Cybercriminalité : constat partagé d’incapacité et d’impréparation
Le troisième forum international de la cybercriminalité, qui s’est ouvert ce matin du 24 mars à Lille, ne sera pas l’occasion d’un satisfecit. La plupart des acteurs réunis pour débattre par les organisateurs semblent s’accorder sur un point : les limites des efforts déjà engagés en matière de prévention comme de répression. L’occasion pour les politiques présents de promettre d’aller plus loin.
Tout va bien, mais pas tant que ça. Les intervenants sélectionnés pour l’ouverture de ce troisième forum international de la cybercriminalité, ce mardi 24 mars, à Lille, se sont prêtés avec succès à l’exercice imposé du satisfecit, vantant chacun à leur tour leurs efforts et succès en matière de lutte contre la cybercriminalité. Mais au-delà de sourires de façade, le message principal semble celui des limites de la lutte contre la cybercriminalité, en l’état des moyens humains, techniques et juridiques actuels. Ce n’est pas de bon cœur, mais Roland Gilles, directeur général de la gendarmerie nationale, le reconnaît à demi-mot : la lutte contre la cybercriminalité se heurte à la nature transfrontalière d’Internet ; « la répression de pans entiers de la cybercriminalité demande à nos Etats de trouver les dénominateurs communs d’une action transfrontalière. » Car, selon lui, une action circonscrite aux frontières « est souvent inefficace. » Jean-Michel Bérar, préfet de la zone de défense Nord, s’inquiète, de son côté, de l’extension constante du théâtre des opérations : « tout appareil permettant d’échanger des données est potentiellement exposé au piratage, au vol de données, aux activités frauduleuses. […] Il n’est pas question de faire de la paranoïa, simplement d’informer sur les risques encourus. » Et adapter les outils juridiques ; « un effort conséquent » selon lui. Même au sein de l’espace européen, la situation n’est pas totalement fluide : pour Tim Boerner, spécialiste en recherche criminelle travaillent pour le US Secret Service, basé à Frankfort, « il y a plus de deux douzaines de pays en Europe… il est très difficile d’avoir une coordination efficace. »
Un niveau de préparation encore limité Face à la menace, qu’elle touche le tissu économique, les particuliers ou même les infrastructures dites vitales de l’Etat, la préparation ressort comme finalement assez limitée. Pour Emmanuel Sartorius, haut fonctionnaire de défense et de sécurité auprès du Minefe, l’essentiel du problème « passe par l’éducation des entreprises et des particuliers. » Les grandes entreprises, elles, « ont tous les moyens nécessaires » et sont conscientes de la problématique. Une opinion qualifiée « optimiste » par le Colonel Stanislas de Maupéou, chef du centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (Certa) : « Malheureusement, des exemples comme Conficker nous montrent bien que les grandes entreprises [ne sont pas parfaitement protégées] bien qu’il y ait des compétences. […] L’échelle peut rendre la protection plus difficile ; vers et codes malveillants se propagent facilement dans les grandes entreprises. » (Et il n'y a pas que les entreprises : Conficker à ainsi trouvé son chemin dans certains systèmes - non classifiés- de l'armée de l'air, NDLR) Pour Christian Aghroum, commissaire divisionnaire, chef de l’Office central de lutte contre la criminalité lié aux technologies de l’information et de la communication (OCLCTIC), « la France n’a pas à rougir de sa compétence et de sa motivation [dans la lutte contre la cyrbercriminalité]. […] Mais il faut persévérer. C’est une lutte qui coûte cher, mais permet de grosses économies par rapport à une catastrophe... » Là, encore, le Colonel Stanislas Maupéou ne cache pas son inquiétude : « en France, nous avons un taux de détection des attaques globalement plus faible qu’au Royaume-Uni ou en Allemagne. On a l’impression qu’il ne se passe rien parce qu’on ne le voit pas ». Notons à ce propos qu'il manque en France et en Europe le cadre juridique pour contraindre les entreprises victimes d'intrusions à les rendre publiques.
De nouvelles menaces sur le monde physique. Pour le Colonel Stanislas Maupéou, il est urgent de réaliser que « les NTIC irriguent la société : le partage virtuel/réel n’a plus beaucoup de sens aujourd’hui. » L’évolution de dispositifs électro-mécaniques de contrôle industriel « vers des technologies ouvertes et fragiles comme TCP/IP a de quoi inquiéter. »
Face à tous ces éléments, Michelle Alliot-Marie, ministre de l’intérieur, indique vouloir « faire modifier la législation », dans le cadre de loi d’orientation et de programmation pour la sécurité intérieure (Lopsi) en cours d’examen, afin, notamment, « d’autoriser la captation de données numériques à distance. » Plus loin, la ministre évoque une plateforme de signalement des infractions sur Internet étendue à l’Europe et interconnectée avec les Etats-Unis. Et de faire état de « perspectives » avec la Russie et de réflexion avec les pays d’Afrique ou encore la Malaisie, des régions dont proviennent, selon elles, « un certain nombre d’attaques ou d’escroqueries. »
Extrait de l'intervention de Michelle Alliot-Marie au FIC
envoyé par LeMagIT Mais globalement, la question des moyens peut laisser perplexe. Michelle Alliot-Marie fait état d’une certification d’Investigateur en Cybercriminalité recouvrant une formation de 4 semaines à bac+3, avec 200 enquêteurs formés par la police à la fin 2008 et 100 de plus en 2009. Quant à la protection des entreprises, « notre tissu économique, donc nos emplois », la ministre renvoie « chacun à la vigilance et à une politique volontariste d’intelligence économique défensive, pour lutter contre les ingérences étrangères. » Pas un mot pour la
DCSSI, la direction centrale de la sécurité des systèmes d’information, un service dépendant du Premier Ministre, laquelle doit pourtant se transformer en Agence Nationale pour la Sécurité des Systèmes d’Information, avec une mission concentrée sur le sécurité des réseaux. Dans ce contexte, c’est la question de l’assistance aux entreprises qui est posée.
Des partenariats public-privé pour la sécurité des SI ?
envoyé par LeMagIT