Odio dignissimos blanditiis qui deleni atque corrupti.

The Point Newsletter

Sed ut perspiciatis unde omnis iste natus error.

Follow Point

Commencez à taper votre recherche ci-dessus et appuyez sur Retour pour lancer la recherche. Appuyez sur Echap pour annuler.

Cyberespionnage, l’Europe contre-attaque : le paquet cybersécurité

Piratage informatique, menaces de cyberattaques, cyberespionnage, comment l'Union européenne engage-t-elle sa lutte pour la cybersécurité?

France Charruyer (rédactrice, avocate en droit des nouvelles technologies et en droit de la propriété intellectuelle et industrielle), Aurélia Noudelmann (artiste)

L’espionnage industriel, plus fort que la R&D ? – Joseph Fouché, ministre de la Police et de l’Information de Napoléon, comme un précurseur de l’espionnage moderne, avait placé le renseignement au centre de sa politique. Il s’était constitué des bases de données sur tout et tout le monde, s’en assurant la fiabilité et la fidélité.

Depuis, le mouvement s’est accéléré. Tous les États ont des services de renseignement ; l’information c’est le pouvoir. Mais l’espionnage n’est plus cantonné à la seule échelle des États, il touche  de plus en plus les entreprises. Dans un article publié dans la Harvard Business Review, des universitaires révèlent que l’Allemagne de l’Est (RDA) avait déjà inscrit au cœur de sa stratégie de développement industriel, l’espionnage méthodique des entreprises de son voisin de l’ouest. Selon ces chercheurs, cette pratique était plus efficace que toute activité de Recherche & Développement.

Aujourd’hui plus que jamais, les réseaux et les systèmes d’information des États et des entreprises sont sous la menace des cyberattaques et de l’espionnage. Le 28 février 2018, l’État fédéral allemand a subi une attaque informatique d’ampleur. Étaient visés les ministères les plus sensibles, dont ceux des Affaires étrangères et de la Défense. Cas d’école, ce sont des systèmes informatiques obsolètes, des terminaux non sécurisés, qui auraient permis aux pirates de pénétrer ces systèmes.

 

 

Le réveil du législateur

 

Face à la recrudescence et à la sophistication des attaques informatiques, l’exécutif européen revoit sa copie et promet d’être particulièrement actif sur le plan de la cybersécurité dans les années à venir, dans le prolongement du mouvement de sanctuarisation de la Data et de la responsabilisation de ses acteurs (RGPD).

En septembre 2017, la Commission européenne a publié son « paquet cybersécurité » comportant une proposition de règlement visant à créer une véritable « agence de cybersécurité européenne » type Interpol, un label européen pour les entreprises ou encore un centre européen de recherche et de compétence en matière de sécurité informatique.

Le 26 février 2018, la loi européenne transposant la directive NIS (Network and Information Security) a été ratifiée. Dans le prolongement de la loi de programmation militaire de 2013, elle vise à imposer aux « opérateurs de services essentiels » un niveau de sécurité informatique minimum.

 

Si le mot « espion » n’est pas cité tel quel dans le texte, le cyberespionnage constitue une part intégrante des « menaces » ciblées par la directive, puisque les enjeux de sécurité comprennent « la confidentialité des données stockées » (article 4 (2)).

 

 

Entre harmonisation et coopération  

 

L’article premier de la directive prévoit que le texte vise à assurer un niveau commun élevé de sécurité des réseaux et des systèmes d’information. La directive institue en plus un « groupe de coopération stratégique » et un « réseau de centres de réponse aux incidents de sécurité informatique » (CSIRT), en collaboration avec l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information). L’objectif est d’aboutir à l’élaboration de stratégies de sécurité et de réponse communes face aux incidents. L’ANSSI (Agence nationale de la sécurité des systèmes d’information en France) l’explique dans un communiqué de presse en date du 28 janvier 2018 : il s’agit de construire « une base précieuse d’échanges entre les États qui permettra à terme une réponse collective et coordonnée en cas de cyberattaques ».

 

 

Les OSE (Opérateurs de services essentiels)

 

L’article 5 de la loi française découlant de cette directive, prévoit un statut particulier pour « les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services. »

La directive, plus précise, fixe trois critères caractérisant les opérateurs visés par cette loi (article (2)). Il faut :

– que l’entité fournisse un service essentiel au maintien d’activités sociétales et/ou économiques critiques ;

– que la fourniture de ce service soit tributaire des réseaux et des systèmes d’information ;

–  qu’un incident puisse avoir un effet disruptif important sur la fourniture dudit service.

La directive vise tout de même les secteurs de l’énergie, du transport, de la banque, des marchés financiers, de la fourniture et distribution d’eau potable, de la santé ou encore des infrastructures numériques. Au-delà de ces textes, c’est au Premier ministre qu’est donnée la responsabilité d’établir la liste des « services essentiels » et celle des « opérateurs » concernés.

