Pages

samedi 21 octobre 2017

La France, bon élève dans la transposition de la directive "cyberattaques"


La France est plutôt bon élève dans la transposition de la directive « cyberattaques » qui vient de faire une évaluation. 2 autres enseignements majeurs peuvent être tirés :
  • des efforts considérables ont été déployés par les États membres pour transposer la directive, selon la Commission ;
  • il reste encore beaucoup à faire pour que la directive atteigne son plein potentiel et que les États membres en appliquent pleinement toutes les dispositions. La Commission entend donc engager une procédure d’infraction contre les quelques Etats retardataires.

Deux autres enseignements doivent être gardés à l’esprit :
  • la Commission n’envisage pas de proposer des modifications de la directive
  • cette directive va être complétée par 2 mesures : 1. une concernant l’accès transfrontière aux preuves électroniques et 2. une autre sur le chiffrement dans les enquêtes criminelles.

De quoi parle-t-on ?

En 2013, une directive « cyberattaques » a été adoptée. Cette directive prescrit aux États membres de mettre en vigueur les dispositions législatives et administratives nécessaires avant 4 septembre 2015.

Le rapport de la Commission évalue dans quelle mesure les États membres ont pris les dispositions nécessaires afin de se conformer à la directive.

À la date limite de transposition, 22 États membres avaient notifié à la Commission l’achèvement de la transposition de la directive.
En novembre 2015, la Commission a engagé des procédures d’infraction pour non-communication de mesures nationales de transposition à l’encontre des cinq autres États membres: la Belgique, la Bulgarie, la Grèce, l’Irlande et la Finlande.
Au 31 mai 2017, les procédures d’infraction pour non-communication de mesures nationales de transposition à l’encontre la Belgique, la Bulgarie et l’Irlande étaient toujours en cours.

Pourquoi cette directive ?

D’après l’évaluation de la menace que représente la criminalité organisée sur l’internet (iOCTA) réalisée par Europol en 2016, la cybercriminalité devient de plus en plus agressive et conflictuelle. Cette tendance se retrouve dans différentes formes de cybercriminalité, notamment les attaques contre les systèmes d’information.
Europol mentionne certaines formes graves d’attaques, comme le recours à des logiciels malveillants ou à l’ingénierie sociale pour infiltrer un système d’information puis en prendre le contrôle ou pour intercepter des communications, ou le lancement d’attaques à grande échelle contre des réseaux, visant notamment les infrastructures critiques.

Que contient cette directive ?

Afin de lutter de manière efficace contre ces infractions, les États membres doivent parvenir à une définition commune de ce qu’est une attaque contre les systèmes d’information.
Ils doivent également harmoniser leurs niveaux de sanctions et les moyens opérationnels consacrés au signalement des infractions et à l’échange d’informations entre les autorités.
C’est pourquoi, le 12 août 2013, une directive relative aux attaques contre les systèmes d’information. Cette directive remplace la décision-cadre  du Conseil de 2005. 

La directive de 2013 a pour objectif de rapprocher le droit pénal des États membres en matière d’attaques contre les systèmes d’information et d’améliorer la coopération entre les autorités compétentes.
À cette fin, la directive fixe des règles minimales concernant la définition des infractions pénales et les sanctions en matière d’attaques contre les systèmes d’information et impose l’existence de points de contact opérationnels 24h/24 et 7j/7/

Des infractions pénales spécifiques sont définies :
  • l’accès illégal à des systèmes d’information en tant que tel (article 3);
  • l’atteinte illégale à l’intégrité d’un système (article 4), qui inclut tout accès illégal à un système d’information entraînant une perturbation grave ou une interruption de son fonctionnement;
  • l’atteinte illégale à l’intégrité des données (article 5), qui concerne toute atteinte illégale à des données informatiques qui compromet leur intégrité ou leur disponibilité;
  • l’interception illégale (article 6) de transmissions non publiques de données informatiques et d’émissions électromagnétiques provenant d’un système d’information transportant de telles données;
  • la fourniture illégale d’outils utilisés pour commettre les infractions susmentionnées (article 7). Dans ce contexte, il peut s’agir de programmes informatiques, de mots de passe ou de toutes autres données permettant d’accéder à un système d’information.

L’article 9 prévoit le niveau minimal des peines maximales pour les infractions mentionnées dans la directive. De manière générale, une peine d’emprisonnement maximale d’au moins 2 ans est prévue pour toutes les infractions.

Les articles suivants établissent les conditions minimales de la responsabilité des personnes morales (article 10) et fournissent une liste indicative des sanctions qui peuvent être appliquées à celles-ci (article 11).

En ce qui concerne l’échange d’informations, l’article 13, paragraphe 1, impose aux États membres de veiller à disposer de points de contact nationaux opérationnels, disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept, afin de pouvoir répondre dans un délai de huit heures à toute demande urgente provenant de l’étranger.

De plus, les États membres doivent prendre les mesures nécessaires afin de faciliter la notification des infractions susmentionnées aux autorités nationales compétentes (article 13, paragraphe 3) et de collecter et communiquer une quantité minimale de données statistiques portant sur ces infractions (article 14).

Et quel est le bilan faut-il tirer ?

