à l’acte des délinquants. Il faut renforcer la coopération public/privé en orientant les investissements vers la création d’une filière française et européenne en cybertechnologie.
 
De plus, l’investissement dans la prévention et l’anticipation des risques est essentiel. Il faut aussi sensibiliser d’avantage les citoyens et c’est pour cette raison que le rapport du club des juristes préconise de faire de la lutte contre la cybercriminalité une cause nationale pour 2022.
 
A. S. : Pouvoirs publics et secteur privé doivent s’allier dans un objectif commun de cybersécurité collective. Il faut des moyens pour toucher chacun à son niveau, du plus petit qui a un téléphone ou une tablette, jouet dangereux entre les mains, au plus âgé qui a besoin d’un discours simple et rassurant mais lui permettant de rester connecter avec les siens et avec la vie…
 
Le mécénat d’entreprise est une manière de prendre conscience pour elle-même et pour les autres de la nécessité du discours de cybersécurité collective pour nos données, nos réseaux et système d’information afin que chacun concourt à la souveraineté du pays (pouvoir rendre la justice, ne pas perdre en PIB, en savoir- faire et potentiel technique ou scientifique).
 
Propos recueillis par Clara Le Stum
 
 
Liste des 10 préconisations émises pour renforcer la protection des entreprises et des citoyens :
- Faire de la lutte contre la cybercriminalité une cause nationale pour 2022 ;
- Promouvoir la formation des magistrats du siège et du parquet et leur formation continue en matière de cybercriminalité ;
- Renforcer la coopération public/privé ;
- Étoffer les services de la justice en matière de lutte contre la cybercriminalité ;
- Simplifier les procédures d’enquête sous pseudonyme dans le « darknet » ;
- Adopter un régime européen de conservation des données ;
- Inciter les États sanctuaires à mettre fin à l’impunité des groupes cybercriminels ;
- Signer des protocoles avec l’ensemble des agences et autorités administratives indépendantes concernées ;
- Investir dans la prévention contre les cyberattques ;
- Déposer immédiatement plainte en cas de cyberattaque.
 
Source : Actualités du droit