Le profil de ce que l’on finit par dénommer des cybercriminels est vite dressé : l’ère du petit génie de l’informatique en quête de notoriété, sévissant de façon isolée, a cédé la place à des réseaux très structurés de criminalité organisée. Elles ont, au fil des ans, appréhendé la possibilité d’un investissement financier très faible rapporté à l’espérance d’un gain pécuniaire important, toutes les variétés de fraude technique informatique, la source inépuisable d’informations disponibles sur Internet et les réseaux sociaux, la facilité de transférer en un instant des données à l’autre bout du monde. Et cela sans compter les limites de la coopération policière et judiciaire dans le cas où des enquêtes seraient menées.
Les cibles de ces réseaux structurés ne se limitent plus aux seules sociétés françaises, mais à des groupes internationaux et couvrent tous les secteurs de la vie des affaires, en particulier la finance et l’industrie. Les formes des attaques sont des plus diverses, qu’il s’agisse en définitive de détourner des fonds, de voler des données à caractère personnel ou bancaires ou de l’information par nature confidentielle (secret de fabrique, objectifs, brevets, etc).
La typologie des attaques est des plus variées: déni de services consistant en des rafales d’attaques pour bloquer les systèmes, procédés de « fishing » (ou « hameçonnage ») pour récupérer des mots de passe ou des informations bancaires, envoi de logiciels malveillants de type « malware », etc.
Ces attaques permettent, selon les cas, aux fraudeurs d’utiliser directement le produit du délit, de le vendre, de l’échanger, de le monnayer dans le seul but d’obtenir des fonds.
Les chiffres parlent d’eux-mêmes: plus d’un milliard de fichiers volés ou compromis en 2014, soit une augmentation de près de 80 % par rapport à 2013. Près de 30 % des fraudes déclarées par les sociétés françaises seraient rattachées à la cybercriminalité. Près d’un quart des entreprises auraient déjà fait l’objet d’un vol de données.
Certaines attaques ont été très médiatisées, comme celles dont ont été victimes Home Dépôt, eBay, TF1.fr ou encore TV5 Monde. D’innombrables sociétés françaises ont été victimes de faux ordres de virements internationaux (FOVI) dans le cadre d’escroqueries dites « au Président », et d’escroqueries aux factures ou aux fournisseurs, consistant, pour ces dernières, à l’intrusion par le fraudeur dans le système informatique de la cible en récupérant l’identité d’un véritable fournisseur, d’un véritable bailleur, d’une véritable administration dans le but d’obtenir de la comptabilité de la cible le changement des coordonnées bancaires habituelles de la société au profit d’un compte spécialement ouvert à cet effet et dont le fraudeur est directement ou indirectement l’ayant droit économique.
Ces faits constituent, pour l’entreprise qui en est la cible, une variété de risques très préoccupants qui n’apparaissent plus du seul ressort de la Direction Informatique, laquelle devra incontestablement s’assurer de la sécurité de ses systèmes, mais qui devient un véritable enjeu de direction générale compte tenu de leur gravité potentielle: qu’il s’agisse du risque « réputationnel » ou d’image vis-à-vis du marché, des clients, des employés, des régulateurs et autorités ou encore des concurrents, en ce que la défaillance des systèmes ou des hommes de l’entreprise a démontré la fragilité et la vulnérabilité de l’entreprise; risques financiers au travers des conséquences directes des détournements opérés ou des pertes d’exploitation générées; risques opérationnels à raison du blocage des outils; risques civils à raison des conséquences d’éventuelles actions en responsabilité destinées à indemniser les dommages subis par des tiers ou les salariés ; risques réglementaires (traitement des données à caractère personnel); risques pénaux en cas de non-déclaration de l’incident.
L’entreprise devra rapidement comprendre l’attaque et son contexte pour la faire cesser et tenter de réparer, avant d’envisager de qualifier juridiquement celle-ci, d’un point de vue pénal, à l’aune des délits tels que le faux, l’escroquerie, l’abus de confiance, l’accès et le maintien dans un système de traitement automatisé de données. Citons aussi le délit d’usurpation d’identité numérique. Ce travail de qualification devra également porter sur les aspects réglementaires et leurs conséquences, que ce soit en matière de réglementation des traitements de données à caractère personnel ou de conformité à des réglementations sectorielles, comme pour les opérateurs d’importance vitale (OIV.), les sociétés cotées, les établissements de crédit ou les opérateurs de télécoms. Un important travail devra être fait à cet égard avec les autorités de régulation et de contrôle, en particulier avec la Commission Nationale de l’Informatique et des Libertés (CNIL). Enfin, les conséquences civiles de l’attaque -par exemple la violation d’obligations de confidentialité ou l’indemnisation des victimes- devront être analysées et maîtrisées.
Lutter contre la cybercriminalité dans l’entreprise constitue, selon nous, un enjeu de direction générale car des moyens suffisants doivent être libérés pour notamment identifier la variété des menaces, les prévenir, procéder à la cartographie des risques, analyser la résistance du dispositif de sécurité des systèmes d’informations, procéder à la formation du personnel et faire appliquer ce plan de maîtrise du cyber-risque à l’entreprise et à tout son écosystème.
Cette prise de conscience et la mise en œuvre de ces moyens nous semblent d’autant plus nécessaire que face au développement du cyber-risque et du champ des infractions pénales non-intentionnelles, ne pourrait-on considérer que, dès l’instant où le risque est avéré, que les menaces existent et que la loi prescrit des obligations de confidentialité et de sécurité d’un grand nombre d’informations, il n’y aurait pas, de la part de l’entreprise dont la défaillance serait avérée, négligence, imprudence, manquement à une obligation de sécurité, qui pourrait la faire passer du statut de victime à celui d’auteur ?
Ludovic Malgrain
Avocat à la Cour, associé chez White & Case LLP
Partenaire du Club des juristes
Bertrand Liard
Avocat à la Cour, associé chez White & Case LLP
Partenaire du Club des juristes