• 12 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 07/12/2022

Maîtrisez les obligations liées à la lutte contre la cybercriminalité

Il peut arriver que des acteurs commettent volontairement une action illicite. Nous écartons ici les comportements qui n’ont rien de spécifique au secteur informatique et à l’internet.

De manière spécifique, l’informatique autorise une criminalité singulière :

  • les biens qui font l’objet d’une atteinte sont le plus souvent incorporels (propriété intellectuelle, monnaie scripturale, crypto monnaies, information…),

  • les montants en jeu sont démultipliés par la rapidité d’exécution des opérations, et les opérations sont particulièrement discrètes,

  • la perturbation et l'atteinte à des droits fondamentaux (données personnelles, potentiellement sensibles) peuvent être particulièrement profondes.

L’internet facilitant la possibilité d’ignorer les frontières, la cybercriminalité ne peut être traité qu’a un double plan, national et supranational (souvent européen).

Les caractéristiques de la responsabilité pénale

Le droit pénal est un droit dit répressif, en ce sens qu'il réprime des comportements qui sont jugés répréhensibles.

Un principe fondamental du droit pénal est le principe de légalité des délits et des peines : on ne peut être sanctionné que pour un comportement qui, au moment de sa commission, est expressément prévu par un texte. Il s'agit d'un principe constitutionnel, qui s'impose donc au législateur. 

Le droit pénal s'applique comme tel au secteur informatique : un abus de confiance demeure un abus de confiance indépendamment des moyens utilisés. Mais la fraude informatique n'est pas une catégorie juridique.

Typologie des agissements répréhensibles en matière d'informatique :

  • Manipulation informatique (manipulation des données saisies à l'entrée du système)

    • Manipulation de programme

    • Manipulation des commandes du terminal

    • Manipulation des données à la sortie

    • Utilisation abusive de services informatiques sur place ou à distance

  • Espionnage (vol de logiciel ou de code source)

    • Vol d'informations et utilisation abusive d'informations

  • Sabotage (intrusion dans un système)

    • Destruction et altération de données

    • Vandalisme

  • Vol de temps de machine

  • Délits économiques (détournements de fonds par moyens informatiques

    • Parasitisme

    • Blanchiment

En rapprochant droit pénal et informatique, la logique sous jacente à retenir est la suivante :

  • Les biens informationnels (informatique) sont des moyens d'une fraude.

    • Cela renvoie à l'usage délictueux de l'informatique pour porter atteinte aux biens d'autrui. Pénalement, ce sont les qualifications d'escroquerie et d'abus de confiance.

    • Cela renvoie à l'usage délictueux de l'informatique pour porter atteinte aux personnes. Pénalement, ce sont des infractions dans la mise en œuvre de traitements informatisés, à la collecte frauduleuse de données...

  • Les biens informationnels sont l'objet d'une fraude. Cela renvoie aux agissements qui consistent à soustraire (vol) la chose d'autrui, à détruire ou saboter, ainsi qu'à utiliser et accéder à la chose d'autrui (un ordinateur, une base de données,...).

Mais alors qu'est-ce que la cybercriminalité ? 

Là encore, il s'agit pas d'une notion juridique. Elle est employée pour désigner des actes répréhensibles commis en ligne en ayant recours à des réseaux de communication électronique et aux systèmes d'information.

Ce sont des activités qui se jouent des frontières et recouvrent trois grands ensembles :

  1. Les crimes et délits propres à l'Internet, tels que des attaques sur un système ou le phishing ;

  2. La fraude et l'escroquerie en ligne, tels que le vol ou l'usurpation d'identité, le phishing, le spam et les codes malicieux ;

  3. Les contenus illégaux en ligne, tels que la pédopornographie, l'incitation à la haine raciale, l'incitation au terrorisme et à la violence...

Les sources nationales

La lutte contre la cybercriminalité est surtout matérialisé par l'existence d'organisations dont c'est la mission, qui impliquent des obligations de collaboration ou de signalement.

Organisations

Ces unités spécialisées, au niveau national, sont diverses.

Sigle

Intitulé

Création

IRCGN (Gendarmerie)

Institut de recherche criminelle de la Gendarmerie Nationale / Division Criminalistique Ingénierie et Numérique (DCIN)

1992

BEFTI (Préfecture de police)

Brigade d'enquêtes sur les fraudes aux technologies de l'information

1994

SDLC (Police nationale)

Sous-direction de lutte contre la cybercriminalité

2014

OCLCTIC

(anciennement BCRCI) 

Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication

(anciennement Brigade d'enquêtes sur les fraudes aux technologies de l'information)

2000

(1994)

Schématiquement, chacune de ces organisation mène une action liée avec la cybercriminalité.

La Division criminalistique ingénierie et numérique de l'IRCGN couvre l'ensemble des domaines d'expertise liés à la preuve numérique. Il assiste la justice (expertise judiciaire, examens scientifiques) et les enquêteurs. 

La Brigade d'enquêtes sur les fraudes aux technologies de l'information est un service de la police judiciaire. Il réalise des enquêtes liés aux plaintes reçus pour des faits délictueux commis sur Internet. À cet égard, ses investigations portent sur les crimes et délits informatiques tels que :

  • les intrusions et les compromissions d'ordinateurs ou de réseaux ;

  • les contrefaçons de logiciels ;

  • les extractions de bases de données personnelles ;

  • le piratage de réseaux téléphoniques ;

  • les défigurations de sites ;

  • les défauts de sécurisation des bases de données personnelles.

