mardi 21 novembre 2017

Cybersécurité : une évaluation des politiques nationales préconise l’extension de l’obligation de notification en cas de cyberattaques et une stratégie pour casser le chiffrement


Un rapport d’évaluation des politiques nationales en matière de cybersécurité a été approuvé par les 28 ministres du Conseil au cours de leur dernière réunion (la France a également l'objet d'une évaluation dans un rapport rendu public).
Ce (long) rapport des politiques nationales en matière de cybersécurité (qui fait 83 pages) est particulièrement instructif : d’abord il met en évidence les lacunes dont souffrent certaines de ces politiques. Ensuite, il propose une série de pistes qui sont précisément à l’étude à l’heure actuelle au sein des sphères institutionnelles de l’UE.
C’est le cas de l’extension du champ d’application de l’obligation par les prestataires privés, de cyberattaques dont ils ont été victimes.
C’est aussi le cas des efforts pour favoriser la recherche (incluant le secteur privé) en vue de casser le chiffrement des données échangées, dont tirent profit les cybercriminels.

De quoi parle-t-on ?

Ce rapport s'efforce de résumer les résultats et les recommandations et de tirer des conclusions concernant la septième série d'évaluations mutuelles.
Il relève du mécanisme prévu par l'action commune du 5 décembre 1997 instaurant un mécanisme d'évaluation de l'application et de la mise en œuvre au plan national des engagements internationaux en matière de lutte contre la criminalité organisée.

La première mission d'évaluation a été menée en France entre le 28 et le 31 octobre 2014. La dernière mission d'évaluation a eu lieu en Suède entre le 27 et le 30 septembre 2016.
Les 28 missions d'évaluation ont toutes donné lieu à des rapports détaillés sur les États membres concernés. Ces rapports d'évaluation ont ensuite été examinés et adoptés par le groupe de travail du Conseil de l’UE dénommé GENVAL.
Le rapport final a, quant à lui, été approuvé par le Conseil au niveau ministériel.
La plupart des rapports nationaux, dont le rapport français, sont disponibles sur le site internet du Conseil et accessibles au public.

1ère leçon : l’aggravation du phénomène de la cybercriminalité

Du fait de l'utilisation plus fréquente de l'internet, la cybercriminalité est un phénomène criminel de plus en plus répandu et de nouvelles tendances et de nouveaux modes opératoires apparaissent; il s'agit tant d'infractions cybercriminelles au sens strict qui, selon leur définition légale, requièrent l'utilisation d'un système informatique, que d'infractions facilitées par Internet, qui sont des infractions traditionnelles commises au moyen des technologies de l'information et de la communication (TIC).
Par conséquent, la progression dans la lutte contre la cybercriminalité requiert dans tous les pays un niveau élevé de volonté politique, des efforts budgétaires et un investissement majeur dans les ressources humaines et techniques.

2e leçon : une implication à géométrie variable et des stratégies nationales manquantes en matière de cybersécurité

Le degré d'engagement et d'efficacité varie selon les États membres et, dans certains cas, des améliorations seraient possibles en ce qui concerne certains aspects de l'approche globale en matière de lutte contre la cybercriminalité. Dans le même temps, certains problèmes et défis communs ont également été identifiés.
Au moment de l'évaluation, la majorité des États membres avaient adopté une stratégie nationale de cybersécurité, fournissant un cadre pour l'établissement des priorités nationales ainsi que des structures de coordination essentielles aux niveaux stratégique et opérationnel, afin de lutter contre la cybercriminalité et d'assurer la cyber-résilience, tandis qu'un petit nombre d'États membres étaient en train de le faire. Certains États membres avaient également adopté un plan d'action pour la mise en œuvre de leur stratégie nationale de cybersécurité.

3e leçon : l’absence de données statistiques

L'une des principales lacunes recensées concerne la collecte de statistiques distinctes sur la cybercriminalité et la cybersécurité, celles qui sont disponibles étant insuffisantes et fragmentées et ne permettant pas de comparaison entre les différentes régions d'un même État membre ou entre les différents États membres.

Les statistiques sur la cybercriminalité sont extrêmement importantes. D'une part, elles rendent possibles une analyse détaillée et une compréhension de l'ampleur des nouvelles tendances émergentes de cette forme de criminalité en expansion, permettant ainsi de disposer d'une image réaliste du taux de cybercriminalité, compte tenu du faible taux de signalement aux autorités répressives des infractions liées à celle-ci, et de suivre ses évolutions, afin de prendre des mesures appropriées; d'autre part, elles permettent d'évaluer l'efficacité du système juridique et l'adéquation de la législation aux fins de la lutte contre la cybercriminalité et de la protection des intérêts des citoyens qui en sont les victimes.

