La cybercriminalité ne cesse de croître engendrant une hausse importante du nombre des attaques et des coûts qui y sont associés. Les citoyens et les entreprises, pour diverses raisons, ne prenant pas ces menaces suffisamment en compte, les États se sont emparés du problème en y répondant sur le plan légal et institutionnel. Cet article détaille ces différentes mesures et les enjeux qui y sont liés.
La cybercriminalité s’appuyant largement sur Internet, elle concerne tout autant les citoyens dans le quotidien de leur vie privée ou professionnelle, les entreprises dans leurs activités économiques, que les États dans leur fonction de protection de la collectivité. Ces trois atteintes, respectivement qualifiées de sociétales, économiques et géopolitiques, génèrent des coûts considérables.
Ainsi, pour les personnes, outre les atteintes morales ou psychologiques par intimidation, harcèlement ou chantage, le dommage peut également se traduire en extorsion de montants considérables à l’échelle de l’individu. Par exemple en Angleterre, la fraude dite "à la récompense" peut coûter [1] à sa victime entre 50 et 240.000 £.
Dans le domaine économique, aux États Unis, l’envoi massif de pourriels pour favoriser la vente de marchandises contrefaites a généré [2] 85 millions $ de revenus frauduleux sur une période de trois ans. Dans le domaine de l’industrie de la publicité [3], la fraude au « click » par usage de botnet a coûté à ce secteur 100.000 $ par jour. Les attaquants faisant usage de rançongiciels parviennent en moyenne à extorquer 100.000 $ par attaque. Le préjudice va au-delà de la simple rançon, car il peut aussi se traduire par l’arrêt de la production, et la chute du chiffre d’affaires. Ainsi, la figure qui suit présente le coût moyen lié au temps d’arrêt, causé par les rançongiciels [4], par incident, pour les années 2018 à 2021 :
Or ce genre d’attaque est appelé à croître, jusqu’à deux par seconde [5] en 2031, le coût mondial pouvant alors dépasser les 265 milliards $ ! En France, 65 % des entreprises [6] sont touchées par ce phénomène. Or le niveau de protection des entreprises est assez faible, les pirates parvenant à les infiltrer dans 93 % des cas, non seulement pour les rançongiciels, mais également pour les logiciels espions, les chevaux de Troie,… le paiement de la rançon ne garantissant la récupération de la totalité des données que dans 8 % des cas !
Enfin dans le domaine géopolitique, pour les deux décennies passées, les statistiques sur le nombre des attaques [7] visant directement les gouvernements, leurs entreprises technologiques et de défense, et ayant engendré par attaque un coût minimum de 1 million $, révèlent l’ampleur suivante : 156 attaques de ce type pour les États Unis, 47 pour le Royaume-Uni, 11 pour la France, 12 pour le Canada, 21 pour l’Allemagne, 16 pour l’Australie, 16 pour Israël, 23 pour l’Inde...
Malgré l’ampleur de ces chiffres et leur croissance continue avec l’évolution des technologies et l’inventivité à les utiliser par les cybercriminels, les citoyens et les entreprises ont trop peu pris conscience de l’urgence de la situation. Les États ont donc compris qu’il leur revenait de s’emparer de ce sujet, et d’y répondre par un cadre organisationnel et juridique contraignant. Cet article présente les réponses développées par les États Unis, le Royaume-Uni, la France, la Belgique, et également de façon plus large l’Union Européenne.
La grande variabilité des cybermenaces entraîne que la réponse sécuritaire va s’appuyer sur un chaîne d’organismes spécialisés. L’efficacité de cette chaîne dépend autant du niveau d’expertise et des compétences techniques de chacun des organismes, que de leur prompte réactivité, individuelle et collective face à la menace, et de leur cohérence dans leur coordination, nationale et internationale. Ces organismes seront principalement en lien avec les institutions civiles, la police ou l’armée. Enfin, la réponse sécuritaire s’est également exprimée dans les textes de lois, qui seront exposés dans la quatrième section.
