REVUE de la gendarmerie nationale
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
INTERNATIONAL > DOSSIER > Fuite de données : DROIT > Security and privacy by
L’Europe face aux défis de la gestion de crise, mode d’emploi design dans le droit
sécurité
REVUE
de la gendarmerie nationale
REVUE TRIMESTRIELLE / DECEMBRE 2018 / N° 263 / PRIX 6 EUROS
Sécurité et vie privée by design
retour sur images NUMÉRO 262
AVANT-PROPOS
NUMÉRO 263
© Gendarmerie nationale
La révolution industrielle de l’économie numérique, l’émergence du réseau social
comme mode de communication et l’interconnexion généralisée des objets induisent
de nouvelles pratiques relationnelles et économiques. Celles-ci génèrent également
des activités illégales dont les auteurs démontrent un haut niveau de technicité tout
en profitant des disparités juridiques entre les États. L’Union Européenne réagit à ce
GENDARMERIE ET PATRIMOINE
phénomène en coordonnant les ripostes, en harmonisant les législations et en assurant
De nouveaux objets matériels et immatériels utilisés, transformés ou imaginés par les gendarmes pour
une fonction de conseil par des formations disposant d’une expertise de haut niveau.
les besoins de leur mission dans un contexte social et politique évolutif forment différentes pièces du
patrimoine de la Gendarmerie nationale. Ils permettent d’illustrer comment l’institution, les gendarmes et La protection des données personnelles et la sécurité « by design » sont maintenant
leurs familles se sont adaptés et pourquoi d’un usage ou d’un objet on a fait un symbole ou un mythe. Le des sujets centraux. L’entrée en vigueur du RGPD et sa déclinaison par les États
patrimoine des gendarmes, issu de la collectivité nationale et de la société civile, peut être considéré comme européens modifie la posture des acteurs des traitements qui doivent tenir compte
un bien commun national, constitutif de l’identité nationale.
des impératifs de sécurité dès la conception d’un produit et pour tout son cycle de vie.
Le label « by design » devient un label de qualité qui infléchira les choix des clients et
RETROUVEZ EN
PAGE 98 DE CE constituera rapidement un atout commercial.
NUMÉRO DES DÉVE-
L’authenticité, la disponibilité, l’intégrité et le cryptage des informations sont un
LOPPEMENTS SUR LA
BLOCKCHAIN. NOU- facteur de sécurité de l’e-commerce et de la confiance du citoyen. La technologie de
VELLE TECHNOLOGIE la Blockchain est une des réponses à cette préoccupation des acteurs économiques
DE STOCKAGE ET et politiques. Si elle offre des potentialités aux cybercriminels, elle ouvre la voie à de
DE TRANSMISSION
nouvelles techniques d’investigation pour les enquêteurs qui doivent maîtriser les
©AdobeStock_2070110366_copyright_AndSus
D’INFORMATIONS,
SANS ORGANE DE techniques appropriées à l’extraction des flux frauduleux et des législations différentes.
CONTRÔLE ET OR-
GANISÉE AUTOUR DE COL(ER) Philippe Durand,
BASES DE DONNÉES
DISTRIBUÉES, ELLE rédacteur en chef
PRÉSENTE UN HAUT
NIVEAU DE SÉCURITÉ
MAIS SUSCITE UNE
PRATIQUE CYBER-
CRIMINELLE ET
EN RETOUR UN
NOUVEL ART DE
L’INVESTIGATION DES
FORCES DE POLICE
JUDICIAIRE.
4e trimestre 2018 Revue de la Gendarmerie Nationale 1
SOMMAIRE
NUMÉRO 263
INTERNATIONAL
Le Conseil de l’Europe face aux défis de la lutte contre la cybercriminalité 5
par Adel Jomni
Tour d’horizon des principaux dossiers actuels de l’Europe de la cybersécurité 13
par Pierre Berthelet
La gestion de la menace cybercriminelle en France et en Europe 25
DOSSIER
par Thierry Delville
La notion de Data Protection by Design 33
par Claire Levallois-Barth
SÉCURITÉ SI et données personnelles
DOSSIER
Parallèle entre règles d’hygiène de santé et Fuite de données : gestion de crise,
Sécurité SI et données personnelles 38
protection des systèmes d’information 39 mode d’emploi 63
par Philippe Loudenot par Guillaume Tissier
Le poste de travail Linux en gendarmerie, Fuites de données, quelle réglementation ? 71
FOCUS : BLOCKCHAIN pilier de la sécurité en profondeur du système par Sabine Marcellin
Blockchain : Sécurité et Confidentialité 99
d’information45
par Gilles Hilary
par Sébastien Hamel Une meilleure cyberprévention
La blockchain est-elle un tournant stratégique ? 105
pour les enfants scolarisés 79
par Colonel Olivier Kempf
Threat Intelligence, le renseignement sur les par Loïc Barrras
Crypto-tracking : Les nouveaux outils d’enquête pour les forces de l’ordre 115
menaces au service de la cybersécurité en
par Adel Jomni La France face au défi de la protection des
entreprise 49
L’État ne sait pas assiéger Byzance ? 123 mineurs sur Internet 85
par Barbara Louis-Sidney
par Édouard Klein par Association points de contact
Données personnelles et collectivités
DROIT territoriales : usages actuels Les fichiers de sécurité, exigence d’efficacité et
Le droit face au Privacy et security by design 137 et recommandations 55 obligation de conformité 93
par Myriam Quemener par Anne le Henanff par le lieutenant-colonel Mark Evans
Bâtir une enquête 4.0 145
par François Bouchot
La plateforme PERCEVAL 153
par Cyril Piat
La procédure pénale numérique 161
par Ronan le Floc’h
2 Revue de la Gendarmerie Nationale 4e trimestre 2018 4e trimestre 2018 Revue de la Gendarmerie Nationale 3
INTERNATIONAL INTERNATIONAL
Le Conseil de l’Europe
© Global communication network concept. Par metamorworks
face aux défis de la lutte contre
la cybercriminalité
Par Adel Jomni
LE CONSEIL DE L’EUROPE EST DÉTERMINÉ À PROTÉGER LES
L
La cybercriminalité constitue une
menace réelle pour l’économie, la
démocratie et les droits de l’Homme.
