Cyber criminalité et réponses étatiques

Le contexte

La cybercriminalité s’appuyant largement sur Internet, elle concerne tout autant les citoyens dans le quotidien de leur vie privée ou professionnelle, les entreprises dans leurs activités économiques, que les États dans leur fonction de protection de la collectivité. Ces trois atteintes, respectivement qualifiées de sociétales, économiques et géopolitiques, génèrent des coûts considérables.

Ainsi, pour les personnes, outre les atteintes morales ou psychologiques par intimidation, harcèlement ou chantage, le dommage peut également se traduire en extorsion de montants considérables à l’échelle de l’individu. Par exemple en Angleterre, la fraude dite "à la récompense" peut coûter [1] à sa victime entre 50 et 240.000 £.

Dans le domaine économique, aux États Unis, l’envoi massif de pourriels pour favoriser la vente de marchandises contrefaites a généré [2] 85 millions $ de revenus frauduleux sur une période de trois ans. Dans le domaine de l’industrie de la publicité [3], la fraude au « click » par usage de botnet a coûté à ce secteur 100.000 $ par jour. Les attaquants faisant usage de rançongiciels parviennent en moyenne à extorquer 100.000 $ par attaque. Le préjudice va au-delà de la simple rançon, car il peut aussi se traduire par l’arrêt de la production, et la chute du chiffre d’affaires. Ainsi, la figure qui suit présente le coût moyen lié au temps d’arrêt, causé par les rançongiciels [4], par incident, pour les années 2018 à 2021 :

 Rançongiciels : faits, tendances et statistiques 2024 

Or ce genre d’attaque est appelé à croître, jusqu’à deux par seconde [5] en 2031, le coût mondial pouvant alors dépasser les 265 milliards $ ! En France, 65 % des entreprises [6] sont touchées par ce phénomène. Or le niveau de protection des entreprises est assez faible, les pirates parvenant à les infiltrer dans 93 % des cas, non seulement pour les rançongiciels, mais également pour les logiciels espions, les chevaux de Troie,… le paiement de la rançon ne garantissant la récupération de la totalité des données que dans 8 % des cas !

Enfin dans le domaine géopolitique, pour les deux décennies passées, les statistiques sur le nombre des attaques [7] visant directement les gouvernements, leurs entreprises technologiques et de défense, et ayant engendré par attaque un coût minimum de 1 million $, révèlent l’ampleur suivante : 156 attaques de ce type pour les États Unis, 47 pour le Royaume-Uni, 11 pour la France, 12 pour le Canada, 21 pour l’Allemagne, 16 pour l’Australie, 16 pour Israël, 23 pour l’Inde...

Carte des pays cibles des cyberattaques majeures

Malgré l’ampleur de ces chiffres et leur croissance continue avec l’évolution des technologies et l’inventivité à les utiliser par les cybercriminels, les citoyens et les entreprises ont trop peu pris conscience de l’urgence de la situation. Les États ont donc compris qu’il leur revenait de s’emparer de ce sujet, et d’y répondre par un cadre organisationnel et juridique contraignant. Cet article présente les réponses développées par les États Unis, le Royaume-Uni, la France, la Belgique, et également de façon plus large l’Union Européenne.

Les réponses des États

La grande variabilité des cybermenaces entraîne que la réponse sécuritaire va s’appuyer sur un chaîne d’organismes spécialisés. L’efficacité de cette chaîne dépend autant du niveau d’expertise et des compétences techniques de chacun des organismes, que de leur prompte réactivité, individuelle et collective face à la menace, et de leur cohérence dans leur coordination, nationale et internationale. Ces organismes seront principalement en lien avec les institutions civiles, la police ou l’armée. Enfin, la réponse sécuritaire s’est également exprimée dans les textes de lois, qui seront exposés dans la quatrième section.

(1) Les institutions civiles et la cybercriminalité

Les institutions étatiques des pays industrialisés ont incorporé des organismes spécialisés dans la lutte contre les cybermenaces. L’Union Européenne a également réagit en ce sens.