(1) Les institutions civiles et la cybercriminalité
Les institutions étatiques des pays industrialisés ont incorporé des organismes spécialisés dans la lutte contre les cybermenaces. L’Union Européenne a également réagit en ce sens.
L’Etat Américain a fait du sujet de la cybersécurité une matière transversale à plusieurs de ses départements, comme les Département d’État (DoS), du Commerce (DoC), du Trésor (USDT), de la Sécurité Intérieure (DHS) et de la Défense (DoD). Ces départements comportent une agence ou un organisme spécifique à la cybersécurité :
L’Union Européenne a institué l’ENISA, qui veille à garantir un niveau élevé commun de cybersécurité dans toute l’Europe, par la mise en place d’une véritable politique de sécurité, cohérente et impactant tous les secteurs de la société.
La CISA et l’ENISA coopèrent en échangeant des informations relatives à certaines de leurs législations (comme la Directive NIS2 pour l’Europe, relative à la sécurité des réseaux et des systèmes d’information), ou relatives à l’évolution du paysage des cybermenaces.
Le Royaume-Uni a institué le « Government Communications Headquarter » (GCHQ) qui, en interagissant avec les services de renseignements intérieurs et extérieurs (MI5 et MI6), fournit au gouvernement britannique des informations leur permettant de gérer les menaces en provenance d’États ou organisations hostiles. Au sein du GCHQ, le « National Cyber Security Centre » (NCSC) conseille, notamment les entreprises, en matière de mesures de cybersécurité pour se protéger, et minimiser le préjudice en cas d’incidents.
La France comporte deux organismes : d’une part l’organe de Coordination Nationale du Renseignement et de la Lutte contre le Terrorisme (CNRLT), directement lié au Président de la République, et d’autre part l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI [9]), qui relève du Premier Ministre et est l’autorité nationale centrale en matière de cybersécurité. Les deux organismes collaborent pour défendre les infrastructures vitales du pays, accroître la connaissance en matière de cybersécurité et la partager au sein de réseaux de coopération français, européens et internationaux, promouvoir une culture de la cybersécurité tant auprès des citoyens que des entreprises et accompagner ces dernières dans l’application de mesures de sécurisation de leurs systèmes d’information.
Avec les services de renseignements (Direction Générale de la Sécurité Intérieure/Extérieure (DGSI/DGSE)) et le commandement militaire de la cyberdéfense (ComCyber), l’ANSSI est à la tête du Centre de Coordination des crises cyber, qui analyse la menace d’une attaque majeure et y propose des réactions appropriées.
En Belgique, le Centre pour la Cybersécurité Belgique (CCB [10]) est l’organisation responsable de la cybersécurité. Il relève de l’autorité du premier ministre, dont la Chancellerie lui assure un appui administratif et logistique pour l’exécution de ses missions. Vis-à-vis de ces dernières, le Centre est responsable quant :
Pour le conseil aux entreprises, le CCB propose sur son site web des mesures (« CyberFundamentals [11] ») concrètes visant à protéger les données, à réduire le risque des cyberattaques les plus courantes et à accroître la cyber résilience d’une organisation.
(2) La police et la cybercriminalité
Tant au plan international que national, les organes de police se sont dotés d’unités spécialisées dans la lutte contre les diverses formes de cybercriminalité.
Interpol ou « Organisation Internationale de police criminelle », organisation intergouvernementale regroupant 196 pays membres, soutient ces derniers dans quatre domaines de criminalité mondiaux requérant des réactions urgentes, et parmi lesquels figure la cybercriminalité.
Europol fondée par les 27 États Membres de l’Union Européenne, est financée par le budget communautaire, et est contrôlée par le Parlement Européen. Ses bureaux de La Haye abritent le Centre européen de lutte contre la cybercriminalité ("EC3"), dont le but est de protéger les citoyens contre la cybercriminalité en ligne.
