Les 21 et 22 janvier s'est tenue la 6 ème édition du Forum International de la Cybersécurité (FIC) à Lille.
Grand événement qui invite l'ensemble des acteurs de la
cybersécurité à se réussir et à échanger autour de thèmes « cyber »
en général.
A l'origine, le FIC était consacré à la cybercriminalité et était explicitement intitulé « Forum International de la Cybercriminalité »[1] .
Ce changement terminologique amène à nouveau la réflexion
relative au contenu exact du droit du cyber ou droit de la SSI[2].
Dans un premier temps, commençons par rappeler la différence,
sur le plan juridique, faite entre les termes « cybersécurité » et
« cybercriminalité » avant de s’interroger sur la définition même du
droit du cyber.
1. La cybercriminalité :
Depuis 2002 et en janvier de chaque année, le Club de la
sécurité de l’information français (Clusif) dresse le panorama de la
cybercriminalité de l’année écoulée. Le constat est, d’année en année,
similaire car les cyber-attaques, de toutes
sortes, continuent (waterholing[3], rançongiciels[4], etc.) et la cybercriminalité rapporte de plus en plus[5].
Selon le Ministère de l'Intérieur[6], la
cybercriminalité est le terme employé pour désigner l'ensemble des infractions
pénales qui sont commises via les réseaux informatiques, notamment, sur le
réseau Internet.
Ce terme désigne à la fois:
- Les atteintes aux biens: fraude à la carte bleue
sur Internet sans le consentement de son titulaire; vente par petites annonces
ou aux enchères d'objets volés ou contrefaits; encaissement d'un paiement sans
livraison de la marchandise ou autres escroqueries en tout genre; piratage
d'ordinateur; gravure pour soi ou pour autrui de musiques, films ou logiciels.
- Les atteintes aux personnes: diffusion d'images
pédophiles, de méthodes pour se suicider, de recettes d'explosifs ou d'injures
à caractère racial; diffusion auprès des enfants de photographies à caractère
pornographique ou violent; atteinte à la vie privée.
Tous ces faits sont punis d'une peine d'emprisonnement (5 ans
maximum) et d'une amende (375 000 euros maximum).
La définition précise de la cybercriminalité est permise par
l’existence d’un corpus législatif pénal bien fourni même s’il existe encore
des clarifications terminologiques à faire. L’exemple le plus significatif est
l’article 6 de la loi pour la confiance dans l’économie numérique[7] qui désigne
par une belle périphrase les fournisseurs d'accès à Internet (FAI) sans donner
une réelle définition légale des FAI.
Saluons au passage, le lancement du Centre Expert de la lutte
contre la cybercriminalité (CeCyf) [8]lors de
cette 6ème édition du FIC. Le CeCyf est une
association permettant aux services chargés de l’application de la loi, aux
chercheurs de toutes origines (académiques, industriels, indépendants) et aux
établissements d’enseignement de se rencontrer et d’échanger pour créer des
projets qui contribuent à la formation, l’éducation et la recherche contre la
cybercriminalité.
En bref, la cybercriminalité
appartient aux autorités judiciaires et constitue le volet répressif du
« cyber ».
2. La cybersécurité :
Selon
le document publié en février 2011 par le SGDSN, « Défense et sécurité des
systèmes d'information – Stratégie de la France », la cyber sécurité est
« l'état recherché pour un système d'information lui permettant de résister
à des événements issus du cyberespace susceptibles de comprometter la
disponibilité, l'intégrité ou la confidentialité des données stockées, traitées
ou transmises et des services connexes que ces systèmes offrent ou qu'ils
rendent accessibles. La cybersécurité fait appel à des techniques de sécurité
des systèmes d'information et s'appuie sur la lutte contre la cybercriminalité
et sur la mise en place d'une cyberdéfense. »
Ainsi,
la notion de cybersécurité :
-
permet la mise en place de mesures de protection sur le SI pour être moins
vulnérables face aux attaques
-
comprend la cybercriminalité ;
-
comprend également la cyberdéfense[9] ;
-
permet la maîtrise des SI pour garantir la résilience.