 

Les principales techniques de cyberespionnage

 

L’APT – Le terme Advanced Persistent Threat (menace persistante avancée) désigne à la fois le type d’attaques que les groupes qui les orchestrent. Il s’agit d’un type de piratage informatique furtif et continu, qui peut durer plusieurs années. Ces attaques ciblent, de façon persistante, une entité en particulier.

Deux techniques d’infiltration sont particulièrement utilisées par les pirates du Web :

– Attaque par « point d’eau » (Watering Hole)Le pirate piège un site Internet d’un secteur d’activité déterminé, insuffisamment protégé, comme le site d’une association professionnelle ou d’un groupement sectoriel. Le but est d’exploiter les vulnérabilités des sites pour en contaminer les membres, susceptibles de les visiter et d’y télécharger du contenu.

– Attaque par « hameçonnage » (Spearphishing)Les pirates se sont adaptés au niveau de sécurité interne des entreprises. Fini le temps des mails alléchants invitant à ouvrir une pièce jointe. Aujourd’hui, cette technique se base davantage sur une usurpation d’identité. Facile de tromper la confiance du destinataire en utilisant une adresse mail qui ne change que d’une lettre entre la légitime et la malveillante. Une fois la première machine contaminée, l’attaquant pourra facilement remonter le fil du réseau de l’entreprise pour récupérer divers documents. Les téléphones sont aujourd’hui visés de manière exponentielle par ce type d’attaques.

Les bonnes pratiques – L’ANSSI estime que le suivi de ses préconisations permettrait d’éviter 80% des attaques informatiques. Mais, force est de constater que les entreprises sont loin du compte : les attaques « WannaCry » et « NotPetya » du printemps 2017 ont révélé la vulnérabilité de leurs systèmes informatiques.

Il est temps de prendre des dispositions pour élaborer et  financer un plan de sécurité préventif et réactif. Réaliser des sauvegardes de données traces, organiser la résilience des systèmes, employer des analystes de traces pour recueillir les éléments d’audit ou d’enquête, est aujourd’hui indispensable pour remonter à l’origine des failles1.

Les article 34 et 34bis de la loi dite Informatique et Liberté du 6 janvier 1978 imposent que, dans le cas où des données à caractère personnel sont en jeu, le responsable de traitement doit prendre des mesures de sécurité appropriées. Le nouveau règlement européen sur la protection des données personnelles renforce les sanctions en cas de violation des règles de protection.

Piratage informatique, menaces de cyberattaques, cyberespionnage, comment l'Union européenne engage-t-elle sa lutte pour la cybersécurité ?

Les mesures de sécurité prévues par la NIS

 

L’article 14 de la directive européenne prévoit que les États membres soient en charge de veiller à ce que les OSE :

  • prennent les mesures techniques et organisationnelles nécessaires afin de gérer les risques menaçant la sécurité de leurs réseaux et de leurs systèmes d’information ;
  • prennent les mesures appropriées pour prévenir, ou limiter l’impact des incidents pouvant compromettre la sécurité des réseaux et systèmes d’information qu’ils utilisent pour assurer des services dits essentiels ;
  • notifient à l’autorité compétente les incidents ayant un impact significatif sur la continuité des services essentiels.

 

En amont

Mieux prévenir, pour mieux guérir – Les textes nationaux et européens relatifs à la gestion d’incident se multiplient. RGPD, NIS, ePrivacy… Tous ces textes prévoient des procédures de notification des incidents de sécurité aux autorités de régulation compétentes adaptées aux organisations (CNIL, ASSNI, agences régionales de la santé en France) et qui peuvent se cumuler. Ces procédures doivent être établies en interne, en amont d’éventuels incidents, pour permettre une réponse efficace2.

Une stratégie nationale axées sur quatre domaines – L’article 7 de la directive NIS prévoit que chaque État membre adopte une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information. L’article 6 de la loi DADUE transpose cette directive dans le droit français. Cette dernière précise que le Premier ministre est en charge de fixer les règles de sécurité dans les domaines de la gouvernance, de la protection et de la défense des réseaux et systèmes d’information, et dans la résilience des activités. C’est à lui que revient la responsabilité d’édicter les normes de sécurité, par décrets. Les arrêtés qui précisent les règles de sécurité informatique pour chaque secteur d’activité donnent une bonne idée de ce à quoi elles pourraient ressembler. Le Premier ministre peut également soumettre les OSE à des tests de sécurité pour s’assurer de leur conformité aux exigences de sécurité qui leurs sont imposées.

 

En aval

Notification d’incident selon la directive NIS – Le Premier ministre dispose aussi de l’autorité nationale de sécurité des systèmes d’information. Selon l’article 7 de la loi DADUE, l’OSE doit lui déclarer sans délai tout incident susceptible d’avoir un impact significatif sur la continuité de ces services sous peine de 75 000 euros d’amende.

Les CSIRT – Il existe déjà plusieurs Centre de réponse aux incidents de sécurité informatique (CSIRT) en France, spécialisés par secteur ou groupe d’entreprises. L’application de la NIS sera sans doute l’occasion d’en créer de nouveaux, mais aussi de renforcer leur rôle puisque selon l’article 9 de la directive, ces centres de réponses doivent prendre en charge la gestion des incidents et des risques liés.