Aux États Unis le FBI ou « Federal Bureau of Investigation » a dans ses attributions la lutte contre la cybercriminalité, tant orchestrée par les individus, que par les organisations et États criminels, dans leur quête à compromettre les réseaux et infrastructures critiques américains, et à voler la propriété intellectuelle et financière. Le FBI pilote la « National Cyber Investigative Joint Task Force » (NCIJTF), qui regroupe les efforts du gouvernement, des industries, du monde académique et des agences du renseignement contre le cybercrime .
Le Royaume-Uni a développé un réseau de « Regional Organised Crime Units (ROCUs) », qui sont des partenaires de confiance du NCSC. Chacune comporte une équipe de cyber sécurité travaillant conjointement avec les entreprises, les organisations et les communautés pour réduire l’impact du cybercrime.
En France la Direction Nationale de la Police Judiciaire (DNPJ) comporte l’office anti-cybercriminalité (OFAC), qui anime et pilote le plan national cyber impliquant à la fois la police et la gendarmerie. Pour la police, l’OFAC enquête sur les cas graves de cyberattaques, établit un état de la menace, notamment par la collecte de plaintes et signalements de contenus illicites. La Gendarmerie comporte l’Unité Nationale Cyber (UNCyber), dont la mission principale est de prévenir et réprimer les formes spécialisées, organisées ou transnationales de la cybercriminalité.
En Belgique la police judiciaire fédérale comporte une division spécialisée dans la cybercriminalité : la Federal Computer Crime Unit (FCCU [12]). Cette unité est compétente notamment en matière de fraude sur Internet, de criminalité ICT (hacking, virus et faux en informatique). La FCCU collabore avec le Centre pour la Cybersécurité (CCB) pour lutter [13] contre les rançongiciels, dans le cadre d’un projet créé par Europol et la police néerlandaise, avec le concours de Kaspersky Lab et de Intel Security Lab.
(3) Les armées et les cybermenaces
Les armées des États se voient elles aussi confier des missions de cyber luttes, défensives ou offensives, dans leur domaine.
Les États-Unis ont développé une cyber armée sous le commandement du « US Cyber Command », et dont les objectifs sont la sécurisation des systèmes d’armes et la protection des infrastructures critiques, y compris les réseaux informatiques militaires, la conception, la planification et la conduite d’opérations militaires dans le cyberespace.
Au niveau de l’Union Européenne 18 pays ont signé l’accord de coopération MICNET [14], qui vise à renforcer la coordination et l’efficacité des réponses de leurs cyber-armées aux attaques informatiques.
Le Royaume-uni a mis sur pied la “National Cyber Force (NCF)”. Fruit d’un partenariat entre la défense et le renseignement (MI6 et GCHQ), elle agit offensivement dans le cyberespace pour épauler par ses cyber offensives les actions de l’armée britannique sur un champ de bataille, détruire les systèmes de communication de l’ennemi, et combattre les menaces de sécurité en provenance d’organisations ou d’États hostiles.
En France le Commandement de la Cyberdéfense (ComCyber) rassemble l’ensemble des forces de cyberdéfense du ministère des armées, qui ont pour missions de défendre les systèmes d’information militaires, et de concevoir, planifier et conduire des opérations militaires dans le cyberespace.
En Belgique l’armée comporte le Cyber Command qui est chargé de sécuriser les réseaux et les systèmes d’armes employés par l’armée belge, de collecter des renseignements au profit du Service Général de Renseignement et Sécurité (SGRS) de l’armée, et de mener des opérations dans le cyberespace.
(4) Les réponses juridiques et réglementaires
La défense vis-à-vis des cybermenaces passe également par le renforcement des lois. Les pays industrialisés ont travaillé en ce sens, à leur niveau et également à l’international.
