vendredi 1 août 2014

Etude du rapport sur la cybercriminalité « Protéger les INTERNAUTES »




Source de l’image : http://www.jeanmarcmorandini.com/actualite-cybercriminalite.html


Prévu pour le début de l’année 2014, le rapport "Protéger les INTERNAUTES" sous la direction du procureur général près la Cour d'appel de Riom, Marc Robert, a été rendu public le 30 juin 2014 [1]
Ce rapport s’inscrit dans le cadre du groupe de travail interministériel sur la lutte contre la cybercriminalité.

Le rapport s’articule autour de trois grandes parties :

  • une première partie relative au constat sur la réalité de la cybercriminalité ;
  • une deuxième relative à la proposition d’une stratégie sur la cybercriminalité ;
  • une troisième spécifique sur l’amélioration de la répression en matière de cybercriminalité.

Il faut saluer cet impressionnant travail qui, à travers 277 pages ainsi que 270 pages d’annexe, présente un inventaire exhaustif de l’environnement de la cybercriminalité jamais dépeint jusqu’à présent.


Parmi les nombreux détails retranscrits dans ce rapport, la présentation de l’ensemble des acteurs ayant un lien avec la cybercriminalité est réellement fouillée car on y découvre des groupes européens non connus du grand public tels l’European Cybercrime Training and Education Group (ECTEG) [2].


Outre cette méticulosité, il est également satisfaisant de lire, par une rédaction franche et lucide, la mise en avant des lacunes françaises, parfois dramatiques, en matière de cybercriminalité. A titre d’exemple, il est inscrit que « comparé à ce dont disposent les Etats étrangers voisins, la situation française, en terme de ressources humaines, est proche de l’artisanal » [3], ou encore «  l’objet des recommandations qui suivent poursuit un seul objectif – renforcer l’effectivité d’une répression encore très lacunaire- tout en assurant une mise en cohérence parfois perdue de vue et en veillant au respect des libertés fondamentales comme à une meilleure protection des victimes » [4].


Enfin, il est toujours intéressant de pouvoir étudier des propositions sur un sujet au plein cœur de l’actualité et sur lequel  il semble difficile d’agir efficacement. En effet, ce rapport met en exergue 55 propositions dont la création de nouvelles structures dédiées à la cybercriminalité.

 La proposition la plus emblématique en la matière est la création d’un centre spécifique d’alerte et de réaction aux attaques informatiques ou en anglais Computer emergency response team (CERT) [5]  couvrant les besoins du  grand public et des PME non couverts par les CERT existants dont le CERT-FR[6] animé par l’ANSSI.

En effet, même si le CERT-FR a pour mandat d’assurer le soutien en matière de gestion d’incidents aux ministères, aux institutions, aux juridictions, aux autorités indépendantes, aux collectivités territoriales et aux Opérateurs d’Importance Vitale (OIV), il semble plus opportun de renforcer les effectifs du CERT-FR afin de pouvoir traiter également les besoins des citoyens et des PME. La création d’un nouvel CERT risque d’entraîner une mauvaise coordination entre les deux structures d’autant plus que le chevauchement des périmètres d’action est également à prévoir.  

Sur le même plan, la proposition relative à la création d’une Délégation interministérielle à la lutte contre la cybercriminalité [7] n’est pas forcément plus heureuse. En effet, comme le souligne justement le rapport on assiste à « une multiplication des « sachants » comme des initiatives diverses, publiques ou privées, relativement peu coordonnées et parfois concurrentes » qui nuit à l’efficacité de l’action relative à la cybercriminalité. Certes, il existe « une forte attente, en terme de mise en cohérence et de clarification stratégique » mais il n’est pas certain que la création d’un nouvel acteur ex nihilo , devant prouver sa légitimité face aux acteurs historiques, soit la meilleure solution.

Une nouvelle fois, il est plutôt proposé de renforcer une structure existante qui traite activement du sujet telle l’OCLCTIC et de que renforcer les cellules de base qui traite ce sujet. Il semble plus efficace de renforcer les bases existantes plutôt que de créer une nouvelle instance stratosphérique qui peut avoir du mal à s’imposer.

De façon générale, le renforcement des cellules existantes, comme recommandée pour la plate-forme des interceptions judiciaires [8] , reste plus adapté que la création ex nihilo de nouvelles structures en cybercriminalité [9].


En outre, le cœur des propositions (42 sur 55) concernent la réforme des réponses répressives en matière de cybercriminalité.


La première étape serait de renforcer les incriminations liées à la cybercriminalité notamment en généralisant la circonstance aggravante des délits commis via un réseau de communication électronique tels l’usurpation d’identité [10] ou encore en imposant en peine complémentaire la suspension du droit d'accès à Internet. Cette dernière proposition ne semble pas très pertinente en raison de l'existence d'accès à Internet sans abonnement (borne Wifi et cybercafé).


La deuxième étape serait d'encadrer la coopération avec tous les prestataires d'Internet tels les hébergeurs, les fournisseurs d'accès et les fournisseurs de moteur de recherche.
L'objectif principal est d'imposer de nouvelles contraintes aux prestataires français mais également étrangers telles une obligation de surveillance préventive des contenus illicites « lorsqu’ils en sont requis par la loi, à la prévention ou à la sanction de contenus illicites » [11] ou encore de coopération des grands opérateurs étrangers avec les services de police pour l’obtention de données de connexion [12].
De plus, le rapport conseille de réhabiliter la coupure d’accès Internet pour certaines infractions, les « délits graves ou des crimes ». Cette sanction avait fait polémique lors  de la mise en place du dispositif HADOPI et donc supprimé.


La troisième étape est de renforcer les moyens d'investigation en améliorant dans un premier temps la lisibilité et la cohérence de la procédure pénale et encadrer plus rigoureusement les moyens de preuve du numérique, en soumettant à l’autorisation préalable du juge des libertés ou d’instruction la réquisition d’un opérateur de communications électroniques [13] ou en imposant le respect de la confidentialité des tiers requis [14]. En effet, il est devenu primordial de ne plus pouvoir contester une preuve numérique lors d’un procès à cause d’un défaut de procédure.

En conclusion, il faut à nouveau saluer le travail rigoureux apporté par ce rapport et il sera intéressant d'examiner attentivement le projet de loi numérique prévu en 2015 pour voir quelles propositions du présent rapport seront retenues.


[1]Voir le lien suivant pour le communiqué de presse officiel relatif à la remise du rapport ROBERT : http://www.presse.justice.gouv.fr/archives-communiques-10095/archives-des-communiques-de-2014-12598/remise-du-rapport-proteger-les-internautes-27256.html
[2]Page 114 du rapport encadré relatif à l’ECTEG
[3]Page 148 du rapport « II.6.- Une conséquence : Des moyens pour lutter contre la cybercriminalité ».
[4]Page 151 du rapport, deuxième paragraphe de l’introduction de la troisième partie intulée « La cybercriminalité : des réponses répressives plus effectives et davantage protectrices ».
[5] Recommandation n°6 page 136 du rapport
[6] http://www.cert.ssi.gouv.fr
[7] Recommandation n°7 page 141 du rapport
[8] Recommandation n°24 page 183 du rapport
[9] La recommandation n° 50 page 247 du rapport préconise également la création d’une plate-forme spécifique relative aux cyber-escroqueries.
[10] Recommandation n°14 page 154 du rapport
[11] Recommandation n° 25 page 185 du rapport
[12]  Recommandation n° 23 page 182 du rapport
[13] Recommandation n°37 page 223 du rapport
[14] Recommandation n° 38 page 224 du rapport

Aucun commentaire:

Enregistrer un commentaire