Une vigie de la cybercriminalité mondiale - Numéro 404
30/10/2009
Quelles raisons ont présidé à la création du FIC et en quoi consiste-t-il ?
Dans un contexte de mondialisation et de développement d’Internet, la dépendance croissante des entreprises vis-à-vis des technologies de l’information et de la communication (TIC) présente des risques que savent exploiter des délinquants de plus en plus organisés. La gendarmerie est un acteur institutionnel reconnu et légitime dans la lutte contre la cybercriminalité, phénomène récent mais en plein essor, profitant de l’anonymat et de l’ubiquité procurés par les TIC. Dans sa contribution à la politique publique d’intelligence économique, la gendarmerie a identifié la dépendance des entreprises vis-à-vis des TIC et le fait que celles-ci représentent une des vulnérabilités les moins bien gérées, faute de sensibilisation des chefs d’entreprise. Par ailleurs, la cybercriminalité ayant une dimension transnationale, son traitement nécessite une réponse adaptée, ainsi qu’un partage des savoir-faire.
Après ce constat, la solution d’un forum international s’est imposée à la région de gendarmerie Nord-Pas-de-Calais. La question du financement de ce projet d’envergure fut et demeure une préoccupation essentielle. Toutefois, l’intérêt porté à la problématique au niveau national et européen – la lutte contre la cybercriminalité étant une priorité de la direction Justice, liberté et sécurité de la Commission – a permis un cofinancement gendarmerie-UE. Les collectivités locales (conseil régional, municipalité de Lille, Lille Métropole communauté urbaine), ayant saisi les enjeux politiques et économiques de l’événement, ont contribué à son essor par un soutien sans faille et la volonté de faire de l’eurométropole lilloise un pôle d’excellence en la matière. La qualité des travaux, la synergie et la mobilisation des acteurs ont contribué au succès de ce rendez-vous annuel.
Plutôt qu’une grande messe tous publics, l’organisation a pris le parti de multiplier les ateliers couvrant la diversité des atteintes numériques et le développement des parades appropriées. Plusieurs conférences-débats se tiennent simultanément, ciblant des publics différents, afin de garantir une large interaction entre les intervenants (cent vingt au FIC 2009) et leurs auditeurs. Des sujets de fond sont suivis d’une année à l’autre, mais la programmation est arrêtée aussi tard que possible, afin de rendre compte des derniers développements de l’actualité. La quatrième édition se tiendra les 31 mars et 1er avril prochains à Lille. La programmation n’est pas encore arrêtée, mais quelques pistes nouvelles ou d’actualité seront certainement abordées, comme la cyberinfiltration pour les forces de l’ordre, les formations de sensibilisation aux risques d’Internet, la responsabilité du chef d’entreprise dans la protection de son système de traitement automatisé de données, l’émergence d’une cyberdéfense, ou la lutte contre le téléchargement illégal.
Quels sont les principaux enseignements des trois éditions précédentes ?
Les criminels exploitent toujours davantage le vecteur des TIC, alors que l’attention des utilisateurs à la nécessité de se protéger reste très insuffisante. La naïveté, sur le principe « qui pourrait bien s’intéresser à moi ? » confine au laisser-aller, voire à l’insouciance criminelle puisque cette attitude facilite le travail des délinquants. Et peu d’usagers sont conscients de leur responsabilité dans l’utilisation des TIC, ce qui freine la mise en place d’une politique de sécurité responsable.
Quelle est l’audience du FIC ? Et ses partenariats ?
La participation a augmenté chaque année de 50 % depuis le lancement. En 2009, le FIC a réuni mille quatre cents personnes, de dix-sept pays, et quatre cent cinquante entreprises, pendant une journée. Pour la prochaine édition, l’organisation table sur deux mille personnes représentant une trentaine de pays sur deux jours. Pour garantir la pertinence des contenus au regard des populations cibles, les organisateurs se sont attachés à développer de nombreux partenariats avec les acteurs nationaux et régionaux de la lutte contre la cybercriminalité. Administrations, associations, collectivités territoriales, universités, industries de la sécurité des systèmes d’information, organismes consulaires, sont autant d’intervenants sollicités dès que la thématique développée entre dans leur champ de compétence. Au plan international, le partenariat avec la Belgique est particulièrement développé. L’organisation s’attache à associer les représentants des autres pays pour identifier les différences d’approche et saisir toutes les opportunités d’échange de bonnes pratiques. L’expérience montre qu’après une première participation à titre d’observateur les pays renouvellent leur partenariat, en tenant un rôle plus actif dans les débats.
Les objectifs et missions du FIC ont-ils évolué ?
L’objectif principal demeure la sensibilisation des populations et des acteurs économiques au risque numérique en vue de développer leur résilience. Un espace d’exposition est réservé aux industriels qui développent des solutions de protection répondant aux besoins des entreprises, des collectivités et des particuliers. Le forum offre l’opportunité de mettre en réseau les parties prenantes (praticiens de la justice et des forces de l’ordre, acteurs économiques, collectivités territoriales, représentants de la société civile, chercheurs et enseignants), avec un partage d’expérience au niveau international. Avec le soutien des autorités françaises et de la Commission, un mandat prospectif s’affirme. Le forum a vocation à devenir un laboratoire d’idées européen, en vue d’une réponse internationale à la cybercriminalité, force de proposition pour la mise en place de politiques anticipant de nouveaux risques numériques.
La troisième édition a donné lieu à la publication d’un guide, Le Chef d’entreprise face aux risques numériques, édité en partenariat avec le Clusif1, et d’une Lettre ouverte aux dirigeants présentant dix recommandations pour la sécurité de l’espace numérique des entreprises. Ces documents ont fait l’objet d’une remise officielle aux autorités présentes au FIC 2009 et d’une mise en ligne sur le site www.fic2009.fr. Une version papier sera remise aux entrepreneurs présents au FIC 2010. Le guide énumère les principaux risques numériques auxquels sont confrontées les entreprises et formule quelques conseils de base, reposant sur une prudence élémentaire.
Le risque numérique est multiforme, et mal connu des services de répression sur le plan quantitatif, parce que les entreprises hésitent à porter sur la place publique l’exploitation de failles dans la protection de leur système de traitement de données. Il inclut les atteintes au patrimoine informationnel et à l’image de l’entreprise. La responsabilité pénale d’un chef d’entreprise peut être engagée dans le cas de vol de données à caractère personnel, d’hébergement de contenus illicites ou d’utilisation à des fins criminelles par le personnel, si les faits résultent d’une protection insuffisante. La veille et la protection sont les meilleures parades.