Le Conseil de l’Europe – la Convention de Budapest
La Convention de Budapest ou Convention sur la cybercriminalité du Conseil de l’Europe est la norme internationale la plus complète en cette matière, et regroupe actuellement 69 pays. Elle présente une ligne directrice pour tout pays élaborant une réponse législative pour lutter contre la cybercriminalité, et offre un cadre de coopération internationale pour l’échange des expériences entre spécialistes. La Convention incrimine les actes cybercriminels comme l’accès illégal, l’atteinte à l’intégrité des données et des systèmes, la fraude informatique, la pornographie enfantine. Elle améliore l’efficacité des enquêtes et l’obtention de preuves électroniques. Les états qui suivent sont parties prenantes à la convention et ont développé les réponses suivantes dans leurs espaces juridiques.
Les États-Unis ont promulgué des lois fédérales générales ou sectorielles :
Le Royaume-Uni a également promulgué certains actes relatifs à la cybersécurité :
En France la législation française est alignée avec les règlements et directives de la législation européenne. Toutefois, la France promulgue également des lois de programmation militaire (LPM), valables pour une durée de 4 à 7 ans, et visant à renforcer l’arsenal cybersécuritaire français. La dernière en date développe un pôle d’excellence autour de l’École Polytechnique pour renforcer les missions cyber confiées au ministère des armées.
L’Union Européenne développe un cadre juridique cohérent et contraignant pour obliger les entreprises à faire face aux cybermenaces. Les principales lois sont :
La plupart de ces lois instituent des organismes spécifiques en charge de surveiller leur bonne mise en application par les industriels : les autorités nationales compétentes pour mener des audits et analyse de cybersécurité pour la Directive NIS2, les autorités nationales de surveillance du marché pour le Règlement CRA, les autorités nationales de protections des données pour le Règlement RGPD.
Enfin l’impact de ces lois s’étend au-delà des frontières de l’Union car elles imposent leurs standards aux sociétés non issues de l’Union Européenne. Pour la LPD, la mise en place d’un cadre de régulation entre l’Union Européenne et les fabricants situés en dehors de l’Union vise également à assurer une meilleure protection des consommateurs européens.
Face à l’impact et l’ampleur croissants des cyberattaques, l’objectif des États industriels est de garantir une société sûre, tant sur le plan réel qu’électronique, garantissant autant l’épanouissement individuel, que le développement économique. La constitution de cadres législatifs rigoureux et l’institution d’organismes experts en cybersécurité sont les deux piliers de la réponse étatique, visant à la fois à protéger, conscientiser et également contraindre les citoyens et les entreprises à adopter les comportements salvateurs dans nos sociétés modernes.
[1] Adversarial behaviours knowledge area (version 1.0.1), G. Stringhini, Boston University
[2] Adversarial behaviours knowledge area (version 1.0.1), G. Stringhini, Boston University
[3] Adversarial behaviours knowledge area (version 1.0.1), G. Stringhini, Boston University
[4] Safety Detective : rançomwares, faits tendances et statistiques 2024 : https://fr.safetydetectives.com/blog/faits-tendances-et-statistiques-sur-les-rancongiciels-pour/
[5] Cybercrime magazine : https://cybersecurityventures.com/global-ransomware-damage-costs-predicted-to-reach-250-billion-usd-by-2031/
[6] Comparitech – statistiques et données sur la cybercriminalité en 2018-2022 : https://www.comparitech.com/fr/antivirus/statistiques-rancongiciels/#En_une_seule_annee_les_ransomwares_ont_touche_649_des_entreprises_francaises
[7] Statista : https://fr.statista.com/infographie/24848/pays-les-plus-touches-par-les-cyberattaques-majeures/
[11] CCB : CyberFundamentals Framework : https://atwork.safeonweb.be/fr
[13] Police Fédérale et CCB : partenariat contre les Rançongiciels : https://polinfo.kluwer.be/newsview.aspx?contentdomains=POLINFO&id=VS300521758&lang=fr
[14] MICNET : Military computer emergency response team operational network : https://www.defense.gouv.fr/actualites/leurope-renforce-sa-cooperation-cyberdefense