Dans les médias, les colonnes se remplissent régulièrement des mésaventures de multiples entreprises et administrations (notamment des hôpitaux) victimes de cybercriminels, notamment via des ransomwares. Le 13 novembre 2020, le Cigref a adressé une lettre ouverte au Premier ministre Jean Castex pour l'alerter sur le danger que le développement de la cybercriminalité fait peser sur la pérennité des entreprises et par conséquent sur l'économie. Dans le cas des administrations, c'est bien l'État et le fonctionnement des services publics qui est en danger, voire la vie même des citoyens quand on parle d'hôpitaux.
En effet, les cyber-attaques s'accroissent considérablement en nombre comme en gravité ces derniers temps, le fait d'être victime d'une tentative (réussie ou non) d'une attaque massive n'étant plus l'exception anecdotique mais la règle. Certes, le Cigref salue l'action publique au travers notamment de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Mais le Cigref se plaint surtout d'une quasi-impunité effective des cyber-criminels, la cyber-criminalité étant la seule criminalité à ainsi bénéficier d'une telle tranquillité alors même que ses nuisances sont majeures.
Une nécessaire double action publique
Le Cigref réclame une action de régulation publique visant les fournisseurs dont les failles laissées béantes font peser des risques énormes sur leurs clients. Lorsqu'il s'agit d'éditeurs de logiciels propriétaires, il faut bien admettre que les dits clients sont aveugles sur les éventuelles faiblesses du code auquel ils n'ont pas accès. Cette régulation visera à renforcer la sécurité globale des systèmes numériques.
Par ailleurs, le Cigref appelle à une collaboration internationale, point qui relève des compétences régaliennes des Etats, et, plus généralement à un renforcement du cadre juridique de lutte contre la cyber-criminalité. Ce renforcement doit également se faire, selon le Cigref, au plan national et au plan européen. La communication de l'association ne précise pas quelles mesures précises sont attendues, qu'il s'agisse d'une amélioration procédurale ou d'une aggravation des peines encourues. Observons que la section V du chapitre VI du Code Pénal prévoit déjà de lourdes peines, comme cinq ans d'emprisonnement et 300 000 euros d'amende. Le chapitre III du Titre II du même code est focalisé sur les atteintes aux systèmes de traitement automatisé de données et prévoit des peines de sept ans de prison et 300 000 euros d'amende.
Commentaire