Si le cyberespace est pour les entreprises un véritable levier de croissance et de compétitivité, il engendre également une prolifération de risques nouveaux aux conséquences majeures. En effet, la sphère du risque cyber représenterait la troisième économie mondiale avec une valeur estimée à 6.000 milliards de dollars en 2021 (190.000 dollars à la seconde) avec pourtant des coûts de mise en œuvre faibles (5 dollars en moyenne pour acheter un virus ou équivalent sur le darknet).En 2018, le coût moyen par entreprise des attaques numériques a été de 8,6 millions d’euros. En 2019, 90 % des entreprises françaises ont constaté un incident de cybercriminalité, 43 % étant des PME. Par ailleurs, on a observé une augmentation considérable des attaques lors de la crise sanitaire en mars 2020, le travail à distance étant devenu la source de 20 % des incidents de cybercriminalité.  Le coût du risque cyber pourrait atteindre 10.500 milliards de dollars s’il poursuit sa croissance annuelle de 15 % / an d’ici 2025 !

Des cybermenaces proteiformes

En 2019, 2020 et 2021, les attaques par rançongiciels - ces attaques chiffrent les données tant sur les postes de travail que sur les serveurs en réclamant un paiement, notamment en cryptomonnaie telle que les bitcoins ou Ethereums, en échange de la clé de déchiffrement censée permettre de les mettre au clair - ont constitué la menace informatique la plus préoccupante, elles ont ciblé des entreprises et organisations publiques, ainsi que des systèmes d’information critiques tels que ceux de la santé et ont souvent donné lieu, en plus du chiffrement, à des vols de données.
La pandémie de Covid-19 a également favorisé le développement du phishing (technique qui permet d’usurper l’identité numérique par un envoi massif de messages piégés).
En outre, le rapport annuel 2019 de l’ANSSI révèle que les opérations d’espionnage se poursuivent avec une tendance à la hausse, la recherche d’informations stratégiques sur les politiques extérieures et de défense, ainsi que l’accès aux secrets industriels et commerciaux ou le vol de données personnelles, mais également l’influence par les fake news étant les principaux mobiles.
Cibles privilégiées des cyberattaques, les entreprises, quelle que soit leur taille, doivent s’y préparer et savoir comment réagir quand l’attaque survient.
Pour faire avancer la lutte contre la cybercriminalité, la commission Cyber Risk du Club des juristes propose 10 préconisations. 

Un renforcement des moyens d’enquête et la création de cyber magistrats

Parmi ces recommandations, le rapport prône le renforcement des moyens d’enquête et la création de cyber magistrats.
En ce qui concerne les enquêtes, il propose de simplifier les procédures d’enquête sous pseudonyme dans le « darknet » et en incitant les victimes de cyberattaques à déposer plainte systématiquement, de manière à remonter et démanteler les filières plus rapidement.
Pour ce faire, il apparaît nécessaire que les enquêteurs disposent des moyens technologiques et humains afin de leur permettre d’établir les éléments constitutifs des infractions et d’identifier les cyberdélinquants. Le rapport souligne également la nécessité de disposer de services réactifs et compétents, capables d’intervenir rapidement auprès des entreprises pour les conseiller au mieux, intégrer les enjeux de l’attaque, sécuriser la situation et mener à bien les enquêtes. 

En outre, les auteurs du rapport souhaitent créer une filière de cybermagistrats, au besoin par le biais d’une formation diplômante (DU Cyber, par exemple), renforcer le pôle Cyber au niveau du parquet de Paris, renforcer la spécialisation d’une chambre du tribunal judiciaire en matière de droit du numérique et cybercriminalité, créer un département Numérique et Cyber au niveau de la cour d’appel de Paris, composé de magistrats du siège et du parquet, accentuer les formations communes ENM/EFB et PN/ GN/Douanes sur le droit du numérique et la lutte contre la cybercriminalité, avec des stages pratiques dans les services spécialisés. et désigner un référent cyber par cour d’appel en actualisant régulièrement la liste.
Pour Myriam Quéméner, avocat général près de la cour d'appel de Paris la spécialisation des magistrats est indispensable « non seulement pour avoir une vision et une connaissance des modes opératoires des délinquants qui sont de plus en plus sophistiqués, mais également pour gérer la dimension internationale et avoir des contacts aussi bien au sein d’Interpol, d’Europol que du FBI, par exemple. Cette formation doit également mettre l’accent sur les techniques spéciales d’enquête harmonisées par la loi de 2019, qui sont très encadrées juridiquement et qu’il convient de sécuriser pour faire tenir les procédures. Il s’agit plus particulièrement de l’enquête sous pseudonyme, de la géolocalisation, de la captation de données à distance ».