La directive a permis d’accomplir des progrès substantiels en matière de criminalisation des cyberattaques à un niveau comparable dans tous les États membres, ce qui facilite la coopération transfrontière entre les autorités répressives qui enquêtent sur ce type d’infractions.
Les États membres ont modifié leurs codes pénaux et leur législation applicable, ils ont rationalisé leurs procédures et ils ont mis en place ou amélioré leurs programmes de coopération.

Jusqu’à présent, l’analyse suggère que certaines des principales améliorations à mettre en œuvre par les États membres concernent l’utilisation des définitions (article 2), qui a un effet sur la portée des infractions définies par le droit national sur la base de la directive.
De plus, il semblerait que certains États membres aient rencontré des difficultés pour inclure l’ensemble des possibilités qui caractérisent les actions liées aux infractions (articles 3 à 7) et pour prévoir des normes communes en matière de sanctions pour les cyberattaques (article 9).
D’autres problèmes semblent liés à la mise en œuvre des dispositions administratives concernant les canaux de communication appropriés (article 13, paragraphe 3) ainsi qu'au suivi et aux statistiques concernant les infractions relevant de la directive (article 14).

La Commission continuera de soutenir les États membres dans leur mise en œuvre de la directive. En ce qui concerne la contribution potentielle à la coopération transfrontière, il s'agit notamment des dispositions opérationnelles de la directive relatives :
  • à l’échange d’informations (article 13, paragraphes 1 et 2),
  • aux canaux de communication (article 13, paragraphe 3)
  • au suivi et aux statistiques (article 14).

Et où va-t-on ?

La Commission se dit résolue à ce que la transposition soit finalisée dans l’ensemble de l’Union et à ce que les dispositions soient correctement appliquées.
Cela implique notamment de s’assurer que les mesures nationales sont conformes aux dispositions correspondantes de la directive.
Le cas échéant, la Commission fera usage de ses pouvoirs d’exécution en vertu des traités au moyen de procédures d’infraction.

Afin de rendre plus aisées les enquêtes criminelles relatives aux attaques contre les systèmes d'information, la Commission envisage des mesures visant à améliorer l’accès transfrontière aux preuves électroniques dans le cadre des enquêtes criminelles, notamment en proposant des mesures législatives au début de 2018.
Elle étudie également le rôle que joue le chiffrement dans les enquêtes criminelles et présentera ses conclusions sur le sujet d’ici octobre 2017.

Et la France ?

La France est plutôt bon élève dans la transposition de cette directive « cyberattaques » même si des progrès peuvent être faits.

La définition de la directive s'appuie sur la définition du terme «système informatique» énoncée par la convention de Budapest, en ajoutant les données informatiques elles-mêmes en tant que partie du système d’information.
Certains pays ont introduit des dispositions législatives contenant la définition d’un système d’information, tandis que les informations fournies par d’autres, dont la France, n’étaient pas concluantes.

Le terme «données informatiques» est prévu par la législation de la plupart des Etats, tandis que les informations fournies par dont la France n’étaient pas concluantes.

L’article 3 de la directive, qui porte sur l’accès illégal à un système d’information, est couvert par la législation française.
Dans le cas de la France, la portée des dispositions nationales est plus large que celle de la directive en ce que celles-ci ne nécessitent pas la violation d'une mesure de sécurité pour établir la responsabilité pénale.

L’article 5 de la directive concerne l’atteinte illégale à l’intégrité des données et énumère les six actes possibles suivants: effacer, endommager, détériorer, altérer, supprimer ou rendre inaccessibles des données informatiques.
Certains pays ont transposé la disposition littéralement. Les mesures de transposition en France ne couvrent pas toutes les possibilités mais font seulement référence à certaines d'entre elles.

L’article 6 porte sur l’interception illégale et vise les transmissions non publiques de données informatiques et les émissions électromagnétiques provenant d’un système d’information transportant de telles données.
Une majorité des pays ont introduit une législation qui couvre l’article 6 dans son intégralité.
Alors que la directive concerne l’interception de données informatiques en général, celle-ci est, dans certains États membres, limitée, en France, à la correspondance.
Par ailleurs, les mesures de transposition de la France suivants ne couvrent par l’interception des émissions électromagnétiques.

L’article 7 érige en infractions pénales un certain nombre d’actes concernant les outils, tels que les programmes informatiques ou les codes d’accès, qui sont utilisés pour commettre les infractions mentionnées aux articles 3 à 6: la production, la vente, l’obtention pour utilisation, l’importation, la diffusion ou d’autres formes de mise à disposition de ces outils.
Il existe des différences entre l’article 7 et les mesures nationales en raison de l’absence de transposition de tous les actes possibles énumérés. C’est le cas de la France.

L’article 11, paragraphe 1, de la directive impose aux États membres de prévoir des amendes pénales ou non pénales à titre de sanctions effectives, proportionnées et dissuasives pour les personnes morales.
Cet article poursuit en énumérant des options de sanctions supplémentaires envisageables pour les personnes morales.
L’interdiction temporaire ou définitive d’exercer une activité commerciale, le placement sous surveillance judiciaire, une mesure judiciaire de dissolution et la fermeture temporaire ou définitive d’établissements ayant servi à commettre l’infraction ont été retenues par la France.

(synthèse du texte par securiteinterieure.fr)


A lire sur securiteinterieure.fr :




Et vous êtes sûr de n'avoir rien oublié ? 
 

De retrouver securiteinterieure.fr sur twitter par exemple ?


Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.