Focus : le traitement juridique et judiciaire des cyberattaques

cyberattaques

Les cyberattaques sont de plus en plus ciblées, sophistiquées et massives et, en raison de la crise sanitaire, il y a tout lieu de penser que, dans un contexte où le télétravail est roi, on enregistrera une nouvelle hausse de la cybercriminalité.

Google a annoncé intercepter chaque jour plus de 18 millions de courriers électroniques malveillants ou d’hameçonnage liés au Covid-19 (1). De la même manière, les cyberattaques par rançongiciel ont explosé, sur l’année 2020, l’Anssi en a traité 192 contre 54 en 2019.

Le risque cyber est bien réel et souvent sous-estimé. En effet, le coût moyen en 2020, en France, des cyberattaques s’élevait à 35.000 euros contre 9.000 euros en 2019, et pour les grandes entreprises (de plus de mille employés), la moyenne des pertes est de 458.000 euros. Dans le monde, l’impact financier pour les entreprises ciblées a presque été multiplié par 6, avec un coût médian de 50.000 euros.

Le Club des juristes, dans un objectif de sensibilisation des différents acteurs, a publié en avril 2021 un rapport qui traite du droit pénal à l’épreuve des cyberattaques (2). Ce texte de 90 pages est construit de la manière suivante :

  • un premier chapitre consacré au traitement juridique des cyberattaques et leurs conséquences économiques et sociales ;
  • un second dédié aux réponses judiciaires ;
  • enfin un dernier chapitre dans lequel 10 préconisations sont émises par le groupe de travail.

La publication de ce rapport offre l’occasion de revenir sur ses préconisations et plus généralement sur les questions relatives au traitement juridique des cyberattaques, pour une meilleure amélioration de la cyberjustice.

Généralité sur le cadre juridique des cyberattaques

Le rapport du Club des juristes rappelle l’encadrement légal des cyberattaques avec les lois :

  • LIL : loi n°78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés ;
  • Godfrain : loi n°88-19, du 5 janvier 1988, relative à la fraude informatique (modifiant le Code pénal) ;
  • LCEN : loi n°2004-575, du 21 juin 2004, pour la confiance dans l’économie numérique ;
  • Lemaire : loi n°2016-1321, du 7 octobre 2016, pour une République numérique ;
  • la loi n°2019-222, du 23 mars 2019, de programmation et de réforme de la justice.

Ce corpus législatif constitue aujourd’hui le référentiel légal applicable aux cyberattaques qui, depuis 1978 et la loi Informatique et libertés, ont augmenté considérablement.

L’étude de la répression des cyberattaques suppose de définir la notion de « système de traitement automatisé de données » (ci-après « STAD ») qui ne dispose pas de définition légale dans la loi Godfrain précitée relative à la fraude informatique.

La jurisprudence a retenu une interprétation extensive de la notion de STAD, qu’il est donc possible de définir comme un ensemble d’éléments physiques et des programmes employés pour le traitement de données, ainsi que des réseaux assurant la communication entre les différents éléments du système informatique.

Les droit pénal et les cyberattaques

Le Code pénal réprime les atteintes aux systèmes de traitement automatisés de données :

Il est intéressant de noter que les attaques par ransomware peuvent constituer tout ou partie des infractions d’atteintes au STAD précitées mais également constituer une extorsion de fonds ou une tentative d’extorsion de fonds, réprimée par l’article 312-1 du Code pénal.

L’appréhension pénale de l’atteinte à un STAD a soulevé plusieurs problématiques.

Une première sur la détermination de la notion de « maître du système » qui n’était pas définie dans la loi Godfrain. La chambre criminelle de la Cour de cassation (Cass. Crim. 10 déc. 1998, n°97-85.867) a finalement repris la définition proposée par le Sénat, à savoir que le maître du système désigne « toute personne physique ou morale, toute autorité publique, service ou organisme (…) compétent pour disposer du système ou (…) de sa conception, de son organisation ou de ses finalités. »

Une seconde problématique portait sur la question de savoir si la protection du système informatique par un dispositif de sécurité était une condition des infractions aux STAD, la loi ne fournissant pas la réponse, c’est la jurisprudence qui a une nouvelle fois tranchée. Ainsi, il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées.

Les préconisations du Club des juristes

Dans le rapport précité, le Club des juristes a émis des recommandations à l’encontre de différents acteurs afin de renforcer le traitement judiciaire des cyberattaques, ainsi que la prévention et la sensibilisation des différents acteurs. Ces préconisations visent :

  • le gouvernement
  • le ministère de la Justice ;
  • l’Agence nationale de la sécurité des systèmes d’information (Anssi) ;
  • les entreprises.