Il est désormais acquis qu’aucun pays
Le développement croissant et rapide du
numérique en général et du réseau Internet
ÉTATS
n’est capable de lutter seul contre en particulier a changé radicalement
cette nouvelle menace. Le Conseil la société. En effet, les innovations
Le Conseil de l’Europe promeut une approche de la lutte contre la cybercriminalité
qui repose essentiellement sur le fonds juridique de la convention de Budapest, de l’Europe apporte une contribution dans le domaine du numérique sont
acte contraignant qui sert de ligne directrice pour élaborer des législations natio- significative à la lutte contre la aujourd’hui omniprésentes. L’Internet
nales, sur lequel peut se construire une coopération internationale cohérente. cybercriminalité au-delà même de des objets (IoT), le Big Data, le cloud
l’espace européen. Il propose un computing, l’Intelligence Artificielle (IA), le
Des structures comme le Comité T-CY, représentant les États parties à la conven-
tion, constituent un laboratoire d’idées qui permet d’aborder des mesures juri- cadre pour prévenir et réprimer les machine learning, les crypto-monnaies,
diques et des solutions lors de situations d’urgence. Il permet aux institutions ju- cyber-infractions suivant une approche la Blockchain, l’informatique mobile…
diciaires de faire face au défi de la garantie de l’État de droit dans le Cyberespace. globale favorisant l’harmonisation constituent le nouveau moteur de la
De même, le Bureau du programme de lutte contre la cybercriminalité du Conseil des législations croissance en Europe et dépassent le
de l’Europe (C-PROC) assiste tous les pays qui souhaitent renforcer leurs capacités internationales cadre technologique pour englober tous
en matière de justice pénale sur la base des normes de la Convention de Budapest
au travers de programmes spécifiques et régionaux. relatives au les secteurs d’activité.
cybercrime, la
Le Conseil de l’Europe favorise le développement d’un modèle intelligent reposant coopération Bien que l’usage presque généralisé de
sur l’anticipation des cyber-attaques, le renforcement des compétences, le partage internationale et ces innovations numériques ait contribué
et la coopération entre les États et la présence d’un cadre juridique international
le renforcement à améliorer la productivité des entreprises
efficace et respectueux des Droits de l’homme.
ADEL JOMNI des capacités et notre confort, il est également
UFR Droit & science des institutions générateur d’une nouvelle délinquance,
politique
Université de
judiciaires dans le matérialisée par le développement de la
Montpellier monde entier. Cybercriminalité.
4 Revue de la Gendarmerie Nationale 4e trimestre 2018 4e trimestre 2018 Revue de la Gendarmerie Nationale 5
INTERNATIONAL INTERNATIONAL
LE CONSEIL DE L’EUROPE FACE AUX DÉFIS DE LA LUTTE CONTRE LA CYBERCRIMINALITÉ LE CONSEIL DE L’EUROPE FACE AUX DÉFIS DE LA LUTTE CONTRE LA CYBERCRIMINALITÉ
La lutte contre la cybercriminalité, un enjeu aux États-Unis en 2016 ou en Europe, rappelle Alexander Seger, le directeur de
majeur pour le Conseil de l’Europe notamment en France (2017). Pour C-PROC3 et Secrétaire exécutif du Comité
Jean-Claude Juncker, président de la de la Convention de Budapest sur la
(1) Source Conseil Ces dernières années ont Commission européenne : « les cyberat- cybercriminalité.
européen : https:// vu une augmentation des taques sont parfois plus dangereuses pour Soixante et un pays4 ont adhéré à cette
www.consilium.eu-
ropa.eu/fr/policies/ menaces en matière de la stabilité des démocraties et des Convention dont les États-Unis, le Canada,
cyber-security/#
vols de données person- économies que les fusils et les chars2 ». le Japon, le Maroc, le Sénégal, etc. Cet
nelles et d’infractions contre la confidentia- élargissement vers des pays non-membres
lité, l’intégrité et la disponibilité des Depuis plusieurs années, le Conseil de du Conseil de l’Europe lui confère un
données et des systèmes informatiques. l’Europe joue un rôle très important dans champ d’application territorial très large.
Les pertes économiques dues à la la lutte contre la cybercriminalité dans La Convention sert de référentiel pour plu-
cybercriminalité sont en nette hausse. La le monde. Il propose plusieurs formes sieurs pays dans le monde qui cherchent
Commission européenne confirme qu’elles d’aides, très souvent d’une manière à:
ont quintuplé de 2013 à 2017, et qu’elles conjointe avec l’UE, pour protéger les – adapter leur législation afin de prendre
pourraient encore quadrupler d’ici à 2019. sociétés contre la cybercriminalité. en compte les infractions spécifiques
L’approche du Conseil de l’Europe repose essen-
On évalue à 80 % le pourcentage des tiellement sur 3 axes aux réseaux numériques,
entreprises européennes ayant connu un – intégrer de nouvelles règles de procé-
incident lié à la cybercriminalité en 2016. biais de systèmes informatiques, consti- dures pénales pour accroître l’efficacité
Au niveau mondial, on évalue l’impact tuent le principal instrument international des enquêtes et des poursuites,
économique des attaques à 400 milliards contraignant en matière de cybercriminali- – améliorer, à travers un dispositif de
d’euros par an1. té. Il sert de ligne directrice pour tout pays coopération internationale, l’accès
souhaitant élaborer une législation exhaus- transfrontalier aux preuves électro-
On peut également envisager l’exploi- tive en matière de cybercriminalité (droit niques.
tation de la vulnérabilité d’opérateurs pénal matériel et droit procédural), mais
d’importance vitale (OIV) par le lancement L’approche du Conseil de l’Europe repose essen- aussi de cadre pour une coopération 2- Le Comité T-CY, « le laboratoire »
de cyberattaques massives et tenter de tiellement sur 3 axes internationale. Le texte de d’idées sur l’évolution de la Convention
(3) Cybercrime
paralyser une entreprise ou un État dont Programme Office la Convention, adopté en Le Comité de la Conven-
of the Council of (5) https://rm.coe.
