Cybercriminalité : mais que fait la police?

Spread the love
Cybercriminalité : mais que fait la police?

On lit tous les jours les témoignages d’entreprises, grands comptes ou PME, frappés par des attaques informatiques allant du simple hameçonnage au ransomware. Et souvent, la question revient : « que fait la police ? » Car bien souvent, les entreprises ont la sensation d’être esseulées face à une cybercriminalité qui se permet aujourd’hui de publier des communiqués de presse et d’afficher fièrement ses tableaux de chasse.

publicité

Le politique à la traîne ?

C’était l’objet du débat organisé hier par l’agora du FIC sur la chaîne Acteurs publics, réunissant autour de la table plusieurs représentants de l’industrie, des forces de l’ordre et du politique pour débattre de ce sujet. Et la discussion s’est rapidement orientée autour du triste constat rappelé par le général de gendarmerie Marc Watin-Augouard, fondateur du FIC : « Je suis consterné de voir que l’on a été capable de lancer une stratégie de cyberdéfense avec de vrais moyens et la mise en œuvre de structures comme l’Anssi et le ComCyber, et dans le même temps, quand il s’agit de lutter contre la cybercriminalité, on n’a été capable que de ne proposer que des mesurettes. » Pour le général, c’est au politique de venir s’engager sur ces sujets et prendre la mesure de ce qui se joue actuellement, mais l’impact de la cybercriminalité reste bien souvent occulté « parce qu’on ne sait pas mesurer le chiffre noir des cyberattaques. »

Résultat, alors que la cybercriminalité est en train de devenir « la criminalité du 21e siècle », le politique répond lui à « une criminalité du 19e ou du 20e siècle », faite de dealers et de voyous, bien plus visibles aux yeux du grand public.

Face à ce constat, la députée LREM Valeria Faure-Muntian tente de défendre le bilan de la majorité : « Je ne suis pas d’accord, les politiques sont sensibilisés à ces questions. Mais il faut remettre les choses dans leur contexte : on a mis un certain nombre d’actions en œuvre pour sensibiliser les chefs d’entreprises et les collectivités territoriales. Mais l’état ne peut pas tout faire seul : il peut assurer la cyberdéfense d’un certain nombre d’objets d’importance vitale, il ne peut pas instaurer une police ou une justice dans le cyberespace qui soit internationale. »

Face à une cybercriminalité qui agit souvent depuis l’étranger, la députée met en avant les difficultés en matière de coopération internationale et d’attribution des cyberattaques, qui compliquent l’identification et l’arrestation des auteurs de ces actes. « Ce n’est pas aussi simple que d’arrêter un voleur à la sauvette dans le métro. Je veux bien qu’on mette plus de moyens dans le combat contre la cybercriminalité, notamment sur la justice, mais l’ensemble des acteurs a une responsabilité à jouer. Si vous ne fermez pas la porte de chez vous, on peut toujours avoir un policier qui vienne enquêter. Mais il faut qu’on apprenne aux entreprises et aux collectivités territoriales à fermer la porte et à s’assurer.  »

L’heure n’est plus à la sensibilisation

Pour Theodor Chabin, ambassadeur de la Global Cyber Alliance, le temps de la sensibilisation est passé : «  En tant que dirigeant de PME, on fait face à des attaques, des prises d’otage numériques, et on se retrouve face à des criminels de haut niveau. Aujourd’hui, on a besoin de réponses concrètes, on se retrouve aujourd’hui dans un champ de bataille numérique » La Global Cyber Alliance est une organisation créée en 2015 par les forces de police de New York et de Londres, en partenariat avec le Center for Internet Security, et dont l’objectif est de proposer des outils à destination des entreprises pour assurer leur sécurité. Les autorités françaises ont entrepris de se rapprocher de l’organisation au cours des derniers mois : Cybermalveillance a ainsi annoncé un partenariat autour de l’adoption du protocole DMARC en début d’année et la gendarmerie devrait également rejoindre l’association sous peu.