Des statistiques complètes devraient porter sur tous les stades de la procédure - enquête, poursuites, procès - en indiquant le type d'infraction pénale et la mesure d'enquête spécifique, le nombre d'infractions signalées, le nombre d'enquêtes menées et les décisions de ne pas mener d'enquête sur un certain type de cybercriminalité, le nombre de victimes et de plaintes déposées par des victimes, le nombre de personnes poursuivies et condamnées pour différentes formes de cybercriminalité, le nombre d'affaires transfrontières, les résultats des demandes d'entraide judiciaire et la durée de la procédure.

L'une des principales lacunes recensées dans la majorité des États membres lors de la septième série d'évaluations concerne la collecte de statistiques distinctes sur la cybercriminalité au sens strict, la criminalité facilitée par Internet et les incidents de cybersécurité.

4e leçon : un manque de professionnels spécialisés

En raison de l'évolution rapide des TIC grâce à des méthodes de plus en plus sophistiquées et de la complexité de la cybercriminalité, un degré élevé de spécialisation des professionnels travaillant dans ce domaine est extrêmement important.
Selon les conclusions de l'évaluation, le degré de spécialisation est généralement suffisant ou satisfaisant pour les services répressifs, tandis qu'il laisse à désirer en ce qui concerne le système judiciaire, étant donné que, dans plusieurs États membres, la cybercriminalité est traitée par les parquets généraux et les juridictions pénales générales.
Il a par conséquent été recommandé aux États membres d'accroître le niveau de spécialisation de leur personnel judiciaire traitant des affaires de cybercriminalité.

Pour les mêmes raisons, l'évaluation a mis en évidence l'importance d'assurer de façon régulière et continue des formations spécialisées sur la cybercriminalité qui s'adressent à la fois aux services répressifs et aux autorités judiciaires, y compris en tirant le meilleur parti des possibilités de formation qu'offrent ou auxquelles contribuent, conformément à leur mandat, les organes de l'UE, tels que l'EC3/Europol, l'ECTEG, Eurojust, l'OLAF et le CEPOL.

5e leçon : l’absence de coordination institutionnelle suffisante

L'évaluation a souligné qu'une coordination et une coopération interinstitutionnelles étroites et efficaces, fondées sur une approche faisant intervenir plusieurs organismes aux niveaux stratégique et opérationnel, entre toutes les parties prenantes concernées des secteurs public et privé associées à la cybercriminalité et à la cybersécurité, constituent des éléments essentiels pour lutter efficacement contre la cybercriminalité et veiller à ce que les systèmes nationaux de cybersécurité présentent un bon niveau de résilience face aux menaces informatiques.
Dans certains États membres, une telle coopération n'a cependant pas encore été suffisamment développée ou peut être encore améliorée. En effet, dans quelques États membres, il n'existe pas de cadre juridique pour la coopération interagences dans les affaires liées à la cybercriminalité, et les autorités qui interviennent dans la lutte contre la cybercriminalité coopèrent de manière informelle.

Le meilleur moyen de garantir le bon fonctionnement du système est un mécanisme structuré, surtout lorsque les fonctions de coordination pour les questions liées à la cybersécurité et aux politiques de lutte contre la cybercriminalité sont confiées à une autorité institutionnelle unique (c'est-à-dire des ministères ou des bureaux faisant partie de la structure organisationnelle des ministères) ou à un organisme ou une entité ad hoc unique

6e leçon : des partenariats à privilégier, comme forme de coopération public/privé


Une étroite coopération entre le secteur public et le secteur privé - les institutions finanières/bancaires, les entreprises de télécommunications, les fournisseurs de service internet (FSI), les ONG, le monde universitaire, les entreprises, les associations professionnelles, etc. - est fonda-mentale dans ce contexte, car leur expertise apporte une grande valeur ajoutée à la réussite des enquêtes et des actions menées en matière de cybercriminalité pour répondre aux cyberincidents.

Il est également utile d'associer les procureurs aux contacts avec le secteur privé, afin de garantir que les preuves soient recueillies dans le respect de la législation en vigueur et soient recevables dans le cadre des procédures judiciaires.
Selon les conclusions de l'évaluation, le niveau de la coopération entre le secteur public et le secteur privé est variable dans les États membres et, d'une manière générale, la coopération est plus développée et plus efficace lorsqu'elle est plus structurée et qu'il existe un climat de confiance.

