L’entreprise dans la ligne de mire - Numéro 404
30/10/2009
Depuis quand la gendarmerie est-elle impliquée dans la lutte contre la cybercriminalité et quelles sont ses actions ?
Joël Ferry : Elle est impliquée depuis 1998, quand fut publié le rapport du Conseil d’Etat sur les réseaux numériques, dû à Isabelle Falque-Pierrotin, aujourd’hui présidente du Forum des droits de l’internet, et auquel la Gendarmerie nationale a contribué. Son Institut de recherche criminelle s’intéressait au phénomène depuis 1995. Un dossier avait été traité par la section recherches de Paris cette année-là.
La gendarmerie mène des actions de sensibilisation auprès des particuliers, des parents d’élèves, des chefs d’établissement scolaire et des chefs d’entreprise. Mais si Internet est un nouveau vecteur de criminalité, il ne faut pas le stigmatiser et en avoir peur. Il convient de le connaître et de le maîtriser. Sur le plan répressif, la gendarmerie a mis en place depuis 2000 des enquêteurs spécialisés en technologies numériques, chargés d’assister les enquêteurs traditionnels, voire de prendre à leur compte les enquêtes concernant l’usage des réseaux numériques.
Face aux multiples facettes de la cybercriminalité – infractions au système de traitement de données, comme l’intrusion dans un système informatique ; infractions de contenu, comme le stockage d’images pédophiles ; utilisation des réseaux numériques comme supports d’infractions traditionnelles (vols, escroqueries et atteintes à la propriété intellectuelle) –, la gendarmerie, grâce au STRJD (service technique de recherches judiciaires et de documentation), peut procéder au plan national à des rapprochements entre les affaires, et traquer les internautes aux comportements illicites. Un service de veille constate les ventes de produits volés ou contrefaits sur des sites d’enchères ou de commerce. L’IRCGN (Institut de recherche criminelle de la Gendarmerie nationale) se consacre à la police technique et scientifique. Il centralise les données utiles en matière de preuves numériques, coordonne des opérations nationales et met à la disposition des enquêteurs des moyens et des techniques d’investigation spécifiques, comme des logiciels d’aide à l’enquête. La gendarmerie est en mesure de répondre immédiatement aux plaintes d’un chef d’entreprise.
L’arsenal juridique français est-il adapté ?
J. F. : Il est l’un des plus aboutis. Depuis 2002, de nombreuses lois sont venues protéger la société et le citoyen. Sur le plan pénal, l’arsenal est riche et cohérent au niveau français et européen. Le problème se situe aux frontières de l’Union. La convention de Budapest de 2001 est un premier pas, mais elle ne vaut que pour les pays qui l’ont ratifiée : une douzaine en Europe plus les Etats-Unis. Elle ne l’est pas par la majorité des signataires dont le Royaume-Uni, l’Allemagne, l’Italie, le Canada, le Japon ou l’Afrique du Sud, qui ont pourtant participé activement aux négociations. La convention est fondamentale pour la protection de l’enfance, des systèmes automatisés de données et des droits d’auteurs. Elle oblige les Etats à d’instaurer des mesures procédurales et techniques adaptées contre l’usage illégal des techniques numériques. Elle favorise l’entraide policière et judiciaire dès lors que des moyens numériques ont été utilisés dans l’espace international pour commettre une infraction. On peut regretter que, autant l’Europe a été consciente de la nécessité de préserver les données de connexion (un an en France), autant cet enjeu semble ignoré ailleurs. La convention n’oblige pas à la conservation des données de connexion, qui constitue souvent le point de départ de toute enquête.
Les cyberattaques annoncent-elles une nouvelle forme de guerre entre Etats ?
J. F. : C’est une nouvelle forme de guerre. Je doute que deux Etats tentent un jour de s’opposer frontalement sur Internet, mais un Etat peut mener des actions insurrectionnelles, terroristes, ou comme dans le cas de la Géorgie, contre-insurrectionnelles. Internet peut fournir le moyen de déstabiliser un Etat comme une entreprise, en bloquant le système informatique d’une administration, d’un commerce, d’une usine ou d’une banque par déni de service. On peut créer la psychose, en contrôlant des serveurs majeurs du secteur public ou privé pour désinformer ou empêcher les transactions économiques ou commerciales essentielles. L’attaque de 2008 contre l’Estonie, pays largement numérisé, a consisté à bloquer plusieurs heures tous les services essentiels au fonctionnement de l’Etat. Les codes malveillants, « chevaux de Troie », vers et virus, peuvent devenir des armes de perturbation massive.
Depuis la première édition de votre livre en 2007, les menaces numériques sont-elles mieux appréhendées et la cybercriminalité a-t-elle évolué ?
J. F. : Le dispositif législatif s’est renforcé et la jurisprudence s’est enrichie. On s’est interrogé sur la nature des réseaux sociaux : sont-ils hébergeurs ou éditeurs ? Dans un cas ils ne sont pas responsables, dans l’autre ils le sont… La loi Hadopi introduit une approche graduelle de la contrefaçon entre le droit de copier à des fins personnelles et à des fins commerciales. Le défi sera demain le maintien en l’état d’Internet avec la possibilité d’échanges instantanés dans tous les domaines, notamment celui des objets. L’augmentation exponentielle des échanges ne risque-t-elle pas de faire exploser le système ? Pour l’entreprise, la conservation des données et la protection des informations sont déterminantes. Il est nécessaire pour elle de se donner les moyens d’une politique de sécurité solide, élaborée en concertation avec l’ensemble des salariés.
Droits des personnes, des sociétés, de la propriété intellectuelle… Quelle est la priorité ?
J. F. : Tout est urgent, mais ce qui est urgentissime concerne l’intelligence économique, notamment la protection du patrimoine matériel et immatériel de l’entreprise. Les TPE et PME sont les plus vulnérables. Elles ne disposent pas toujours de la compétence, de la disponibilité et des moyens de leur sécurité numérique. La guerre de l’information est prioritaire. Elle a pour cible l’entreprise, avec la conquête par ses concurrents de ses parts de marché, de ses produits, de ses idées et de ses clients.