L’heure n’est donc plus à la sensibilisation, mais à la réaction, et dans ce contexte, les participants s’accordent sur l’idée que le rôle de l’état doit être renforcé comme le résume Watin Augouard: « On ne peut pas uniquement dire aux gens de s’équiper en alarmes et en extincteurs contre les risques d’incendie, il faut aussi qu’on équipe les pompiers. Je pense qu’il y a un équilibre à trouver : il faut que l’entreprise comme l’état fasse des efforts. Partout en France, où qu’on soit, si on doit avoir un interlocuteur étatique pour répondre présent aux attentes des citoyens. » Un enjeu essentiel pour le général, qui voit dans cet essor fulgurant de la cybercriminalité un vrai risque pour la démocratie : « Si l’État n’est pas là pour répondre aux attentes des citoyens, il va se tourner ailleurs. »

La responsabilité des éditeurs en question

Christophe Leray, administrateur du Cigref, rappelle de son côté son courrier transmis en octobre au Premier ministre, alertant sur la recrudescence de cyberattaques visant les entreprises françaises : « Même si les grandes entreprises font en sorte de fermer la porte et de se protéger, les attaquants ont toujours une longueur d’avance et les entreprises sont seules pour faire face. L’effort de l’état est beaucoup trop limité pour protéger les entreprises. »

Pour le représentant des grandes entreprises françaises, la responsabilité des « portes ouvertes » repose bien plus sur les fournisseurs de solutions IT que sur les entreprises victimes. Ces fournisseurs « livrent des solutions technologiques truffées de risques sécuritaires. La seule solution pour les entreprises, c’est de payer des consultants et des ingénieurs pour combler par elles même ces failles de sécurité. » La responsabilité des fournisseurs en matière de sécurité informatique est le cheval de bataille du Cigref, qui soulignait déjà ce point dans sa lettre d’octobre.

L’occasion pour Jérôme Notin, directeur de Cybermalveillance.gouv.fr de rappeler que l’alternative du logiciel libre reste une solution envisageable, plutôt que de verser « des milliards à des éditeurs qui ne sont pas forcement toujours au rendez-vous quant à la qualité des produits d’un point de vue sécurité. »

Quel rôle de l’Etat ?

Pour le Colonel Éric Freyssinet, chef du pôle national de lutte contre les cybermenaces, l’équation est complexe, mais l’officier souligne les évolutions positives en la matière : « On a des outils qui peuvent nous permettre de réagir si on prend en compte l’attaque suffisamment rapidement. Dans une affaire de faux ordres de virement, on peut faire geler des fonds dérobés à une entreprise avec l’autorité de la justice. Hier j’échangeais sur une affaire où des fonds étaient partis vers la Roumanie et où la justice était parvenue à bloquer le transfert, qui représentait 350 000 euros pour une PME. »

Selon lui, les outils existent et la gendarmerie développe un réseau de proximité pour répondre plus efficacement à ces infractions. Mais il souligne lui aussi un certain retard : « la responsabilité des acteurs qui fournissent des solutions, nous l’avions envisagé dans le cadre de la directive NIS il y a quelques années. Cela n’avait pas été retenu à l’époque, mais il y a une refonte en cours de cette directive, et le sujet de la responsabilité des éditeurs a de nouveau été mis sur la table. Sur ce sujet, je pense qu’on va avancer. »

Mais sur le sujet de la répartition des rôles, le débat reste ouvert. Pour Freyssinet, « on ne peut pas mettre un juge derrière chaque utilisateur de Twitter pour supprimer chaque message qui ne serait pas conforme aux lois. Il y a une responsabilité de ceux qui accueillent du public, comme un patron de bar s’assurerait d’éviter les bagarres. Et notre rôle est d’intervenir ensuite, afin de judiciariser les cas les plus graves. » Watin-Augouard souligne de son côté la nécessité de ne pas laisser la décision aux seuls algorithmes, « l’état doit rester un peu dans le processus. »

Leave a Reply