la souveraineté peut être impactée par le Europe (Bureau du 2001, dépasse le seul int/reglement- tion sur la cybercriminalité
programme de lutte interieur-du-t-cy-
développement de ces nouvelles armes 1- La Convention de Budapest sur la contre la cybercri-
cadre du Conseil de adopte-lors-de-la- (T-CY5) représente les
virtuelles. Cybercriminalité, une référence pour les minalité du Conseil l’Europe. « Ce texte 10eme-reunion-ple- États parties. Il a pour
de l’Europe). https:// niere-d/16802e7279
institutions judiciaires dans le monde. www.coe.int/fr/web/ permet, avant tout, de vocation de faciliter
cybercrime/cyber-
À cette situation
(2) Discours sur La Convention sur la Cybercriminalité du crime-office-c-proc mener la bataille du droit l’usage et la mise en œuvre effective de la
s’ajoutent, depuis
l’état de l’Union, Conseil de l’Europe (CETS No.185), et le Conseil de l’Europe Convention de Budapest sur la cybercrimi-
sommet de Tallinn, (4) https://www.
quelques années, de
le 29 septembre connue sous le nom de la Convention de coe.int/fr/web/ est d’abord une organisa- nalité, l’échange d’informations et l’examen
2017. conventions/full-
nouvelles formes d’at- Budapest (CdB) et son Protocole addition- list/-/conventions/
tion qui promeut les droits de toute proposition d’amendement ou de
taques de déstabilisation « politique » nel, relatif à l’incrimination d’actes de treaty/185/signa- de l’Homme, l’état de droit modification à apporter à ses dispositions.
turesv
constatées récemment lors des élections nature raciste et xénophobe commis par le et la démocratie », Le TC-Y est un organe de suivi de la
6 Revue de la Gendarmerie Nationale 4e trimestre 2018 4e trimestre 2018 Revue de la Gendarmerie Nationale 7
INTERNATIONAL INTERNATIONAL
LE CONSEIL DE L’EUROPE FACE AUX DÉFIS DE LA LUTTE CONTRE LA CYBERCRIMINALITÉ LE CONSEIL DE L’EUROPE FACE AUX DÉFIS DE LA LUTTE CONTRE LA CYBERCRIMINALITÉ
aux demandes provenant du monde entier. de l’Europe. L’objectif du projet est de
© Cybrain - adobe Photostock
Parmi les projets gérés par C-PROC et renforcer la capacité des autorités dans la
soutenus par l’UE, on note : région de l’IAP à rechercher, saisir et
– Glacy+ : Action Globale sur la confisquer les recettes provenant de la
Cybercriminalité Élargie : cybercriminalité et à prévenir le
(7) https://www.coe.
int/fr/web/cyber- C’est un projet conjoint de blanchiment d’argent sur l’Internet. Il
crime/glacyplusac-
tivities l’UE (Instrument contri- concerne les pays suivants : l’Albanie, la
Le Comité de la Convention sur la cybercriminalité (T-CY5)
buant à la Paix et à la Bosnie-Herzégovine, le Monténégro, la
Stabilité, IcPS) et du Conseil de l’Europe. (10) République Serbie, « l’Ancienne
de Macédoine
pratique de la Convention de Budapest et 3- C-PROC : un rôle décisif dans le pro- Il a pour objectif de promouvoir des du Nord depuis
République yougoslave de
un laboratoire d’idées d’amélioration de la gramme européen de renforcement des politiques et des stratégies cohérentes en le référendum de Macédoine »10, la Turquie
septembre 2018.
Convention et de ses protocoles addi- capacités matière de cybercriminalité et de cybersé- et le Kosovo.
tionnels, grâce aux facilités d’échanges et Le Bureau du programme de lutte contre curité en Europe et dans d’autres régions – PGG 2018 : Cybercrime@EAP – Inter-
de discussions entre les États parties à la la cybercriminalité du Conseil de l’Europe du monde. Ce projet vise7 également le national and public/private coopera-
Convention. (C-PROC), à Bucarest, est chargé d’aider renforcement des capacités des États à tion : Ce projet entre dans le cadre du
les pays du monde entier à renforcer leurs disposer d’une législation efficace pour partenariat pour la bonne gouvernance
(6) Exemple de noteDe nouveaux sujets liés au capacités en matière de justice pénale sur lutter contre la cybercriminalité et entre l’UE et le Conseil de l’Europe dans
traitement de la cybercri-
d’orientation sur la la base des normes de la Convention de l’amélioration des compétences des la région du partenariat oriental. Les six
question d’injonction
minalité sont apparus
de produire relatives Budapest. Le soutien de C-PROC touche institutions judiciaires dans les investiga- pays du groupe des États de l’Europe
à des informations
sur les abonnés. depuis l’élaboration de la essentiellement : tions, le recueil des preuves électroniques orientale sont considérés comme des
https://rm.coe.
int/16806f943d
Convention. Plusieurs – l’adaptation et le renforcement de la et la coopération judiciaire internationale. sources et des cibles importantes de la
questions ont été abor- législation sur la cybercriminalité et les Six pays prioritaires en Afrique et dans la cybercriminalité et constituent donc une
dées par le TC-Y comme la nature du preuves électroniques conformément aux région Asie-Pacifique sont concernés par préoccupation majeure pour les États
régime juridique à appliquer au Cloud, la normes de l’État de droit et des droits les actions prévues dans ce projet. Il membres de l’UE et du Conseil de l’Eu-
détermination de mesures pratiques à de l’Homme (y compris la protection des s’agit de l’Île Maurice, du Maroc, du rope. Le niveau de coopération constaté
privilégier dans le cadre de la coopération données), Sénégal, de l’Afrique du Sud, du Sri avec cette région est extrêmement limité,
avec les fournisseurs de services à – la formation des juges, des procureurs et Lanka et du Tonga. En outre, les pays avec très peu de demandes d’entraide
l’Internet, la distinction de solutions pour les des forces de l’ordre sur les thématiques : d’Amérique latine et des Caraïbes judiciaire en matière de preuves élec-
demandes d’entraide en situation d’ur- Cybercriminalité, preuves numériques et peuvent désormais recevoir un soutien troniques. Le projet vise à faciliter une
gence. Les réponses apportées et validées coopération internationale, dans le cadre de ce projet. coopération régionale et internationale
par le Comité T-CY font l’objet d’une note6 – l’amélioration de l’efficacité de la coo- – IROCEEDS8 (Targeting crime efficace en matière de cybercriminalité et
d’orientation publiée sur son site. pération internationale et des synergies (8) https://www.coe. proceeds on the internet de preuves électroniques. L’amélioration
