Cybercriminalité et collectivités : ce qu’il faut savoir

L’informatique et le traitement des données ou non personnelles ou non sensibles sont depuis plusieurs décennies placés au cœur de l’activité humaine, n’échappent pas aux agissements criminels inhérents à notre société et sont susceptibles d’occasionner des dommages considérables à ses divers acteurs. Les collectivités restent exposées à ces menaces. Elles doivent les prévenir mais également les contrer, notamment au moyen du droit pénal.

Quelle est la définition de la cybercriminalité ?
La cybercriminalité ou criminalité informatique désigne, selon l’ONU, « tout comportement illégal faisant intervenir des opérations électroniques qui visent la sécurité des systèmes d’information et des données qu’ils traitent » (Xe Congrès de l’ONU « La prévention du crime et le traitement des délinquants », Vienne, 10-17 avril 2000). Dans les faits, elle se matérialise par des attaques commises dans ou via l’espace cybernétique (cyberattaques).

Quels sont les formes les plus fréquentes de cyberattaques envers les collectivités ?
Les formes techniques sont variées, tant au regard de la nature que du potentiel de nuisance : installation de programmes espions, piégés, chevaux de Troie… L’une des principales formes est le rançongiciel qui consiste dans l’introduction d’un logiciel qui bloque l’accès au réseau ou à ses fichiers et qui réclame à la collectivité le paiement d’une rançon pour en obtenir de nouveau l’accès.
Une autre pratique, le hameçonnage, consiste à duper l’utilisateur d’un réseau informatique pour l’inciter à communiquer des données personnelles (logs, mots de passe, données bancaires, marchés publics…) en se faisant passer pour un tiers de confiance (co-contractant de marché public). L’objectif final est alors de monnayer les données.
Par ailleurs, le chantage à la webcam devient une manœuvre récurrente : le pirate, après avoir illicitement capté une liste de diffusion de courriels, adresse à ses cibles un message consistant à les prévenir de ce que leur matériel aurait été piégé et qu’ils auraient été personnellement filmés via leur webcam dans l’intimité de leur vie privée, puis à leur soutirer de l’argent en contrepartie de la suppression des prétendues vidéos.

Que dit le Code pénal ?
Depuis 1978, le droit pénal appréhende les cyberattaques et distingue les infractions spécifiquement consacrées à la lutte contre la cybercriminalité des infractions plus génériques qui ne lui sont pas exclusivement dédiées. En pratique, toutes ces infractions sont soit commises contre un système informatique, c’est à dire en droit un système de traitement automatisé de données (STAD), soient commises grâce à ce STAD.
Enfin, les données numériques ou informatiques se situent au centre de la cybercriminalité : elles sont soit les outils de l’infraction informatique (le moyen utilisé), soit le produit ou le butin de l’infraction informatique (l’objectif recherché).

Quelles sont les infractions spécifiques ?
La première infraction est constituée par l’accès ou le maintien frauduleux dans un STAD (article 323-1 du Code pénal). La loi interdit ainsi à quiconque, sans l’accord du maître du système, d’y pénétrer. Elle interdit également à quiconque de s’y maintenir sans autorisation même si l’accès était initialement autorisé.
La seconde infraction est celle sanctionnant l’extraction, la détention, la reproduction ou la transmission, frauduleuses, de données issues d’un STAD (article 323-3 du Code pénal). Ainsi, quiconque pénètre sans droit dans le réseau informatique d’un tiers pour y insérer un logiciel malveillant et extraire des données ou les reproduire commettra cumulativement les deux délits précités. Si, de surcroît, le pirate a capté des données personnelles (données bancaires, numéros de téléphone…), il pourra répondre des délits de mise en œuvre illicite de données à caractère personnel (article 226-16 du Code pénal), collecte de données à caractère personnel par un moyen frauduleux (article 226-18 du Code pénal), conservation illicite de données sensibles (article 226-19 du Code pénal) ou encore de détournement des données personnelles (article 226-21 du Code pénal).

Quelles sont les infractions génériques également applicables à la lutte contre la cybercriminalité ?
A côté de ces infractions spécifiques, les infractions plus génériques de chantage (article 312-10 du Code pénal), d’extorsion de fonds (article 312-1 du Code pénal) ou encore d’escroquerie (article 313-1 du Code pénal) sont également applicables et les collectivités, ainsi que leurs agents personnellement victimes, pourront s’en prévaloir. Il faut également citer le vol (article 311-1 du Code pénal) puisque le vol de données est sanctionnable.

Quels sont les premiers réflexes à adopter en cas de cyberattaque ?
La première démarche est d’adresser des notifications au service informatique interne de la collectivité, à l’IT manager, au prestataire informatique extérieur, afin notamment de permettre de déterminer l’origine de l’attaque.
La seconde démarche est de constituer une équipe de gestion de crise, qui permettra une centralisation des informations et des décisions à prendre en urgence, notamment au titre des alternatives de secours pour la poursuite de manière sécurisée de l’activité informatique (et donc du service public). Elle permettra également de centraliser la prise de décision sur la communication externe de l’atteinte (qui informe-t-on et quel degré d’informations donnons-nous ?).

Quelles sont les mesures conservatoires précontentieuses utiles ?
D’abord, il pourra s’avérer nécessaire de préserver les preuves (conservation des messages reçus, conservations des logs de connexion au STAD, captures d’écran, constat d’huissier, tenue d’un registre des événements et actions accomplies…).
En cas d’atteinte aux données personnelles, une notification à la CNIL devra être effectuée, à peine de sanctions pénales (article 226-17-1 du Code pénal).
Un signalement sur la plateforme de l’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) pourra en même temps être effectué via le lien url https://www.police-nationale.interieur.gouv.fr/Actualites/L-actu-police/Plateforme-Signalement-sur-Internet 

Quels sont les moyens d’action contentieux ?
D’emblée, la collectivité et/ou ses agents personnellement victimes pourront déposer une plainte auprès du Procureur de la République territorialement compétent. Cette plainte pourra ultérieurement, et sous certaines conditions procédurales fixées par l’article 85 du Code de procédure pénale, être suivie d’une plainte avec constitution de partie civile (saisine d’un juge d’instruction).
Enfin, la collectivité pourra mettre en œuvre des procédures dites « au provisoire » telle la procédure d’ordonnance sur requête aux fins de levées d’anonymat.
A noter que la cybercriminalité révèle souvent une dimension internationale, ce qui ne prive pas la loi et le juge français de leur compétence, à charge pour eux de mettre en œuvre les instruments d’entraide pénale internationale en vigueur.

Les élus et les agents peuvent-ils engager leur responsabilité pénale en cas de dommages causés à des tiers à raison d’une cyberattaque dont la collectivité est victime ?
En cas de cyberattaque, la collectivité, ses élus et agents en sont les premières victimes. Qu’en serait-il toutefois si la cyberattaque occasionnait un dommage à un tiers ? Dans ce cadre, le Code pénal réprime les atteintes les plus graves au RGPD, notamment le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans mettre en œuvre les mesures destinées à garantir leur sécurité (article 226-16 du Code pénal).
Par ailleurs, si une cyberattaque impliquait une atteinte aux personnes (atteinte à un réseau informatique impliquant une panne de signalisation conduisant à un accident corporel), les délits non-intentionnels (homicide ou blessures involontaires) pourraient trouver application, à condition toutefois d’établir sur le chef des élus ou des agents des manquements graves (dans les conditions de l’article 121-3 du Code pénal) à la sécurisation des systèmes et des données.