Les formes les plus avancées de coopération avec le secteur privé sont institutionnalisées par la création d'autorités/de groupes de travail appropriés. Les partenariats public-privé ont été identifiés par les évaluateurs comme étant un outil important pour une bonne coopération entre les services répressifs et le secteur privé.
Ces partenariats sont des instruments importants pour assurer une bonne coopération entre les services répressifs et le secteur privé, en particulier les fournisseurs de services Internet, ainsi que le secteur financier, notamment les banques, mais aussi les ONG, les CSIRT et les opérateurs d'infrastructures critiques. Cela peut être utile pour le retrait des contenus illicites, le déchiffrement, la lutte contre les cyberattaques, etc.

Dans certains États membres, le recours à des partenariats public-privé est prévu dans la stratégie nationale de cybersécurité, mais il est parfois limité à des domaines spécifiques. Il peut reposer sur des protocoles d'accord ou des accords informels analogues.

Cependant, les États membres n'ont pas tous mis en place un cadre formel pour les partenariats public-privé et, dans certains d'entre eux, la coopération, les réunions et l'échange d'informations avec le secteur privé sur les incidents, les tendances et l'évolution de la situation ont lieu de manière informelle, plutôt que sur une base légale.

7e leçon : prévoir des techniques spéciales d’enquêtes adaptées

Outre les techniques d'enquête ordinaires, des techniques spéciales sont utilisées pour enquêter sur les affaires de cybercriminalité.
Il existe un certain nombre de possibilités: les techniques d'enquête spéciales les plus utilisées, qui constituent des outils de travail particulièrement efficaces pour traiter notamment les affaires impliquant l'exploitation sexuelle d'enfants, sont l'interception de communications, la préservation des données et les enquêtes sous pseudonyme.

Dans le domaine de la cybercriminalité, en particulier, le mode opératoire, les logiciels et les outils utilisés évoluent constamment et à brefs intervalles.
Les techniques d'enquête doivent donc être continuellement mises à jour (par exemple au moyen de logiciels d'enquête spéciaux), conformément à l'évolution de la cybercriminalité.

Les États membres qui ne l'ont pas encore fait sont encouragés à prévoir dans leur législation nationale la possibilité de recourir à des techniques d'enquête spéciales pour faciliter les enquêtes dans les affaires de cybercriminalité.

8e leçon : l’enjeu du chiffrement et de la collaboration des fournisseurs de service internet étrangers

Certains États membres ont des contacts directs avec les FSI (fournisseurs de service internet) situés à l'étranger, en particulier aux États-Unis, mais les résultats des demandes sont assez incertains en raison du caractère volontaire de cette coopération, aussi serait-il bénéfique pour l'UE et ses États membres de définir des règles claires pour établir de quelle manière les services répressifs peuvent obtenir des données détenues par des fournisseurs de service internet étrangers.

Les principaux obstacles au succès des enquêtes sur la cybercriminalité sont, entre autres, le développement rapide de la technologie et les nouveaux modes opératoires complexes, le professionnalisme et le niveau d'expertise croissants des cyberdélinquants, le fait que la cybercriminalité puisse facilement relever de la compétence de plusieurs pays, la difficulté d'obtenir l'accès aux preuves électroniques en rapport avec la cybercriminalité et les difficultés liées à l'utilisation du chiffrement, du réseau Tor et de l'anonymisation.
L'utilisation croissante du chiffrement au moyen de techniques de plus en plus sophistiquées pose de plus en plus de difficultés aux services répressifs et de renseignement dans l'ensemble des États membres car elle complique ou empêche totalement l'accès à des informations pertinentes concernant la cybercriminalité.
Le déchiffrement n'est parfois possible - si tant est qu'il le soit - qu'en utilisant du matériel et des logiciels spécialisés à fortes capacités, et l'évaluation a montré que les tentatives de contrer un chiffrement sans faille ne rencontrent qu'un succès limité.

En effet, selon les constatations de l'évaluation, dans certains cas plus complexes, le contenu chiffré a pu être déchiffré au moyen d'attaques brutales - c'est-à-dire en essayant tous les codes possibles - ou d'attaques déclenchées par mots clés - c'est-à-dire par l'utilisation de termes conçus pour la recherche de mot de passe - ou lorsque le suspect a accepté de coopérer et a fourni le mot de passe ou la phrase nécessaire pour le décryptage. Toutefois, les personnes concernées ne sont pas toujours disposées à coopérer avec les autorités et il n'existe aucun moyen de les y obliger.
Dans certains États membres, le déchiffrement est effectué en coopération avec des sociétés privées, dont l'expertise se révèle particulièrement utile lorsque les méthodes de chiffrement sont très sophistiquées. Dans plusieurs États membres, au contraire, les sociétés privées ne participent pas au déchiffrement dans le cadre des enquêtes pénales, celui-ci étant réservé aux instituts de police scientifique.