int/fr/web/cyber-
entre les organismes publics et privés. crime/iproceeds in South Eastern Europe du partenariat public-privé fait également
Le Comité T-CY joue un rôle crucial pour (9) Instrument d’aide
and Turkey) : C’est un partie des objectifs de ce projet étant
répondre aux défis posés aux institutions La mise en place de C-PROC fournit de préadhésion projet conjoint de l’UE (IAP donné l’importance du secteur privé
(http://ec.europa.eu/
judiciaires pour la sécurité et la garantie de au Conseil de l’Europe l’infrastructure regional_policy/fr/ II9, programme d’actions dans le bon déroulement des enquêtes
funding/ipa/)
l’État de droit dans le Cyberespace. nécessaire pour répondre efficacement multi-pays) et du Conseil judiciaires et des investigations. Les pays
8 Revue de la Gendarmerie Nationale 4e trimestre 2018 4e trimestre 2018 Revue de la Gendarmerie Nationale 9
INTERNATIONAL INTERNATIONAL
LE CONSEIL DE L’EUROPE FACE AUX DÉFIS DE LA LUTTE CONTRE LA CYBERCRIMINALITÉ LE CONSEIL DE L’EUROPE FACE AUX DÉFIS DE LA LUTTE CONTRE LA CYBERCRIMINALITÉ
prioritairement concernés par ce projet L’ambivalence du numérique, qui crée de L’AUTEUR
sont : l’Arménie, l’Azerbaïdjan, le Belarus, nouvelles opportunités économiques, ouvre
la Géorgie, la Moldavie et l’Ukraine. de nouveaux espaces de libertés, de créa- Monsieur Adel Jomni est enseignant-cher-
cheur à l’UFR : Droit & science politique de
– CyberSouth – Coopération en matière tions et d’innovations tout en étant porteur l’université de Montpellier. Il est directeur
de lutte contre la cybercriminalité de risques majeurs allant jusqu’à toucher du diplôme d’université : Cybercriminalité
dans les pays du Sud de l’Europe : Ce la souveraineté des États. Elle exige une - droit, sécurité de l’information et informa-
tique élargie et co-directeur de la session
projet11 conjoint de l’UE vigilance et de moyens importants pour cybercriminalité et preuve numérique (École
(11) https://rm.coe.
int/cybersouth-sum- (Instrument européen de anéantir ou limiter les cyber-risques. nationale de la magistrature-Paris).
mary-of-the-pro- Expert international auprès du Conseil de
ject/1680731825 voisinage et de partenariat
l’Europe, il est membre de l’European Cy-
- IEPV) et du Conseil de Le Conseil de l’Europe a montré, à travers bercrime Training and Eduction Group (EC-
l’Europe a pour objet d’aider au renforce- les actions présentées ci-dessus sa déter- TEG-Europol). Il est également membre-fon-
ment de la législation et des capacités mination à protéger les États en dévelop- dateur du Cecyf.
institutionnelles dans le domaine de la pant un modèle intelligent reposant sur
cybercriminalité et de la preuve numé- l’anticipation des cyber-attaques, le renfor-
rique dans la région du « Voisinage Sud ». cement des compétences, le partage et la
Les pays prioritaires de ce projet sont : coopération entre les États et la présence
l’Algérie, la Jordanie, le Liban, le Maroc et d’un cadre juridique international efficace et
la Tunisie. respectueux des Droits de l’homme.
Des centaines de représentants des ins-
titutions judiciaires (magistrats, forces de
l’ordre, représentants de gouvernements,
etc.) ont bénéficié des quatre programmes
cités ci-dessus.
C-PROC est devenu un acteur principal
pour accompagner les efforts du Conseil
de l’Europe dans sa stratégie face à la
montée en puissance de la cybercriminalité
dans le monde.
10 Revue de la Gendarmerie Nationale 4e trimestre 2018 4e trimestre 2018 Revue de la Gendarmerie Nationale 11
INTERNATIONAL INTERNATIONAL
TOUR D’HORIZON
des principaux dossiers actuels de l’Europe
de la cybersécurité
© EC3 europe – Gendarmerie nationale
Par Pierre Berthelet
UNE EUROPE DE LA CYBERSÉCURITÉ
L
L’Europe de la cybersécurité est en
pleine construction. Du côté de la
cyberrésilience, il importe d’évoquer
la mise en œuvre de la directive « sé-
Depuis plusieurs années à
(1) Voir communi-
présent, l’Union euro-
cation de la Com-
mission, du 30 mars
2009, instituant
un plan d’action
péenne intervient dans le
champ de la cybersécuri-
EN PLEINE CONSTRUCTION de l’UE en matière
curité des réseaux », le projet dit de té, notamment au nom de
de protection des
infrastructures
« cyberact », le projet de centre et de critiques, plan la protection des in-
L’Union européenne préconise une action basée sur trois piliers : la résilience, une
cyberdissuasion et une coopération internationale. Elle conforte la confiance des réseau européens de cybercompétence évalué dans une frastructures critiques1
communication du
citoyens par leur protection en ligne et permet un internet libre et réglementé qui et enfin l’accent mis sur le développe- d’information. Depuis lors,
30 mars 2011 intitu-
lée : « Réalisations et
favorise une confiance numérique. ment des exercices à grande échelle cette action s’est progres-
prochaines étapes :
vers une cybersécu-
en matière de cybersécurité ; quant à la sivement structurée au
À ce titre la promotion d’autorités nationales en la matière selon les prescriptions rité mondiale ».
de la directive relative à la sécurité des réseaux et des systèmes d’information, la cyberdissuasion, il convient de mention- motif que la cybersécurité
création d’un centre européen de cybercompétences vont dans le bons sens. Il en ner les directives implique une réponse qui dépasse le cadre
est de même quant à la conception d’exercices européens qui sont des facteurs de « cyberattaques », national.
cohérence. La cyberdissuasion repose sur une architecture juridique dissuasive et « cyberpreuves » et
à vocation probatoire. La directive cyberattaques du 12 août 2013 et une législation « fraude en ligne à Comprendre l’intervention
(2) JOIN (2017)
tendant à l’e-evidence entrent dans cette optique. Un dispositif relatif aux contenus
illicites fait l’objet de recommandations dans un contexte de menaces hybrides. Il la carte bancaire », 450 final de l’Union européenne
mérite une large réflexion quant à son champ et aux méthodologies à lui appliquer sans oublier les (3) Ci-après respec- requiert de prendre
tivement la Com-
dans le cadre d’un partenariat avec les hébergeurs. récents développe- mission et la Haute comme point de départ la
représentante.