L’Etat Américain a fait du sujet de la cybersécurité une matière transversale à plusieurs de ses départements, comme les Département d’État (DoS), du Commerce (DoC), du Trésor (USDT), de la Sécurité Intérieure (DHS) et de la Défense (DoD). Ces départements comportent une agence ou un organisme spécifique à la cybersécurité :

• Le DoS comporte le « Directorate of Cyber and Technology Security (CTS) », chargé d’assurer un environnement digital sûr pour la conduite de la politique étrangère américaine.
• Le DoC chapeaute le National Institute of Technology (NIST)”, qui a développé le « NIST Cybersecurity Framework  [8] », lignes directrices en vue de présenter au monde économique les meilleures pratiques pour réduire ses risques de cybersécurité.
• Le département du Trésor implémente une politique de cybersécurité qui veille à protéger les systèmes d’information du Trésor américain.
• Le DHS chapeaute la « Cybersecurity and Infrastructure Security Agency » (CISA), qui dirige l’effort national assurant la défense et la résilience du cyberespace américain. Elle instaure une sécurité par défaut au sein des États de la fédération, afin de protéger toute la chaîne du pouvoir contre les cyberattaques, et augmente la capacité à détecter les cybermenaces visant les infrastructures critiques.
• Le DoD chapeaute la « National Security Agency (NSA) », qui a pour but de contrer toute menace de cybersécurité contre les systèmes de sécurité américains, en ce compris les industries et les systèmes d’armes.

L’Union Européenne a institué l’ENISA, qui veille à garantir un niveau élevé commun de cybersécurité dans toute l’Europe, par la mise en place d’une véritable politique de sécurité, cohérente et impactant tous les secteurs de la société.

La CISA et l’ENISA coopèrent en échangeant des informations relatives à certaines de leurs législations (comme la Directive NIS2 pour l’Europe, relative à la sécurité des réseaux et des systèmes d’information), ou relatives à l’évolution du paysage des cybermenaces.

Le Royaume-Uni a institué le « Government Communications Headquarter » (GCHQ) qui, en interagissant avec les services de renseignements intérieurs et extérieurs (MI5 et MI6), fournit au gouvernement britannique des informations leur permettant de gérer les menaces en provenance d’États ou organisations hostiles. Au sein du GCHQ, le « National Cyber Security Centre » (NCSC) conseille, notamment les entreprises, en matière de mesures de cybersécurité pour se protéger, et minimiser le préjudice en cas d’incidents.

La France comporte deux organismes : d’une part l’organe de Coordination Nationale du Renseignement et de la Lutte contre le Terrorisme (CNRLT), directement lié au Président de la République, et d’autre part l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI [9]), qui relève du Premier Ministre et est l’autorité nationale centrale en matière de cybersécurité. Les deux organismes collaborent pour défendre les infrastructures vitales du pays, accroître la connaissance en matière de cybersécurité et la partager au sein de réseaux de coopération français, européens et internationaux, promouvoir une culture de la cybersécurité tant auprès des citoyens que des entreprises et accompagner ces dernières dans l’application de mesures de sécurisation de leurs systèmes d’information.

Avec les services de renseignements (Direction Générale de la Sécurité Intérieure/Extérieure (DGSI/DGSE)) et le commandement militaire de la cyberdéfense (ComCyber), l’ANSSI est à la tête du Centre de Coordination des crises cyber, qui analyse la menace d’une attaque majeure et y propose des réactions appropriées.

En Belgique, le Centre pour la Cybersécurité Belgique (CCB [10]) est l’organisation responsable de la cybersécurité. Il relève de l’autorité du premier ministre, dont la Chancellerie lui assure un appui administratif et logistique pour l’exécution de ses missions. Vis-à-vis de ces dernières, le Centre est responsable quant :

• à l’élaboration d’une stratégie belge en matière de cyberdéfense,
• à la coordination des secteurs, tant privé que public dans ce domaine,
• à la gestion de crises, en collaboration avec le Centre de coordination et de crise du gouvernement,
• à l’information et la sensibilisation des utilisateurs des systèmes d’information et de communication.