Les recommandations au Gouvernement

En effet, le Club des juristes invite dans un premier temps le Gouvernement à faire « de la lutte contre la cybercriminalité une cause nationale pour 2022 », ce qui témoigne de l’importance d’appréhender les enjeux et les conséquences des cyberattaques.

En cela, il est recommandé au Gouvernement de mettre en place des campagnes de sensibilisation et d’information, et la conclusion de protocoles entre le ministère de la Justice et la plateforme cybersurveillance du Gouvernement (3).

Le Club des juristes encourage également les instances européennes à adopter un régime de conservation des données ; ce afin de pouvoir répondre aux besoins opérationnels des services répressifs et judiciaires ;

Spécialiser la justice en matière de cyberattaques

Ce rapport met également l’accent sur la nécessité d’encourager la spécialisation de la justice sur ces questions de cybersécurité, au travers de préconisations à l’attention du ministère de la Justice. En effet, les rédacteurs encouragent notamment :

  • la création d’une filière de cyber-magistrats (par exemple par une formation diplômante) ;
  • le renforcement du pôle cyber au niveau du Parquet de Paris ;
  • le renforcement de la spécialisation d’une chambre du tribunal judiciaire en matière de droit du numérique et de cybercriminalité ;
  • la création d’un département numérique et cyber, au niveau de la Cour d’appel de Paris, composé de magistrats du Siège et du Parquet ;
  • accentuer les formations communes à l’École de formation du barreau et l’École nationale de la magistrature ainsi que celles communes à la Police nationale, la Gendarmerie nationale et les Douanes sur le droit du numérique et la lutte contre la cybercriminalité, avec des stages pratiques dans les services spécialisés ;
  • désigner un référent cyber pour chaque cour d’appel en actualisant régulièrement la liste.

De surcroît, il est intéressant de relever qu’un accent est mis sur la nécessité de mettre en place une filière française et européenne « d’excellence en matière de cyber-technologie » pour traiter de la cyber-protection et du traitement juridique de la menace cyber.

Les experts en cybercriminalité

La complexité du domaine de la cybersécurité et, plus spécifiquement, des cyberattaques, appellent naturellement – comme l’a relevé le Club des juristes – à renforcer le recours à des experts pour éclairer les juges. En ce sens, le rapport préconise de :

  • recruter des cadres et assistants spécialisés en cybersécurité, au niveau du tribunal judiciaire et de la Cour d’appel de Paris ;
  • développer des échanges avec les compagnies d’experts judiciaires ;
  • d’introduire une spécialité sur le numérique et la cybersécurité dans la nomenclature des experts judiciaires;
  • signer des protocoles entre la justice, le Barreau et le ministère de l’Intérieur afin de partager l’information entre chaque responsable.

Renforcer la mise en place d’expertises irait dans le sens d’une bonne administration de la justice ; démarche louable au regard de la complexité de la matière.

L’enjeu du partage d’information n’est pas nouveau dans le monde de la cybersécurité. En effet, des dispositifs existent déjà pour permettre de lutter au mieux contre les failles de sécurité. C’est par exemple le cas de l’Indicator of Compromise (IoC) ou encore de la règle de la Chatham House.

Les préconisations à destination de l’Anssi

Certaines recommandations du rapport du Club des juristes sont destinées à l’Anssi.

Le rapport incite l’Anssi à mettre en place une collaboration avec les « États sanctuaires » pour mettre un terme à l’impunité des groupes cybercriminels. Cette préconisation vise à permettre la mise en place d’une véritable solidarité internationale dans la lutte contre la cybercriminalité.

De même, le rapport invite l’Anssi à signer des protocoles avec l’ensemble des agences et autorités administratives indépendantes concernées. Ceci afin d’automatiser leur procédure de signalement, permettant la mutualisation des données résultant d’incidents. On retrouve encore une fois, dans cette recommandation, les enjeux autour de l’échange d’information, véritable mécanisme de prévention.

Les entreprises face aux cyberattaques

Enfin, le rapport invite les entreprises à investir davantage dans la prévention contre les cyberattaques et de déposer plainte immédiatement en cas d’attaque externe afin de permettre aux forces de police ou de gendarmerie de remonter et de démanteler les réseaux.

En tout état de cause, ce rapport permet de relancer et d’alimenter les réflexions sur la répression juridique des cyberattaques.

Virginie Bensoussan-Brulé
Barthélémy Busse
Lexing Contentieux numérique

______________________________
(1) Le Point, 18 avril 2020, Coronavirus : 18 millions de spams malveillants bloqués chaque jour par Google.
(2) Le Club des juristes, Rapport Le droit pénal à l’épreuve des cyberattaques, avril 2021.
(3) Cybermalveillance.gouv.fr