Un premier pas vers une cyberdéfense européenne – La directive NIS a une composante communautaire puisque l’article 12 précise que les futurs CSIRT doivent avoir pour vocation de coopérer au sein d’un réseau. Ce réseau permettra aux différents CSIRT d’échanger des informations, de débattre, de partager leurs solutions et de renforcer la confiance entre Etats.

 

Quelles actions actions judiciaires possibles ?

 

Textes de loi sur « l’espionnage industriel » applicables – La directive « secret des affaires » votée le 8 juin 2016 par le parlement européen3 précise dans son article 4 « qu’un accès non autorisé à tout document, objet, matériau, substance ou fichier électronique ou d’une appropriation ou copie non autorisée de ces éléments […] » est considéré comme illicite. L’article 6 prévoit que les États membres mettent en place une procédure de juste réparation au civil, équitable, dissuasive et effective, dans des délais raisonnables. Les États membres ont jusqu’au 9 juin 2018 pour la transposer. Mais dans l’attente de sa transposition en droit français, la victime d’un espionnage industriel doit pour le moment s’en remettre au droit commun.

En effet, si le droit français prévoit plusieurs mesures spécifiques en cas de « fuite interne4 » (du fait d’un collaborateur de l’entreprise), il n’y a pas de dispositions particulières relatives à l’espionnage industriel par un tiers. Si l’on se tourne vers le droit commun, il faut en premier lieu s’intéresser aux articles 1240 et 1241 du Code civil qui concernent la concurrence déloyale. En matière pénale, l’espionnage industriel pourra être assimilé à un « vol » et être sujet au régime de répression prévu par les articles L311-1 et suivants du Code pénal.

Texte de loi sur la « Cybercriminalité » applicables – C’est la loi Godfrain du 5 janvier 1988 qui, la première, est venue réprimer les actes de criminalité informatique et de piratage en ajoutant un chapitre « Des atteintes aux systèmes de traitement automatisé de données » au Code pénal. La Convention européenne sur la cybercriminalité (Convention de Budapest) du 23 novembre 2001, a été ratifiée par la France le 19 mai 2005. Elle vise à harmoniser les dispositifs législatifs sur la répression de la cybercriminalité. En définitive, l’état actuel du droit résulte de la loi du 24 juillet 2015 relative au renseignement.

Ainsi l’article 323-1 du Code pénal prévoit que « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende ».

 

Prévention, formation, responsabilisation…

 

L’humain, le maillon faible – Dans le cadre de politique de sécurité de système d’information (PSSI), le facteur humain est le plus à risque. Que ce soit par erreur, négligence ou malveillance.

L’éditeur Dashlane estimait dans une étude que 7 employés sur 10 reconnaissaient qu’ils pourraient encore accéder aux outils en ligne de leur ancien employeur. 30 % d’entre eux reconnaissaient avoir déjà utilisé des post-it pour noter des mots de passe.

Les exemples ne manquent pas et peuvent prêter à sourire. La chaîne TV5 Monde avait par exemple diffusé en 2015 des images de ses bureaux avec les mots de passe de la chaîne affiché sur des vitres. Plus généralement, les entreprises manquent de restriction d’accès aussi bien techniques (serveur commun) que physiques (porte ouverte, partage imprimante…).

Le facteur humain au centre des PSSI – La première des bonnes pratiques devrait être de prévoir des mesures d’organisation interne efficientes. Ces mesures nécessitent une vraie politique de confidentialité, la définition du périmètre des activités les plus sensibles, une action permanente de sensibilisation et de formation du personnel, des procédures lors du départ des salariés et le contrôle des flux d’informations avec des individus externes à la société. Ce qui importe, c’est surtout de définir un processus global de l’information, une culture des data qui permettrait de protéger les données stratégiques.

La mise en conformité au RGPD, à la NIS et au paquet cybersécurité constituent ainsi des étapes clés de la transition numérique des entreprises.

L’intelligence économique, c’est d’abord celle de l’autre.

  1. Anne Souvira, « La lutte contre la cybercriminalité, un enjeu juridique et économique majeur pour les entreprises. Solutions et propositions », Revue Lamy droit des affaires, no 87, novembre 2013.
  2. https://www.cnil.fr/fr/notifications-dincidents-de-securite-aux-autorites-de-regulation-comment-sorganiser-et-qui-sadresser
  3. Directive 2016/943 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets des affaires) contre l’obtention, l’utilisation et la divulgation illicites, 8 juin 2016.
  4. Article 226-13 du Code pénal : « la révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15 000 euros d’amende » ; Article L621-1 du Code de la propriété intellectuelle : « le fait, par tout directeur ou salarié d’une entreprise où il est employé, de révéler ou de tenter de révéler un secret de fabrique est puni de deux ans d’emprisonnement et 30 000 euros d’amende ».