PIERRE ments en matière stratégie du 19 septembre
BERTHELET
de lutte contre les 2172, élaborée conjointement par la
Chercheur
associé Centre contenus illicites sur Commission européenne et la Haute
de recherche de la Toile, en particu- représentante de l’Union pour les affaires
l’école des officiers
de la gendarmerie lier la propagande étrangères et la politique de sécurité3. Elle
nationale (CREOGN) terroriste en ligne. forme le document de référence de l’UE en
12 Revue de la Gendarmerie Nationale 4e trimestre 2018 4e trimestre 2018 Revue de la Gendarmerie Nationale 13
INTERNATIONAL INTERNATIONAL
TOUR D’HORIZON DES PRINCIPAUX DOSSIERS ACTUELS DE L’EUROPE DE LA CYBERSÉCURITÉ TOUR D’HORIZON DES PRINCIPAUX DOSSIERS ACTUELS DE L’EUROPE DE LA CYBERSÉCURITÉ
la matière. Elle note d’une part, que « les afin de s’assurer de la confiance de nos chantiers peuvent être
(qui vise à lutter teur européen le 6 juillet 2016. Cette
risques se multiplient de façon exponen- citoyens, consommateurs et entreprises, clandestine en
évoqués avec davantage
contre l’immigration directive vise à renforcer les capacités
tielle4 et d’autre part que les incidents de d’assurer leur protection en ligne et de de précision : la mise
mesurant les flux nationales en matière de cybersécurité,
d’entrée et de sortie
cybersécurité se diversifient, en ce qui permettre un internet libre et réglementé ». en œuvre de la directive
du territoire euro- notamment en demandant aux États
péen) et l’ECRIS-
concerne aussi bien leurs auteurs que leurs TCN (destiné à
« sécurité des réseaux », membres de désigner des autorités
objectifs. La cyberactivité malveillante Un premier axe : la cyberésilience le projet de centre et de
interconnecter les nationales en matière de sécurité des
casiers judiciaires
constitue une menace non seulement pour La stratégie sur la cybersécurité de 2013, réseau européens de
nationaux au sujet réseaux et des systèmes d’information et
des ressortissants
nos économies et la progression vers le document directeur précédant la stratégie non UE). cybercompétence et enfin en déterminant une « Stratégie nationale en
marché unique numérique, mais aussi pour de 2017, incluait déjà une dimension « rési- le développement des matière de sécurité des réseaux et des
le fonctionnement même de nos démocra- lience ». La version de 2017 reprend cette exercices à grande échelle en matière de systèmes d’information (SNCS) ». Elle
ties ». Face à cela, elle préconise une dimension en spécifiant d’un côté que cybersécurité. prône aussi l’amélioration d’une culture de
(4) Selon certaines
action basée sur trois l’action menée doit être transsectorielle et la gestion des risques et du signalement
études, l’incidence piliers, à savoir : assurer la multiniveaux et d’un autre côté qu’elle doit Bilan de la mise en œuvre de la directive des incidents au profit des principaux
économique de la
cybercriminalité a résilience, créer une être non seulement collective mais aussi de « sécurité des réseaux et des systèmes acteurs économiques en soumettant les
quintuplé entre 2013
et 2017. Elle pourrait cyberdissuasion et grande envergure. d’information » opérateurs de services essentiels (OSE) à
quadrupler encore renforcer la coopération Comme le précisent les conclusions du des notifications d’incidents de sécurité8.
d’ici à 2019.
internationale. (6) Une telle agence Plusieurs mesures sont Conseil européen des 19 et 20 octobre
ne doit pas être
confondue avec une préconisées comme le 2017, « la confiance est nécessaire dans le Le délai de transposition a
agence de l’Union : (9) COM (2017) 476
(5) Ceux-ci sont L’objectif de cet article est EU-LISA. Cette
renforcement de l’Agence monde numérique. Elle ne peut être instau- final. été fixé au 9 mai 2018 et
nombreux au de présenter de manière européenne chargée de la rée que par l’assurance d’une sécurité plus
demeurant et cette
dernière, créée reporté au 9 novembre
en 2011 et établie
étude, à l’ambition synthétique quelques à Talinn (avec un sécurité des réseaux et de proactive dès le stade de la conception 2018 pour ce qui est de l’identification des
modeste, entend se centre opérationnel
focaliser seulement chantiers actuels de à Strasbourg), est l’information (ENISA) pour dans toutes les politiques numériques », opérateurs de services essentiels (OSE).
sur certains d’entre
eux, même si
l’Europe de la cybersécu- chargée de gérer les en faire une : « Agence et d’insister sur l’importance de renforcer Pour la Commission, qui a procédé à
systèmes d’informa-
d’autres mériteraient rité5, en se focalisant sur tion de l’espace de européenne pour la « notre capacité à prévenir, dissuader et l’évaluation du texte en octobre 2017, les
d’un examen plus liberté, de sécurité
attentif, comme deux des piliers identifiés et de justice de l’UE. sécurité des systèmes déceler les cyberattaques ainsi qu’à y États membres de l’UE sont incités à
l’établissement d’un Ayant fait l’objet
cadre européen de par la stratégie sur la d’une réforme en
d’information », par l’octroi répondre ». étendre les standards y figurant aux
certification pour les
produits et services
cybersécurité de 2017, à 2018, son mandat, d’un mandat permanent6. secteurs hors champ d’application du
qui concernait
relatifs aux technolo- savoir la cyberrésilience (1) l’administration du Son rôle est notamment (7) Directive
La directive relative à la texte9. Il est à noter que la France s’est
gies de l’information Système d’infor-
et de la communica- et la cyberdissuasion (2). mation Schengen étendu à l’appui à la créa- 2016/1148. sécurité des réseaux et engagée dans cette voie depuis longtemps
tion (TIC).