De nombreux États membres utilisent la plateforme de déchiffrement d'Europol au Centre européen de lutte contre la cybercriminalité (EC3). Selon les conclusions de l'évaluation, les problèmes posés par le chiffrement pourraient être partiellement compensés par l'intensification de la recherche et du développement et l'élaboration de nouvelles méthodes, ainsi que par une bonne coopération entre les différentes autorités concernées.
Il a également été recommandé aux États membres et aux institutions de l'UE de réfléchir à des solutions et de mener un dialogue ouvert plus soutenu avec le secteur privé.

9e leçon : favoriser une « cyberjustice »

La structure et l'organisation du système judiciaire varient selon les États membres, y compris en ce qui concerne l'attribution de la compétence pour traiter les dossiers de cybercriminalité.
D'une manière générale, l'évaluation mutuelle a révélé que le degré de spécialisation des services répressifs est plus élevé que celui du corps judiciaire.
Dans un nombre non négligeable d'États membres, la cybercriminalité est traitée par les parquets généraux, et aucun État membre ne possède de juridictions ou de juges spécialisés chargés d'examiner et de juger les affaires de cybercriminalité.
Dans un petit nombre d'États membres, il existe des réseaux nationaux de "cyberprocureurs" spécialisés en cybercriminalité, ce qui peut être considéré comme une bonne pratique, car cela permet des échanges de connaissances et d'expériences et favorise la diffusion des bonnes pratiques parmi les praticiens.

10e leçon : la question des preuves électroniques

La collecte, l'analyse et l'utilisation de preuves électroniques jouent un rôle de plus en plus important dans les procédures pénales, non seulement en ce qui concerne les actes de cybercriminalité, mais aussi toute autre infraction susceptible d'impliquer des preuves électroniques.

La nature des preuves électroniques et la facilité avec laquelle elles peuvent être manipulées ou falsifiées peuvent créer des problèmes d'admissibilité qui ne se posent pas avec d'autres types de preuves.
Pour cette raison, il existe dans certains États membres des exigences spécifiques en ce qui concerne la collecte des preuves électroniques pour qu'elles soient admissibles devant les tribunaux.
Si les règles relatives à l'admissibilité des preuves sont plutôt strictes, cela peut créer des obstacles à l'utilisation des preuves électroniques, notamment lorsqu'elles sont obtenues d'un autre pays, au moyen par exemple d'une demande d'entraide judiciaire.
L'UE et ses États membres, dans le prolongement du processus en cours de réunions d'experts portant sur l'accès aux preuves électroniques, devraient envisager d'élaborer un cadre de l'UE fixant les règles relatives à l'accès, à des fins répressives, aux données détenues par les fournisseurs de services.
Ce cadre devrait réglementer les relations entre les services répressifs et les fournisseurs de service internet, en établissant des règles et des obligations claires.

En outre, dans certains États membres, la législation nationale permet d'obtenir des informations directe-ment auprès de fournisseurs étrangers, sous réserve qu'une telle pratique soit également autorisée par le droit de l'État où se trouve le siège du fournisseur.
Un cadre commun pour échanger des données sur les abonnés et de nouvelles approches au niveau de l'UE en ce qui concerne la compétence d'exécution font, parmi d'autres questions, l'objet des travaux menés actuellement au niveau de l'UE sur la base des conclusions du Conseil du 9 juin 2016 sur l'amélioration de la justice pénale dans le cyberespace.

11e leçon : le cas des informations dans les nuages


Au moment de l'évaluation, certains États membres n'avaient aucune expérience en matière d'enquête sur ce type de cybercriminalité et la question de la compétence relative au stockage dans le "nuage" n'avait donc pas encore été soumise à leurs juridictions nationales, ce qui pourrait signifier qu'un certain nombre d'actes de cybercriminalité échappent en pratique aux poursuites; ils ont toutefois reconnu qu'ils finiraient inévitablement par être confrontés à de telles situations.