Pour le conseil aux entreprises, le CCB propose sur son site web des mesures (« CyberFundamentals [11] ») concrètes visant à protéger les données, à réduire le risque des cyberattaques les plus courantes et à accroître la cyber résilience d’une organisation.

(2) La police et la cybercriminalité

Tant au plan international que national, les organes de police se sont dotés d’unités spécialisées dans la lutte contre les diverses formes de cybercriminalité.

Interpol ou « Organisation Internationale de police criminelle », organisation intergouvernementale regroupant 196 pays membres, soutient ces derniers dans quatre domaines de criminalité mondiaux requérant des réactions urgentes, et parmi lesquels figure la cybercriminalité.

Europol fondée par les 27 États Membres de l’Union Européenne, est financée par le budget communautaire, et est contrôlée par le Parlement Européen. Ses bureaux de La Haye abritent le Centre européen de lutte contre la cybercriminalité ("EC3"), dont le but est de protéger les citoyens contre la cybercriminalité en ligne.

Aux États Unis le FBI ou « Federal Bureau of Investigation » a dans ses attributions la lutte contre la cybercriminalité, tant orchestrée par les individus, que par les organisations et États criminels, dans leur quête à compromettre les réseaux et infrastructures critiques américains, et à voler la propriété intellectuelle et financière. Le FBI pilote la « National Cyber Investigative Joint Task Force » (NCIJTF), qui regroupe les efforts du gouvernement, des industries, du monde académique et des agences du renseignement contre le cybercrime .

Le Royaume-Uni a développé un réseau de « Regional Organised Crime Units (ROCUs) », qui sont des partenaires de confiance du NCSC. Chacune comporte une équipe de cyber sécurité travaillant conjointement avec les entreprises, les organisations et les communautés pour réduire l’impact du cybercrime.

En France la Direction Nationale de la Police Judiciaire (DNPJ) comporte l’office anti-cybercriminalité (OFAC), qui anime et pilote le plan national cyber impliquant à la fois la police et la gendarmerie. Pour la police, l’OFAC enquête sur les cas graves de cyberattaques, établit un état de la menace, notamment par la collecte de plaintes et signalements de contenus illicites. La Gendarmerie comporte l’Unité Nationale Cyber (UNCyber), dont la mission principale est de prévenir et réprimer les formes spécialisées, organisées ou transnationales de la cybercriminalité.

En Belgique la police judiciaire fédérale comporte une division spécialisée dans la cybercriminalité : la Federal Computer Crime Unit (FCCU [12]). Cette unité est compétente notamment en matière de fraude sur Internet, de criminalité ICT (hacking, virus et faux en informatique). La FCCU collabore avec le Centre pour la Cybersécurité (CCB) pour lutter [13] contre les rançongiciels, dans le cadre d’un projet créé par Europol et la police néerlandaise, avec le concours de Kaspersky Lab et de Intel Security Lab.

(3) Les armées et les cybermenaces

Les armées des États se voient elles aussi confier des missions de cyber luttes, défensives ou offensives, dans leur domaine.

Les États-Unis ont développé une cyber armée sous le commandement du « US Cyber Command », et dont les objectifs sont la sécurisation des systèmes d’armes et la protection des infrastructures critiques, y compris les réseaux informatiques militaires, la conception, la planification et la conduite d’opérations militaires dans le cyberespace.

Au niveau de l’Union Européenne 18 pays ont signé l’accord de coopération MICNET [14], qui vise à renforcer la coordination et l’efficacité des réponses de leurs cyber-armées aux attaques informatiques.

Le Royaume-uni a mis sur pied la “National Cyber Force (NCF)”. Fruit d’un partenariat entre la défense et le renseignement (MI6 et GCHQ), elle agit offensivement dans le cyberespace pour épauler par ses cyber offensives les actions de l’armée britannique sur un champ de bataille, détruire les systèmes de communication de l’ennemi, et combattre les menaces de sécurité en provenance d’organisations ou d’États hostiles.

En France le Commandement de la Cyberdéfense (ComCyber) rassemble l’ensemble des forces de cyberdéfense du ministère des armées, qui ont pour missions de défendre les systèmes d’information militaires, et de concevoir, planifier et conduire des opérations militaires dans le cyberespace.