Les travaux actuels sont et du Système tion de centres d’échange (8) Pour une présen- des systèmes d’informa- avec l’extension, par la loi du 18 décembre
d’information sur tation du texte, voir
menés dans l’optique des conclusions du les visas et d’EU- et d’analyse d’informa- Myriam Quéméner, tion, appelée également 2013 relative à la programmation militaire
RODAC, est étendu « La directive NIS,
sommet numérique de Tallinn ayant eu lieu à des systèmes en tions dans les secteurs un texte majeur
« directive SRI » (ou NIS) pour les années 2014 à 2019, du champ
cours de réalisation : en matière de cyber- entend précisément
en septembre 2017, au cours duquel les l’ETIAS (le système
critiques ainsi qu’à l’arti- de compétence de l’ANSSI aux opérateurs
sécurité », Sécurité
chefs d’État et de gouvernement ont d’autorisation des culation entre les initiatives et Stratégie, vol. répondre à cet objectif7. d’importance vitale (OIV), plus précisément
ressortissants non 23, n° 3, 2016,
exprimé le vœu de faire de l’Union « un UE désireux de se sectorielles et à la sécurité p. 50-56. Présentée en parallèle à la leurs systèmes d’information d’importance
rendre dans un État
acteur mondial de premier plan dans le membre), le Sys- des réseaux et des sys- stratégie de cybersécurité vitale (SIIV). Pour la France, la difficulté de
domaine de la cybersécurité d’ici à 2025, tème Entrée-Sortie tèmes d’information. Trois de 2013, elle a été adoptée par le législa- la transposition de la directive SRI venait de
14 Revue de la Gendarmerie Nationale 4e trimestre 2018 4e trimestre 2018 Revue de la Gendarmerie Nationale 15
INTERNATIONAL INTERNATIONAL
TOUR D’HORIZON DES PRINCIPAUX DOSSIERS ACTUELS DE L’EUROPE DE LA CYBERSÉCURITÉ TOUR D’HORIZON DES PRINCIPAUX DOSSIERS ACTUELS DE L’EUROPE DE LA CYBERSÉCURITÉ
la bonne articulation entre le dispositif OIV Une analyse d’impact a Le constat dressé par la scientifique et des milieux industriels,
(10) Voir notre (13) COM (2017)
et la nouvelle catégorie des OSE. été lancée par la Commis-
étude : « La coopé- 477 final. Commission européenne d’améliorer les processus de normalisation
ration public-privé
sion le 1er février 2018. Elle
à l’échelle de l’UE :
est l’existence d’une et de certification. À cet égard, la création
Vers un centre et un réseau européens de l’émergence d’un constitue le prolongement communauté scientifique encore trop de ce centre et de ce réseau s’inscrit dans
« État régulateur »
cybercompétence des travaux effectués
européen en matière fragmentée, et des liens entre cette dernière le sillage du « Cyberact » dont l’ambition est
de cybersécurité »,
Une autre mesure préconisée porte sur la Centre de Re- dans le cadre du partena- et les milieux industriels à parfaire. La de créer un nouveau schéma européen de
mise en place d’un Centre européen de cherche de l’Écoleriat public-privé sur la situation actuelle entrave la compétitivité de certification13. Concrètement, l’objectif est
des Officiers de la
compétences industrielles, technologiques Gendarmerie Na- cybersécurité (cPPP ou l’Union en matière de cybersécurité. d’avoir un cadre harmonisé pour la
tionale, note n° 29,
et de recherche en matière de cybersécu- décembre 2017. contractual Public-Private L’instauration d’un Centre européen de certification de sécurité des produits et
rité et d’un réseau de centres nationaux Partnership on cybersecu- compétences industrielles, technologiques services informatiques, précisément pour
de coordination… Plus exactement, il rity), lancé en 2016 et richement doté (avec et de recherche en matière de cybersécurité éviter un phénomène de multiplication des
s’agit d’instituer un centre européen de un effet démultiplicateur estimé à 1,8 mil- et d’un réseau de centres nationaux de systèmes de certification dans l’Union. La
recherche et de compétences en cybersé- liard d’euros), dont le rôle est précisément coordination entend donc relever ce défi. Il proposition présentée en février 2018
curité destiné à mutualiser l’expertise exis- de stimuler l’innovation et à la compétitivité s’agit, outre le renforcement des capacités entend réviser le mandat actuel de l’ENISA,
tante au sein de l’Union dans le secteur de de l’industrie de l’Union10. industrielles pour favoriser l’innovation et le de manière à faire de cette agence un
la recherche. La stratégie sur la cybersécu- développement d’une expertise dans le centre d’expertise apportant un appui aux
rité de 2017 précise à ce propos que « ce L’instauration de cette domaine de la cybersécurité de nature à États membres (et à la Commission) dans le
(11) Il s’agit d’une
réseau et ce centre stimuleraient le déve- proposition de structure est désormais resserrer les liens entre la communauté domaine de la certification de cybersécurité.
loppement et le déploiement de technolo- financée par le pro-
règlement instituant
un programme
gies dans le domaine de la cybersécurité et européen dénommé gramme pour une Europe
« Digital Europe ».
compléteraient les efforts de renforcement Doté d’une numérique, présenté par
enveloppe de
des capacités dans ce domaine au niveau la Commission le 6 juin
© Composite image of spy in black hoodie Par vectorfusionart
9,2 milliards d’euros,
national et de l’Union ». Elle ajoute que : 201811. Ce futur centre
il entend stimuler les
investissements en
« la mise en commun et la configuration matière numérique,aurait pour tâche de
notamment dans
des efforts de recherche seraient au cœur le domaine de la définir des normes en
des préoccupations initiales du centre et cybersécurité (un matière de formation des
cinquième du fonds
du réseau. Pour soutenir le développement professionnels. C’est
étant consacré à ce
thème).
des capacités industrielles, le centre de d’ailleurs un aspect mis
(12) P8_TA-PROV
compétences pourrait agir en tant que (2018) 0258. en exergue par le
gestionnaire pour s’occuper des projets Parlement européen qui,
multinationaux. Cela donnerait également dans sa résolution du 13 juin 2018 sur la
un nouvel élan à l’innovation et à la compé- cyberdéfense, insiste sur la qualité de la
titivité de l’industrie de l’Union sur la scène formation sur le thème « La cyberdé-
mondiale ». fense », notamment en établissant des
plateformes techniques et en créant une
communauté d’experts européens12. L’organisation d’exercices d’envergure renforce la synergie et l’interopérabilité des acteurs dédiés à la lutte
contre les cybermenaces.
