Lorsqu’il s’agit de s’intéresser à la lutte contre la cybercriminalité et plus largement à la sécurisation de l’espace numérique, il est souvent fait référence, à juste titre, à des solutions techniques telles que les antivirus et pare-feu.
Celles-ci, de par leur nature, sont au cœur du système numérique et leurs perfectionnements permettent de filtrer un grand nombre d’attaques et de prévenir par la même occasion les actes de cybercriminalité.
Néanmoins, en complément de ces solutions techniques toujours plus innovantes, le juridique, grâce à sa capacité à prendre en compte les risques liés au numérique, mais aussi à sa réaction face à l’utilisation des réseaux numériques semble être un levier efficace de lutte contre la délinquance numérique.
Le propos se concentre essentiellement sur la stratégie à mettre en place au sein d’une structure telle qu’une entreprise, mais la cybersécurité s’applique aussi aux particuliers, associations et de manière générale à tous les utilisateurs et/ou consommateurs du numérique.
Le droit, un atout essentiel de lutte contre la cybercriminalité
La réglementation apparaît comme un atout essentiel pour lutter efficacement contre la cybercriminalité. En effet, la loi française, dès 1988, s’est doté d’un arsenal juridique incriminant les « atteintes aux systèmes de traitement de données ». À cette époque, l’objectif principal est déjà d’éviter que des délinquants n’utilisent les réseaux à des fins malveillantes.
Cette loi a évolué au fur et à mesure du développement du numérique pour s’appliquer aussi bien à l’Internet qu’aux objets connectés. Aujourd’hui, au-delà des articles 323-1 et suivants du Code pénal, de nombreux textes répriment les agissements réalisés sur les réseaux ou par l’intermédiaire des réseaux, souvent en considérant cette utilisation comme une circonstance aggravante, augmentant les peines encourues.
En somme, il n’existe pas de failles juridiques permettant à des délinquants de commettre des actions délictuelles dans l’espace numérique. De ce point de vue, la réponse technique à une cyberattaque doit nécessairement s’accompagner, à minima, d’un dépôt de plainte permettant d’ouvrir une enquête et éventuellement des poursuites contre les auteurs.
Néanmoins, deux difficultés majeures se posent pour permettre une répression efficace. Il s’agit, d’une part, de la difficulté à identifier les auteurs et, d’autre part, de la dimension internationale et extraterritoriale très présente en matière de cybercriminalité.
Ces difficultés se matérialisent par le faible taux de condamnation et l’impression que la réglementation est inutile face à une cybercriminalité trop complexe.
En réalité, les lois pénales en matière de cybercriminalité ne sont qu’un outil de lutte contre la cybercriminalité, particulièrement lorsque l’infraction a été commise. En complément, le droit offre d’autres atouts préventifs permettant notamment aux entreprises et structures de toutes tailles de lutter préventivement et de la meilleure des manières contre la cybercriminalité.
La cybergouvernance ou comment prévenir la cybercriminalité par le droit
De ce constat d’une efficacité relative du droit en matière de répression des infractions numériques, le volet préventif offre, à contrario, des possibilités intéressantes en matière de lutte contre la délinquance numérique. En effet, il ne s’agit plus d’attendre la commission de l’infraction, mais de mettre en place les règles permettant de limiter le risque d’exposition à la cybercriminalité.
La notion de cybergouvernance juridique est assez novatrice dans le monde juridique. Mis en avant notamment par le Règlement Général sur la Protection des Données (RGPD), il s’agit de penser la sécurité numérique au départ et, surtout, avant de subir une attaque. En effet, l’un des piliers de la cybergouvernance est le fait de considérer l’incident numérique comme une fatalité et non comme une possibilité. Ainsi, la question n’est plus de savoir si la structure va se faire attaquer, mais quand.
Une revue contractuelle
Concrètement, la cybergouvernance passe par la revue des contrats clés de l’entreprise pour s’assurer de dispositions sécurisant l’entreprise en cas d’incident numérique. Particulièrement pour les contrats de sous-traitance, il est impératif d’imposer des règles de sécurité pour les systèmes d’information des sous-traitants. Des failles externes peuvent, par capillarité, affecter le système d’information du donneur d’ordre.
Il apparaît donc nécessaire de s’interroger en amont sur les responsabilités encourues par les différents intervenants dans et en dehors de la structure à protéger. Concrètement, il s’agit, par exemple, de mettre en place et de tester les procédures de vérification et de sécurité numérique en interne ou d’analyser les responsabilités contractuelles liées à des sous-traitants et/ou des partenaires. Sur ce point, la pratique révèle que les contrats ne contiennent que trop rarement des clauses concernant les responsabilités en cas d’incident numérique. Le volet sécurité des données personnelles semble être mieux pris en compte depuis l’entrée en vigueur du RGPD, mais les risques sur les données personnelles ne sont qu’une seule illustration des risques numériques.
Une vision juridique globale
En complément des engagements contractuels liant la structure, la cybergouvernance vise à s’assurer des règles et du fonctionnement en cas d’incident de cybersécurité. Il s’agit d’observer les règles de fonctionnement (règlement intérieur, charte informatique), mais aussi de s’intéresser à la place du juriste dans le cadre d’une cellule de crise lors d’un incident.
Là aussi, l’accompagnement juridique permet au décideur de mieux appréhender les risques juridiques autour de l’incident et permet un accompagnement global au-delà de la seule technique.
Finalement, la lutte contre la cybercriminalité place le juridique au cœur des préoccupations puisqu’il s’agit à la fois de sécuriser les activités de la structure, mais aussi de la protéger d’attaques pouvant avoir des répercussions importantes. Une bonne gestion de la cybersécurité passe donc par une cybergouvernance juridique ainsi qu’une bonne gestion des incidents.
