Le droit pénal à l’épreuve des cyberattaques

Le Club des juristes est décidemment sur tous les fronts du droit. Après l’arbitrage en ligne, l’activisme actionnarial, puis le droit européen de la compliance, c’est sur la cybercriminalité que le think tank juridique se penche désormais. Force est en effet de constater que les cyberattaques se sont multipliées ces dernières années. EDF en 2011, Orange en 2014, Eurofins en 2019, Saint-Gobain en 2020, les infractions visant les systèmes de traitement automatisés de données (STAD) se multiplient. Et la pandémie liée au Covid-19 n’a rien arrangé, certaines personnes plus vulnérables ayant été des victimes faciles. En août 2020, le secrétaire général d’Interpol avait d’ailleurs alerté le public contre ces attaques « exploitant la peur et l’incertitude causées par la situation économique et sociale instable du fait du Covid-19 ». Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le reconnaît lui-même : « Le nombre d’attaques par rançongiciel traitées par l’ANSSI a été multiplié par 4 entre 2019 et 2020, passant de 54 à 192 ». Des villes françaises comme La Rochelle, Aix-en-Provence, Marseille, ou encore Vincennes en ont fait les frais. Mais également une trentaine d’hôpitaux et de nombreuses entreprises. Selon un rapport publié par IBM, le coût moyen mondial d’une attaque informatique a augmenté de 12 % durant ces cinq dernières années. Il était de 3,92 M$ en 2019. Saint-Gobain a évalué le coût de l’attaque qu’elle a subi à 220 M€, tandis qu’Eurofins a estimé la facture à 62 M€. L’adage « Mieux vaut prévenir que guérir » n’a jamais eu autant de sens.

Prévenir le risque de cyberattaque

Le rapport du Club des juristes est donc sans ambages : « Il est indispensable d’intégrer le risque numérique dans la gestion globale des risques des entreprises ». Depuis la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, l’arsenal pénal français s’est étoffé et s’adapte régulièrement à l’évolution de la menace. Mais depuis le Règlement européen sur la protection des données (RGPD) de 2018, l’imprudence et la négligence de l’entreprise dans la sécurité des données personnelles dont elle dispose sont également sanctionnées. En clair, l’entreprise peut être victime d’une cyberattaque, mais aussi voir sa responsabilité engagée pour manquement à la sécurité des données, sur le plan administratif et pénal. Le rapport rappelle par exemple que « Le 7 mai 2018, la CNIL a prononcé, à l’encontre de la société Optical Center, une sanction de 250 000 € pour insuffisance de sécurisation de données de ses clients, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés ». À l’étranger, s’ajoute également le risque non négligeable de class action à l’encontre de l’entreprise. Le rapport fait par exemple état de l’affaire Target, dans laquelle la chaîne de supermarchés avait été victime d’un vol massif de données personnelles de ses clients – dont des données bancaires – en 2013. « Plus de 80 poursuites judiciaires et actions collectives ont été menées, y compris à l’encontre de ses dirigeants. La dernière évaluation du coût de ces réclamations s’élevait, en octobre 2017, à 65 M$ de frais de défense et d’investigation », précise-t-il. Face à la menace, le groupe de travail recommande donc aux entreprises de suivre quelques règles. D’abord d’instaurer une gouvernance transversale des données et du patrimoine informationnel de l’entreprise à travers la réalisation d’audit de vulnérabilité, de mise en conformité au RGPD, d’organisation de procédures pour identifier les incidents. Mais aussi de revoir les contrats d’externalisation des données avec les prestataires et d’assurance cyber, sans oublier les contrats de travail avec l’insertion de clauses types de protection des données. Il recommande également de former les collaborateurs et de disposer d’un plan de communication interne et externe en cas de crise¹.

Des préconisations à l’attention du gouvernement

En début d’année, le président Emmanuel Macron a annoncé sa volonté de développer l’écosystème industriel français de cybersécurité. C’est dans cette perspective, que le groupe de travail formule 10 préconisations pour faire avancer la lutte contre la cybercriminalité.

1- Faire de la lutte contre la cybercriminalité une cause nationale pour 2022.

2- Promouvoir la spécialisation des magistrats du siège et du parquet et leur formation continue.

3- Renforcer la coopération public/privé et orienter l’investissement public et privé vers l’émergence d’une filière française et européenne d’excellence en cybertechnologie.

4- Étoffer les services de la justice en matière de lutte contre la cybercriminalité.

5- Simplifier les procédures d’enquête sous pseudonyme dans le Darknet.

6- Adopter un régime européen de conservation des données permettant de répondre aux besoins opérationnels des services répressifs et judiciaires.

7- Inciter les États sanctuaires à mettre fin à l’impunité des groupes cybercriminels.

8- Signer des protocoles avec l’ensemble des agences et autorités administratives indépendantes concernées.

9- Investir dans la prévention contre les cyberattaques.

10- En cas de cyberattaque, déposer immédiatement plainte.

Et Bernard Spitz de conclure : « Ces préconisations sont les conditions, pour la France, de disposer des atouts essentiels de compétitivité et de souveraineté de notre pays dans le contexte des développements technologiques engagés au xxi^e siècle sur la voie du digital et de l’intelligence artificielle. Il est rare que des enjeux d’une telle importance ne requièrent pas des investissements hors de portée. Ces propositions sont à notre portée sur le plan financier. Il leur reste à pouvoir s’appuyer sur une réelle volonté politique. ».

Notes : 

En complément, lire notre table ronde « Cyberattaque : anticipation et gestion de crise », dans le magazine LJA 65, avril 2020.