16 Revue de la Gendarmerie Nationale 4e trimestre 2018 4e trimestre 2018 Revue de la Gendarmerie Nationale 17INTERNATIONAL INTERNATIONAL
TOUR D’HORIZON DES PRINCIPAUX DOSSIERS ACTUELS DE L’EUROPE DE LA CYBERSÉCURITÉ TOUR D’HORIZON DES PRINCIPAUX DOSSIERS ACTUELS DE L’EUROPE DE LA CYBERSÉCURITÉ
L’importance des exercices européens exercices Cyber Europe, est un pilier de la (17) Voir l’article de Plusieurs travaux impor- Commission, du 13 septembre 2017,
Grégory Mounier
La stratégie sur la stratégie de 2017, la cyberdissuasion en (chef d’unité au
tants doivent être men- dresse un bilan positif de la mise en œuvre
(14) https://www.
ssi.gouv.fr/agence/ cybersécurité de 2017 est un autre et non des moindres. centre européen tionnés, destinés à établir de cette directive destinée à élaborer une
cybersecurite/ssi- de lutte contre la
en-france/les-cert- souligne le rôle joué par cybercriminalité un cadre juridique définition commune des attaques et à
(EC3) d’Europol) :
francais/ l’ENISA dans la facilitation Deuxième axe : la cyberdissuasion « Enquêtes interna- européen de manière à harmoniser les niveaux de sanctions20. Elle
de la cohérence de (16) Sur ce D’après la stratégie sur la tionales et poursuite
des cybercriminels
éviter que les cybercrimi- considère en effet que ce texte « a permis
thème, voir Marc
l’action entreprise par les divers acteurs Watin-Augouard,
cybersécurité de 2017, la – État des lieux et nels ne tirent profit des d’accomplir des progrès substantiels en
défis juridiques »,
chargés de la cybersécurité (ENISA, « La cybercrimi- dissuasion est orientée L’Observateur de différences sur les plans matière de criminalisation des
nalité, criminalité Bruxelles, n° 105,
CERT-EU, Europol, et les CSIRT14, du XXI siècle », in
e avant tout vers la cyberdé- juillet 2016, p. 14-
légaux et techniques entre cyberattaques à un niveau comparable
Gohin, O., Pauvert,
c’est-à-dire les centres nationaux de B. (dir.), Le droit linquance. Une cyberdis- 18. les États membres de dans tous les États membres, ce qui facilite
réponses aux urgences informatiques). de la sécurité et suasion requiert, d’après (18) Voir Marc Wa- l’UE17 : les directives la coopération transfrontière entre les
de la défense en tin-Augouard, « La
Surtout, elle insiste sur son rôle d’appui 2014, Presses ce document, un en- couche sémantique « cyberattaques », autorités répressives qui enquêtent sur ce
Universitaires de l’espace numé-
dans le développement d’une d’Aix-Marseille, semble de mesures rique : espace de « e-evidence » et « fraude type d’infractions ».
2015, p. 359-375.
cyberdéfense européenne en favorisant le crédibles et dissuasives à liberté ou d’asservis- en ligne à la carte
sement ? », Revue
partage d’informations, la conscience cet égard. Il est vrai que le rapport d’Euro- de la Gendarmerie bancaire ». L’accent doit Cela étant, comme le fait
(21) Propositions de
nationale, n° 260,
situationnelle, le renforcement de pol 2017 sur la cybercriminalité (iOCTA) décembre 2017, être mis aussi sur la lutte remarquer le rapport
directive établissant
des règles harmo-
p. 53-56.
l’expertise et des réactions coordonnées. Il souligne un accroissement de la cyberdé- contre les contenus nisées concernant d’évaluation, cette
la désignation
s’agit notamment, pour ce centre, de linquance16. Il s’inscrit dans le sillage du illicites, en particulier la propagande de représentants directive constitue le
« servir de plateforme permettant aux États terroriste en ligne, manifestation de légaux aux fins de la
premier maillon d’un droit
rapport de 2016 notant que celle-ci est collecte de preuves
membres de définir les priorités de l’UE en davantage agressive, en particulier pour ce l’importance du contrôle de la couche en matière pénale pénal européen spécialisé
et de règlement
matière de cyberdéfense, de rechercher qui est des attaques contre les systèmes sémantique de l’espace numérique18. sur les questions liées à la
relatif aux injonctions
européennes de
des solutions communes, de contribuer à d’information. Quant au rapport 2018, il production et de
cybercriminalité. Elle
l’élaboration de stratégies communes, de confirme la tendance selon laquelle la Directive « cyberattaques » et la preuve conservation de mentionne que pour
preuves électro-
faciliter la formation et la réalisation cybercriminalité se caractérise essentielle- numérique niques en matière faciliter les enquêtes
pénale (resp. COM
d’exercices et d’essais en cyberdéfense ». ment par l’usage récurrent de rançongiciel, L’une des premières criminelles concernant ce
(2018) 226 final et
(19) Directive
par le recours accru aux cryptomining 2013/40/UE du réponses de portée COM (2018) 225 type d’attaques, une
Parlement européen final).
Des exercices d’envergure
(15) Voir : https://
malware (malwares qui minent des et du Conseil du majeure de l’Union a trait à législation doit être
12 août 2013
www.cyber-europe. européenne ont déjà lieu. cryptomonnaies à l’insu des utilisateurs), et relative aux attaques
l’adoption de la directive élaborée et destinée à faciliter l’accès
eu/
Il s’agit des exercices par la montée en puissance de nouvelles contre les systèmes dite « cyberattaques »19. transfrontière aux preuves électroniques.
d’information et
Cyber Europe coordonnés par l’ENISA. À techniques comme la compromission du remplaçant la Adoptée le 12 août 2013 C’est dans ce contexte qu’a été présentée,
décision-cadre
ce propos, un exercice paneuropéen en Remote Desktop Protocol (RDP) et le 2005/222/JAI du et transposée au plus tard le 17 avril 2018, une directive et un
matière de crises cybernétiques s’est brute-forcing (technique par laquelle Conseil. par les États membres le règlement dénommé « e-evidence » visant
déroulé les 6 et 7 juin 2018. Le cinquième l’accès à l’ordinateur de la victime est (20) COM (2017) 4 septembre 2015, elle à s’attaquer au problème d’accès trans-
474 final.
du genre, il avait pour thème la cybersécu- obtenu grâce à l’emploi de moyens visant à établit un socle juridique frontalier à la preuve numérique21.