Enfin, pour étoffer les services de la justice en matière de lutte contre la cybercriminalité, le rapport préconise notamment de recruter des cadres et assistants spécialisés en matière de cybersécurité, tant au niveau du tribunal judiciaire que de la cour d’appel de Paris, développer des échanges réguliers avec les compagnies des experts judiciaires, revoir la nomenclature des experts judiciaires, afin d’introduire une spécialité sur le numérique et la cybersécurité.

Faire de la lutte contre la cybercriminalité une cause nationale pour 2022

Pour les auteurs du rapport, il faut faire de la lutte contre la cybercriminalité une cause nationale pour 2022. Ils recommandent de lancer des campagnes récurrentes d’information et de sensibilisation ciblées par le biais des médias et réseaux sociaux, notamment avec le soutien des chambres de commerce, des compagnies et ordres professionnels et de conclure un protocole entre le ministère de la Justice et la plateforme Cybermalveillance.gouv.fr à cet effet.

Une meilleure coordination internationale, notamment au sein de l’UE, pour empêcher l’existence de « pays sanctuaires » de la criminalité cyber

Le rapport propose aussi d'inciter les Etats sanctuaires à mettre fin à l'impunité des groupes cybercriminels afin de mettre un terme à l’installation confortable des grands groupes cybercriminels dans les pays sanctuaires en développant la solidarité entre les États pour obliger les États sanctuaires à prendre les mesures juridiques et économiques à cette fin.

Arnaud Dumourier (@adumourier)
Suivre @adumourier

____________________

* Composition de la commission :

PRÉSIDENT : Bernard Spitz, président du pôle International et Europe du MEDEF, ancien président de la Fédération française de l’assurance (FFA)
SECRÉTAIRE GÉNÉRALE : Valérie Lafarge-Sarkozy, avocate associée, cabinet Altana
MEMBRES :
- Nicolas Arpagian, VP Strategy & Public Affairs, Orange Cyberdefense
- Brigitte Bouquot, ancienne présidente de l’Association pour le management des risques et des assurances de l’entreprise (AMRAE), VP scientifique
- Philippe Cotelle, Head of Insurance Risk Management Cyberdefense, Airbus Defence and Space, Administrateur de l’AMRAE, président de la commission Systèmes d’information
- Christophe Delcamp, directeur adjoint des assurances de dommages et responsabilité, FFA
- Émilie Dumérain, déléguée juridique, Syntec Numérique
- Agathe Lepage, professeur, université Panthéon-Assas (Paris II)
- Charles-Henry Madinier, Director of Consulting Solutions, Marsh Advisory
- Alexandre Menais, Executive Vice President and Group Head of M&A, Strategy & Development, Atos
- Séverine Oger, chargée de mission / état-major de la sous-direction Opérations, ANSSI
- Martin Pailhes, responsable de l’équipe juridique « Information Technology – Intellectual Property », BNP Paribas
- Christian Poyau, président Micropole, président de la commission Transformation numérique du MEDEF
- Myriam Quéméner, avocat général près la cour d’appel de Paris
- Anne Souvira, commissaire divisionnaire, chargée de mission aux questions relatives à la cybercriminalité au sein du cabinet du préfet de police de Paris
- François Weil, conseiller d’État
- Leigh Wolfrom, Policy analyst, Directorate for Financial and Entreprise Affairs, OCDE

ONT CONTRIBUÉ À LA RÉDACTION :
- Valérie Lafarge-Sarkozy, avocate associée, cabinet Altana
- Myriam Quéméner, avocat général près la cour d’appel de Paris
- Anne Souvira, commissaire divisionnaire, chargée de mission aux questions relatives à la cybercriminalité au sein du cabinet du préfet de police de Paris
- Laetitia Daage, avocate counsel, cabinet Altana