La cybercriminalité est la nouvelle menace du XXIe siècle… A partir du 1er juillet, le règlement européen eIDAS sera mis en application mais cela sera-t’il suffisant pour contrer ces faits divers toujours plus nombreux ? Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC nous apporte son analyse.

cybercriminalité

Les faits divers liés à la cybercriminalité sont toujours plus nombreux et variés. En atteste le vol des données personnelles de 112 000 policiers récemment commis par un employé d’une société sous-traitante de la Mutuelle générale de la police.

Ces données étaient stockées sur un « cloud » à l’accès protégé par un simple mot de passe, permettant à l’employé en question d’accéder et de s’approprier sans grandes difficultés des informations confidentielles non seulement sur les policiers mais aussi sur leurs proches.

Cette affaire met en lumière que la menace cybercriminelle ne vient pas toujours de l’extérieur mais peut également être interne aux organismes et entreprises. Le contrôle des risques liés à la perte d’informations se doit alors d’évoluer pour s’adapter à la typologie des différentes cyber-menaces.

Une expertise alarmante

Alors que l’affaire du vol de données des policiers était révélée à la presse, deux experts ont affirmé ce lundi 27 juin que les cyber-attaques visent dans 99% des cas à voler des données, mais que de plus en plus d’intrusions dans les réseaux informatiques des entreprises font craindre des tentatives de sabotage industriel ou des menaces terroristes.

Le directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi), Guillaume Poupard a qualifié ce phénomène d’ « inquiétant ». C’est en effet le moins que l’on puisse dire, car si un transfert anormal ou non-autorisé de données est en théorie identifiable, l’absence de captation d’informations rend le contrôle bien plus ardu.

cloud sécurisé

Comme l’Anssi le craint, il se peut que les terroristes ayant des moyens financiers sans compétences techniques en informatique fassent appel à des « mercenaires numériques » pour s’introduire dans des réseaux en vue d’exfiltrer de l’information au moment opportun.

La protection des « opérateurs d’importance vitale », une priorité affirmée

Les deux experts ont présenté les trois premiers arrêtés relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV) concernant les produits de santé, la gestion de l’eau et l’alimentation. D’autres arrêtés feront suite pour couvrir l’ensemble des 12 secteurs reconnus d’importance vitale, soit 249 opérateurs publics et privés identifiés comme tels.

Ainsi, dans le prolongement de la loi de programmation militaire de 2013, ce nouveau cadre juridique imposera aux OIV de se prémunir contre les risques de cyber-attaque.

cyber criminalité

Ils auront notamment une obligation de notifier les incidents aux autorités compétentes, devront respecter des consignes préétablies de bonnes pratique et seront soumis régulièrement à des contrôles d’application.

Comme l’a souligné M. Poupard, « la France est avec l’Allemagne un pays pionnier dans la protection des OIV », mais l’Europe n’entend pas respect simple spectatrice de ces efforts.

En février 2013, la Commission européenne a en effet proposé aux Etats membres et au Parlement d’adopter une directive « Network Security and Information » (NIS) qui a été approuvée en décembre 2015 et adoptée en première lecture par le Conseil de l’Europe en mai 2016. Celle-ci prévoit des mesures visant à assurer un haut niveau de confiance dans les systèmes de réseaux et d’informations de l’Union.

La stratégie de cybersécurité imposée aux Etats de l’UE d’ici 2018

Cette directive NIS est en fait le support nécessaire du règlement beaucoup plus général relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le but est à long terme d’obtenir un espace numérique sécurisé et performant au sein duquel les Etats membres coopèrent de manière harmonieuse pour lutter contre la cybercriminalité.

union européenne

Au niveau national, l’Union prévoit que tous les Etats membres devront créer une « computer emergency response team » (CERT), c’est-à-dire un centre d’alerte et de réaction aux attaques informatiques qui aurait pour mission de surveiller, analyser, avertir des risques et intervenir a posteriori.

Au niveau communautaire, la directive NIS prévoit la mise en place d’un réseau de communication interétatique afin de favoriser la circulation des alertes, la cybercriminalité n’ayant pas de frontières. La coopération paneuropéenne se fera sur la base du volontariat et du partage d’information des différents acteurs. Face à la cyber-menace, notamment de nature terroriste, la solidarité entre Etats apparaît en effet indispensable.

Antoine CHERON, avocat associé, est docteur en droit de la propriété intellectuelle, avocat au barreau de PARIS et au barreau de BRUXELLES et chargé d’enseignement en Master de droit à l’Université de Assas (Paris II). Il est le fondateur du cabinet d’avocats ACBM.