rité aérienne15 et il a rassemblé près d’un craquer, grâce à multiples tentatives commun pour ces États afin de
millier de participants. Si la cyberrésilience, effectuées, des mots de passe faibles) sanctionner les attaques contre les La difficulté à laquelle se heurtent les
à laquelle contribuent activement les systèmes d’information. Un rapport de la autorités judiciaires des États membres de
18 Revue de la Gendarmerie Nationale 4e trimestre 2018 4e trimestre 2018 Revue de la Gendarmerie Nationale 19INTERNATIONAL INTERNATIONAL
TOUR D’HORIZON DES PRINCIPAUX DOSSIERS ACTUELS DE L’EUROPE DE LA CYBERSÉCURITÉ TOUR D’HORIZON DES PRINCIPAUX DOSSIERS ACTUELS DE L’EUROPE DE LA CYBERSÉCURITÉ
l’UE est double : d’une part, accéder à des seurs de communications électroniques en électroniques destinés à rediriger comme l’optimisation du retour d’informa-
données, de nature à servir de preuves, particulier), qu’il se trouve dans l’Union ou l’utilisateur vers de faux sites webs en vue tion sur les signalements (par exemple la
qui sont stockées sur des serveurs situés non, de conserver des données ou de les de détourner le paiement réalisé vers un confirmation de prise de mesures), la mise
dans des pays tiers à l’Union ou qui sont transmettre, en vue de les produire à titre compte bancaire contrôlé par le fraudeur. en place de mécanismes de rechargement
détenus par des fournisseurs de services, de preuve dans une procédure judiciaire, et des pages supprimés (reupload) ainsi
essentiellement les GAFA ; d’autre part, ce, quelle que soit la localisation de ces (24) COM (2018) La volonté d’adapter la qu’une meilleure détection des contenus
470.
rendre compatibles les preuves collec- données. répression aux évolutions illicites par les entreprises du web elles-
(25) Acronyme de
tées par ces autorités des différents États EU Internet Referral de la criminalité se traduit mêmes.
Unit.
membres. En effet, les obligations impo- Fraude en ligne par carte bancaire et également par une
sées à ces fournisseurs varient d’un pays à propagande terroriste en ligne meilleure coopération en matière de lutte (26) C (2018) 1177
À ce stade, il n’est pas
l’autre, posant la question de la recevabilité Cette nouvelle législation contre la propagande terroriste sur internet. final. encore question de
(23) COM (2017)
de ces preuves. 489 final. sur les cyberpreuves Europol constitue l’enceinte pertinente (27) Voir COM produire une législation
(2018) 236 final et
(« e-evidence ») entend chargée de détecter ce type de contenu et JOIN 2018/16 final. contraignante élaborée au
Cette initiative de la permettre au droit de s’adapter aux de centraliser les signalements opérés par niveau l’UE. La Commis-
(22) Doc. du Conseil
du 9 juin 2016, Commission fait suite aux évolutions technologiques et à l’usage que les États membres. À cet égard, un récent sion a présenté le 1er mars 2018 une
n° 10007/16.
conclusions des ministres fait la criminalité de celle-ci. Il en est de rapport, dressant un état de la sécurité à recommandation précisant les obligations
de la Justice du Conseil même pour la proposition de directive l’échelle de l’Union, note un accroissement des hébergeurs26. Elle fait écho à une
de juin 2016. Elle est destinée à faciliter la concernant la lutte contre la fraude et la du nombre de signalements à l’attention demande du Conseil européen, des 22 et
détermination, dans le cadre des enquêtes contrefaçon des moyens de paiement des entreprises du web, en particulier 23 juin 2017, désireux d’empêcher la
pénales, de la localisation des preuves autres que les espèces23. Une telle Twitter et Facebook24. Selon ce même diffusion d’une propagande terroriste en
numériques et de l’origine de ces cyberat- proposition, présentée le 13 septembre texte, l’unité d’Europol chargée de les ligne. La Commission a défini en particulier
taques22. Elle entend améliorer l’accès 2017, entend moderniser le droit existant, traiter, dénommée EU-IRU25, a émis plus un mécanisme de collaboration entre les
transfrontière aux preuves numériques : la en l’occurrence la décision-cadre du de 8 000 signalements lors du quatrième entreprises du web et les États membres,
proposition de règlement, complétée par le 28 mai 2001. Il importe de noter à cet trimestre de 2017, qui ont abouti au retrait les uns et les autres devant désigner des
dispositif prévu par la directive, institue une égard que la criminalité relative à la fraude du contenu incriminé dans 89 % des cas points de contact chargés des questions
injonction judiciaire. La directive vise à aux cartes bancaires et de paiement sur (chiffre globalement stable depuis plusieurs concernant les contenus illicites en ligne.
imposer aux opérateurs proposant leurs internet s’était adaptée entretemps et que années). Au cours du premier trimestre de En outre, la recommandation préconise le
services dans l’Union européenne de la mise à jour de ce texte était impérative. 2018, ce chiffre s’élevait à 5 700 signale- recours par ces entreprises à la détection
désigner un représentant légal dans l’Union Parmi les nouveautés prévues figure la ments. automatique de contenus. Enfin, elle
(pour la réception, le respect et l’exécution prise en compte de certains envisage des procédures accélérées pour
des décisions et injonctions émises par les comportements délictueux comme Les défis à venir de la lutte contre les ce qui est de la propagande terroriste, ces
autorités compétentes des États membres l’hameçonnage (phishing) et le trafic contenus illicites contenus devant être supprimés en une
à des fins de collecte de preuves en d’authentifiants bancaires volés (carding). Toujours d’après ce texte, datant du 13 juin heure à compter du signalement. En effet,
matière pénale). Concrètement, cette En outre, la proposition actuellement en 2018, le taux de retrait par les entreprises la recommandation vise tout type de conte-
injonction émise par une autorité judiciaire cours de négociation par le Conseil et le de taille modeste est sensiblement plus nus illicites, au-delà de la propagande
nationale permet de demander à un Parlement européen harmonise les faible (61 %) et l’un des défis actuels terroriste. Cela étant, l’action de l’Union est
fournisseur (réseaux sociaux et fournis- infractions relatives au piratage d’appareils consiste à l’améliorer. Il en existe d’autres encore plus large en visant les contenus
20 Revue de la Gendarmerie Nationale 4e trimestre 2018 4e trimestre 2018 Revue de la Gendarmerie Nationale 21Vous pouvez aussi lire