Ce phénomène pourrait entraîner de graves problèmes à l'avenir, car les solutions d'informatique en nuage connaissent une popularité grandissante et le recours au stockage dans le "nuage" et aux services en nuage devient une pratique de plus en plus répandue non seulement parmi les personnes morales et physiques, mais également parmi les malfaiteurs.

Il n'a pas encore été possible de trouver une solution appropriée au problème du stockage dans le "nuage". Pour surmonter ces difficultés, les évaluateurs soulignent que des arrangements spéciaux avec certains fournisseurs de services en "nuage" (par exemple Google et Yahoo) pourraient être mis en place afin de réduire les délais et d'obtenir des informations dans des formats qui soient admissibles devant les tribunaux.

Certaines mesures visant à contourner ce problème sont actuellement examinées au niveau de l'UE, dans le cadre du processus en cours de réunions d'experts sur les preuves électroniques, notamment la création de points de contact uniques aussi bien au niveau des États membres que des fournisseurs de services et la mise en place, pour les mesures d'enquête visant un fournisseur de services, d'un cadre juridique de l'UE qui permette aux autorités de demander ("demande de produire") ou d'imposer ("injonction de produire") à un fournisseur de service situé dans un autre État membre de divulguer des informations sur un utilisateur.

En outre, l'évaluation a mis en évidence que les actes de cybercriminalité impliquant des données stockées dans le "nuage" soulèvent généralement des problèmes pour les enquêtes et les poursuites en raison du fait que les informations dans le "nuage" ne sont pas facilement localisables par les services répressifs ni facilement accessibles pour ceux-ci.
Selon le cas concret, les preuves électroniques peuvent être situées dans la juridiction d'un ou plusieurs États, y compris simultanément à l'extérieur de l'UE. Des conflits de compétences peuvent donc survenir; dans ces circonstances, l'aide d'Eurojust et du réseau judiciaire européen (RJE) peut être sollicitée.
L'évaluation a souligné l'importance de relever ces défis au niveau de l'UE et au niveau international.

12e leçon : l’absence de généralisation des bases de données nationale d’identification des victimes en cas de pédopornographie

Les abus sexuels commis contre des enfants sur internet, sous différentes formes, ont considérablement augmenté ces dernières années.
Afin de lutter efficacement contre de telles formes de criminalité, un large éventail de mesures tant préventives (notamment des formations et des campagnes d'information à des fins de sensibilisation) que coercitives (blocage d'accès ou suppression des contenus illicites) associant à la fois le secteur public et le secteur privé est mis en œuvre, à des degrés divers, dans les États membres.

Plusieurs États membres ont établi une base de données nationale consacrée à l'identification des victimes aux fins de la lutte contre les abus sexuels commis contre des enfants, ou avaient entrepris de mettre en place une telle base de données au moment où l'évaluation a été menée.
Toutefois, la majorité des États membres ne dispose pas d'une telle base de données, ou alors celle-ci n'était pas suffisamment développée au moment où l'évaluation a été menée.

13e leçon : favoriser la procédure de notification en cas de cyberattaques

Les cyberattaques représentent une menace en constante évolution, les méthodes et les outils utilisés pour mener ces attaques sont de plus en plus sophistiqués et l'éventail de cyberattaques menaçant le cyberespace est très large.
Au moment où l'évaluation a été menée, la majorité des États membres avaient déjà mis en place un CSIRT ou étaient en train de le faire, tandis que quelques États membres ne l'avaient pas encore fait.  Les tâches principales des CSIRT consistent à surveiller les incidents de sécurité informatique et à y répondre, à émettre des alertes précoces et des alertes, à fournir des analyses des risques et des incidents, ainsi qu'à mettre en place une coopération avec le secteur privé.
Dans certains cas, malgré l'absence d'obligation formelle, la notification s'effectue sur une base volontaire; cependant, comme le montrent certains rapports, le sous-signalement est fréquent en raison de la réticence des fournisseurs de services, qui craignent pour leur réputation.
Selon les conclusions de l'évaluation, sans obligation de notification, il existe un réel danger que la plupart des cyberincidents ne soient pas portés à la connaissance des autorités.
C'est pourquoi les évaluateurs ont estimé que la mise en place d'un cadre juridique adéquat rendant obligatoire cette notification, comme c'est le cas dans certains États membres, constitue une bonne pratique.

(synthèse du texte par securiteinterieure.fr)


 A lire aussi :

A lire également sur securiteinterieure.fr :

Votre attention est le carburant de ma passion.


  Merci pour votre fidélité !
 

n'hésitez pas à partager 
et à retrouver securiteinterieure.fr sur twitter : @securitepointfr

Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.