La Sous-direction de lutte contre la cybercriminalité répond au besoin d'une politique d'ensemble de lutte contre la cybercriminalité en intégrant les missions de prévention et de répression. Elle définit les stratégies à mettre en œuvre dans les domaines opérationnel, de la formation et de la prévention du grand public et du monde économique.

La SDLC est composée de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) et d'une division de l'anticipation et de l'analyse.

Cadre règlementaire

Les instruments juridiques (c'est-à-dire le cadre réglementaire) qui, d'une part, déterminent des infractions propres aux activités informatiques et, d'autre part, offrent les pouvoirs d'enquête et d'action aux différentes autorités (police, gendarmerie, justice), sont éparpillés.

  • On trouve l'ensemble des infractions contenues dans le code pénal, mais également dans des codes sectoriels (comme le code de la consommation ou encore le code des télécommunications).

  • On trouve ensuite les pouvoirs d'enquête et les prérogatives procédurales dans le code de procédure pénal, mais également des textes spécifiques.

Les sources européennes

La cybercriminalité est un phénomène éminemment transnational, ce qui explique l'existence d'organisations et de textes supranationaux.

L'approche la plus fournie et la plus développée est celle développée au sein de l'Union européenne, à laquelle s'ajoute, dépassant le cadre des 28 États membres de l'UE, l'adoption d'une convention internationale élaborée par le Conseil de l'Europe.

Les actions de l'UE en matière de cybersécurité et de cybercriminalité

L’Union européenne a pris des mesures pour être mieux préparée en matière de cybersécurité : elle adopte ainsi une stratégie de cybersécurité, qui combine un aspect institutionnel (organisations dédiées à la lutte contre la cybercriminalité) et un aspect réglementaire (adoption de textes).

Au titre de sa première stratégie de cybersécurité adoptée en 2013, l’UE a défini des objectifs stratégiques et des actions concrètes pour parvenir à la résilience, faire reculer la cybercriminalité, développer une politique et des moyens de cyberdéfense, développer les ressources industrielles et technologiques correspondantes et instaurer une politique internationale de l’UE cohérente en matière de cyberespace.

Organisations

EC3 (European Cybercrime Centre)

2013

Vise à renforcer l'efficacité de la répression des infractions relevant de la cybercriminalité.

ENISA (European Agency for Network and Information Security)

2004

Agence européenne chargée de la sécurité des réseaux et de l'information, dite "Agence de cybersécurité". Activités :

  • Fournir une expertise en matière de sécurité des réseaux et de l’information.

  • Contribuer à l’élaboration des politiques et à leur mise en œuvre.

  • Aider à se doter de moyens dans toute l’Union

  • Promouvoir la communauté de la sécurité des réseaux et de l’information.

  • Faciliter la collaboration.

Global Alliance against Child Sexual Abuse Online

2012

Initiative conjointe UE et États-Unis. Rassemble 54 pays dans la lutte contre l'abus et l'exploitation sexuels des enfants.

Actes juridiques

Date

Intitulé

Mesures principales

2016

Directive sur la sécurité des réseaux et des systèmes d'information (Directive SRI)

Obligations légales de mesures de sécurité imposées aux principaux acteurs économiques.

Institue un groupe de coopération afin de faciliter la coopération stratégique et l'échange d'informations entre les États membres.

Institue un réseau des centres de réponse aux incidents de sécurité informatiques (CSIRT) pour une coopération rapide et effective au niveau opérationnel.

Fixe des obligations pour la désignation d'autorités nationales compétentes, de points de contact uniques et de CSIRT chargés de tâches liées à la sécurité des réseaux et des systèmes d'information.

2013

Directive relative aux attaques contre les systèmes d'information

Fixe des règles minimales concernant la définition des infractions pénales et les sanctions en matière d’attaques contre les systèmes d’information.

Définit les infractions suivantes :

  • accès illégal à des systèmes d'information,

  • atteinte illégale à l'intégrité d'un système,

  • atteinte illégale à l'intégrité des données,

  • interception illégale.

2014

Directive relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants ainsi que la pédopornographie

Établit des règles minimales relatives à la définition des infractions pénales et des sanctions dans le domaine des abus sexuels et de l’exploitation sexuelle des enfants, de la pédopornographie et de la sollicitation d’enfants à des fins sexuelles.

Propose des instruments pour renforcer la prévention de ce type de criminalité et la protection de ceux qui en sont victimes.

La Convention sur la Cybercriminalité du Conseil de l'Europe

Si, au niveau de l'Union européenne, il existe une véritable stratégie, l'adoption de normes internationales est beaucoup plus difficile.

Il n'existe qu'un seul instrument international en la matière (et aucune organisation internationale) : la Convention sur la cybercriminalité du Conseil de l'Europe ou Convention de Budapest, adoptée en 2001.

La Convention vise pour l'essentiel :

  1. à harmoniser les éléments des infractions ayant trait au droit pénal matériel national et les dispositions connexes en matière de cybercriminalité,

  2. à fournir au droit pénal procédural national les pouvoirs nécessaires à l'instruction et à la poursuite d'infractions de ce type ainsi que d'autres infractions commises au moyen d'un système informatique ou dans le cadre desquelles des preuves existent sous forme électronique,

  3. à mettre en place un régime rapide et efficace de coopération internationale.

Exemple de certificat de réussite
Exemple de certificat de réussite