Mais concrètement et surtout légalement la notion de
cybersécurité n’existe (toujours) pas et on ne sait pas comment la gérer. Pourtant,
le code de la défense[10] a lui déjà
(en partie) définit et surtout distingué les notions de défense et sécurité
nationale[11].
Dans ce code, la sécurité nationale est comprise comme un concept général et
global comprenant la défense nationale comme un simple moyen[12].
Certes les nouvelles technologies
modifient et obligent à repenser le droit mais cela ne doit pas nous dispenser
à utiliser les outils et méthodes juridiques existantes à notre disposition.
Un autre exemple est
l'assimilation des litiges de nom de domaine avec celui des marques car le nom
de domaine n'est pas (encore) reconnu par la loi.
Au final, une chose est sûre, le glas du terme « sécurité des systèmes
d'information » est sonné mais le corpus législatif relatif au droit du
cyber est toujours aussi disparate et flou, et cela d’autant plus qu’on y associe également maintenant la notion de
numérique. Le FIC avait, d’ailleurs, pour
thème cette année « la confiance numérique » qui s'est traduite par
la tenue de plusieurs ateliers à ce sujet[13]. Mais à nouveau, que recouvre juridiquement la notion de
numérique ? de confiance numérique ?
[1] Les 4
premières éditions.
[2]Cf article
du 01.07.2013 « le droit de la
sécurité des systèmes d’informations n’existe pas ».
[3]En français,
méthode du point d'eau qui permet de piéger une page d'un site très visité par
une population ciblée
[4] La lecture
de ce blog est particulièrement conseillée à ce sujet : http://stopransomware.fr/
[5] Le coût
global des cyberattaques a été estimé à 300 milliards d'euros pour les entreprises
en 2013 selon le rapport McAfee/CSIS : http://csis.org/files/publications/60396rpt_cybercrime-cost_0713_ph4_0.pdf
[6]http://www.interieur.gouv.fr/A-votre-service/Ma-securite/Conseils-pratiques/Sur-internet/Qu-est-ce-que-la-cybercriminalite
[7]Loi n° 2004-575 du
21 juin 2004 pour la confiance dans l'économie numérique
[9] Pour le
SGDSN, la cyberdéfense est « l'ensemble des mesures techniques et non
techniques permettant à un Etat de défendre dans le cyberespace les systèmes
d'information jugés essentiels ».
[10]Article L 1111-1 « La stratégie de
sécurité nationale a pour objet d'identifier l'ensemble des menaces et des
risques susceptibles d'affecter la vie de la Nation, notamment en ce qui
concerne la protection de la population, l'intégrité du territoire et la
permanence des institutions de la République, et de déterminer les réponses que
les pouvoirs publics doivent y apporter. L'ensemble des politiques publiques
concourt à la sécurité nationale. La politique de défense a pour objet
d'assurer l'intégrité du territoire et la protection de la population contre
les agressions armées. Elle contribue à la lutte contre les autres menaces
susceptibles de mettre en cause la sécurité nationale. Elle pourvoit au respect
des alliances, des traités et des accords internationaux et participe, dans le
cadre des traités européens en vigueur, à la politique européenne de sécurité
et de défense commune. »
[11]Lire
à ce sujet l'article « De « Défense » à « sécurité
nationale » et pourquoi ça change tout » de Jérôme Saiz
http://magazine.qualys.fr/cyber-pouvoirs/senat-defense-securite-nationale/
[12]Lire « les
notions de défense et de sécurité en droit français » par Bertrand
Warusfel :
http://www.droit.univ-paris5.fr/warusfel/articles/SecuDef_warusfel94.pdf
[13] Avec notamment les ateliers suivants : « Cybersécurité
et confiance numérique : quels débouchés professionnels? », « la
confiance numérique, clé du succès de l'e-administration dans les
collectivités », « Confiance
numérique : quelle politique d'innovation pour l'Europe », «
Portrait du citoyen numérique en 2020 », « Identité numérique :
quelles stratégies pour les États ? ».
Aucun commentaire:
Enregistrer un commentaire