En Belgique l’armée comporte le Cyber Command qui est chargé de sécuriser les réseaux et les systèmes d’armes employés par l’armée belge, de collecter des renseignements au profit du Service Général de Renseignement et Sécurité (SGRS) de l’armée, et de mener des opérations dans le cyberespace.

(4) Les réponses juridiques et réglementaires

La défense vis-à-vis des cybermenaces passe également par le renforcement des lois. Les pays industrialisés ont travaillé en ce sens, à leur niveau et également à l’international.

Le Conseil de l’Europe – la Convention de Budapest

La Convention de Budapest ou Convention sur la cybercriminalité du Conseil de l’Europe est la norme internationale la plus complète en cette matière, et regroupe actuellement 69 pays. Elle présente une ligne directrice pour tout pays élaborant une réponse législative pour lutter contre la cybercriminalité, et offre un cadre de coopération internationale pour l’échange des expériences entre spécialistes. La Convention incrimine les actes cybercriminels comme l’accès illégal, l’atteinte à l’intégrité des données et des systèmes, la fraude informatique, la pornographie enfantine. Elle améliore l’efficacité des enquêtes et l’obtention de preuves électroniques. Les états qui suivent sont parties prenantes à la convention et ont développé les réponses suivantes dans leurs espaces juridiques.

Les États-Unis ont promulgué des lois fédérales générales ou sectorielles :

• le « Cybersecurity Enhancement Act (2014) améliore la sécurité du réseau fédéral, par l’implémentation de meilleures pratiques de cybersécurité par les agences fédérales, dont les moyens de détection d’intrusions du DHS.
• Dans le secteur de la santé, le « Health Insurance Portability an Accountability Act » (HIPAA) protège les informations de santé contre toute divulgation non consentie par les patients, et promeut des règles de sécurité pour protéger les traitements électroniques des informations de santé.
• Dans le secteur bancaire, la « Gramm-Leach-Bliley Act » (GLBA) oblige les institutions financières à protéger les informations sensibles de leurs clients.
• La « Critical Infrastructure Protection Act » autorise le DHS à mener des actions de prévention et de réponse cyber sécuritaire à des incidents frappant les agences fédérales ou les infrastructures critiques des États Unis.
• Le « Can-Spam Act » impose des pénalités à la transmission de messages électroniques commerciaux non sollicités.
• Le « Cyber Executive Order » (2021), décret-loi de la Maison Blanche, impose aux sous-traitants des agences fédérales une standardisation contractuelle des requis de cybersécurité pour leurs systèmes d’information. Cette loi vise à responsabiliser les entreprises, toutefois uniquement vis-à-vis des autorités publiques.
• Les États-Unis n’ayant pas de loi fédérale équivalente au RGPD européen en matière de protection des données à caractère personnel, certains États américains ont développé leurs propres lois non-fédérales dans ce domaine, comme le « California Consumer Privacy Act » (CCPA) et le « Virginia Consumer Data Protection Act » (VCDPA). Ces lois imposent aux entreprises commerciales de prendre des mesures cyber sécuritaires appropriées pour protéger leurs données de vie privée contre toutes malversations.

Le Royaume-Uni a également promulgué certains actes relatifs à la cybersécurité :

• La loi « Electronic Communications Act 2000 » vise à renforcer la confiance vis-à-vis du commerce électronique, via des technologies comme la cryptographie et l’usage sécurisé de signatures électroniques.
• Le « Data Protection Act 2018 » et la révision anglaise du RGPD européen – la « Data Protection and Digital Information Bill » - concourent tous les deux à réguler comment toute entreprise en Angleterre doit collecter, stocker, utiliser, traiter et sécuriser des données à caractère personnel.
• La directive européenne NIS (Sécurité des réseaux et des systèmes d’information) reste d’application au Royaume-Uni.
• Le « Computer Misuse Act 1990 » régule les usages malveillants des équipements de communication électronique par les cybercriminels.
• La « Telecommunications (Security) Act 2021 » réglemente la sécurité contre les cyberattaques de tous les opérateurs mobiles au Royaume-Uni.
• L’« eIDAS regulation » précise les requis à respecter par les fournisseurs de services de confiance, comme la signature électronique, de même que les mesures sécuritaires à mettre en œuvre pour minimiser les incidents de sécurité dans ce domaine.
• La directive européenne « communications électroniques 2003 », reste d’application au Royaume-Uni, pour maintenir la sécurité des services de communication, et préserver la vie privée de leurs utilisateurs.

En France la législation française est alignée avec les règlements et directives de la législation européenne. Toutefois, la France promulgue également des lois de programmation militaire (LPM), valables pour une durée de 4 à 7 ans, et visant à renforcer l’arsenal cybersécuritaire français. La dernière en date développe un pôle d’excellence autour de l’École Polytechnique pour renforcer les missions cyber confiées au ministère des armées.

L’Union Européenne développe un cadre juridique cohérent et contraignant pour obliger les entreprises à faire face aux cybermenaces. Les principales lois sont :

• la Directive « Réseaux et Systèmes d’Information 2 », également appelée « Directive NIS2 (révision en cours de l’actuelle directive NIS) », qui impose des mesures de gestion des risques en matière de cybersécurité ainsi que des obligations d’information pour les entreprises agissant dans des secteurs critiques, dits importants (comme la fabrication de produits chimiques, de produits informatiques, de véhicules automobiles), ou hautement critiques, dits essentiels (comme l’énergie, le transport, les infrastructures numériques).
• le Règlement sur la cyber résilience, ou « Cyber Resilience Act », également appelé « Règlement CRA », qui impose aux fabricants de produits comportant des éléments numériques de certifier leur conformité avec les obligations de cybersécurité, selon des processus dont le degré de contrainte est fonction du caractère critique des produits (les non critiques, ceux à bas risques et ceux à haut risque) ;
• le Règlement Général de Protection des Données, également appelé « Règlement RGPD », qui impose aux entreprises une démarche rigoureuse dans l’élaboration de traitements de données à caractère personnel, en particulier pour celles de nature très sensibles ;
• la Directive relative à la responsabilité du fait des produits défectueux, ou « Liability Product Directive » ou « Directive LPD », qui institue pour les produits digitaux (en ce compris l’AI, l’IoT et la robotique) un régime de responsabilité sans faute, dont la charge de la preuve est ainsi mieux répartie entre les clients et les fabricants.
• Le règlement « Digital Operational Resilience Act », aussi appelé DORA, et la directive associée sont entrés en vigueur en janvier 2023. Il définit un cadre réglementaire s’appliquant spécifiquement aux services financiers, afin de s’attaquer aux risques posés par la profonde transformation numérique de ces derniers et à la multiplication de cyberattaques, de plus en plus sophistiquées, à l’encontre des acteurs du secteur financier.

La plupart de ces lois instituent des organismes spécifiques en charge de surveiller leur bonne mise en application par les industriels : les autorités nationales compétentes pour mener des audits et analyse de cybersécurité pour la Directive NIS2, les autorités nationales de surveillance du marché pour le Règlement CRA, les autorités nationales de protections des données pour le Règlement RGPD.

Enfin l’impact de ces lois s’étend au-delà des frontières de l’Union car elles imposent leurs standards aux sociétés non issues de l’Union Européenne. Pour la LPD, la mise en place d’un cadre de régulation entre l’Union Européenne et les fabricants situés en dehors de l’Union vise également à assurer une meilleure protection des consommateurs européens.

Conclusion

Face à l’impact et l’ampleur croissants des cyberattaques, l’objectif des États industriels est de garantir une société sûre, tant sur le plan réel qu’électronique, garantissant autant l’épanouissement individuel, que le développement économique. La constitution de cadres législatifs rigoureux et l’institution d’organismes experts en cybersécurité sont les deux piliers de la réponse étatique, visant à la fois à protéger, conscientiser et également contraindre les citoyens et les entreprises à adopter les comportements salvateurs dans nos sociétés modernes.