CAIRN.INFO : Matières à réflexion
2020/3
format_quote Citer ou exporter Ajouter à une liste Suivre cette revue

Article

1La transformation numérique, la mondialisation, l’essor des réseaux de communication et de l’Internet, l’interconnexion des activités et la dématérialisation des échanges économiques au sein du cyberespace [1] ont favorisé le développement de la cybercriminalité. « La cybercriminalité recouvre toute activité criminelle (activité illégale, irrégulière ou contraire à la loi) réalisée par le biais d’Internet et des technologies du numérique. Elle englobe toute forme de malveillance effectuée à l’aide de l’informatique, d’équipements électroniques et des réseaux de télécommunications » (Ghernaouti, 2017, p. 10).

2Les entreprises en sont désormais des cibles privilégiées : « […] il y a deux sortes d’entreprises : celles qui ont été piratées (par le cyber) et celles qui ne le savent pas » (Kempf, 2015, p. 153). Cette vulnérabilité est engendrée par leur double dépendance : aux systèmes et réseaux informatiques et aux réseaux de télécommunication. Les firmes en sont tributaires pour distribuer leur production, vendre leurs services, optimiser leur organisation et gestion internes, et pour dématérialiser leurs flux financiers. La multiplication et la diversification des cyberattaques, alliées à un double phénomène synchrone de démocratisation et de professionnalisation de la délinquance informatique, impactent toutes les organisations, mettent au défi leur sécurité et les placent au cœur d’une bataille innovante et permanente. Ainsi, cette mise en péril des réseaux informatiques et de communication touche fortement les entreprises et pose, en complément et au-delà de questions historiques, techniques, sociétales, géopolitiques ou économiques abordées dans un numéro thématique précédent de Flux (Thierry, Schafer, 2019), des interrogations juridiques. Aussi, c’est sous l’angle de la protection des entreprises par le droit et de son efficacité face aux cyberattaques que nous aborderons ici la question.

3Comment le droit, outil de régulation et de répression, tente-t-il de diminuer la vulnérabilité des entreprises dans ce nouveau lieu de conflictualité qu’est le cyberespace ? Quel est le pouvoir du droit dans ce nouvel écosystème mondial numérique ? Comment intègre-t-il les entreprises dans cette lutte et met-il l’accent sur leur capacité à participer à leur propre sécurisation ?

4Par une approche juridique basée sur l’examen des législations française et européenne applicables en France et de la jurisprudence afférente, cet article analyse le traitement juridique de la lutte contre les cyberattaques sous l’angle privilégié de la sécurité des entreprises. Il éclaire la façon dont le droit français saisit ce phénomène qui concerne les acteurs économiques situés sur son territoire à travers deux aspects, la prévention (agir sur les causes en cherchant à réduire la fréquence de survenue des cyberagressions) et la protection (agir sur les conséquences, en cherchant à limiter la gravité des incidents lorsqu’ils ont lieu).

5Dans un premier temps, cela suppose d’identifier les caractéristiques des cyberattaques et les difficultés que pose l’application du droit comme instrument de régulation et de répression au sein du cyberespace. Cela permet d’envisager, dans un second temps, le transfert de responsabilité vers les entreprises et les modalités de réponse de ces dernières dans la lutte contre les cyberagressions.

Une vulnérabilité accrue des entreprises au risque cyber et à une criminalité déterritorialisée que le droit peine à appréhender

Quand le risque cyber devient menace : des entreprises de plus en plus vulnérables

6Dans ce nouveau lieu de conflictualité qu’est le cyberespace, le risque, entendu comme l’exposition des entreprises au danger de cyberattaques, se caractérise par deux éléments, sa fréquence et sa gravité, qui permettent d’évaluer son intensité.

7Au fil des années, les cyberattaques se sont structurées. Elles sont désormais protéiformes, insidieuses et très sophistiquées. Leur nombre est en progression et leurs finalités multiples : espionnage, cybercriminalité, déstabilisation et sabotage (Danesi, Harribey, 2018). L’espionnage qui vise le renseignement, concerne certes les États mais de plus en plus également les entreprises pour leur subtiliser des informations protégées. La cybercriminalité, au sens strict, cherche à récupérer, exploiter ou revendre des données ou voler et extorquer de l’argent. Quant à la déstabilisation, elle prend la forme de propagande, de fake news et de rumeurs. Elle peut se manifester par l’expression en ligne via des sites d’informations ou de propagande et via les réseaux sociaux. Enfin, le dernier cas de figure est le sabotage informatique pour interrompre temporairement ou définitivement l’activité de l’entreprise en paralysant ou en détruisant ses infrastructures.

8Si on examine plus précisément les modalités des cyberattaques, quatre principales formes émergent (Zicry, 2017). Les attaques DOS (Denial of Service) ou DDOS (Disturbed Denial of Service) bloquent l’accès à un système d’information [2]. L’hameçonnage (phishing), le risque d’usurpation d’identité et le rançongiciel (ransomware) tendent à se faire remettre des données ou de l’argent. Le phreaking est le piratage du standard téléphonique des entreprises pour le détourner. Quant aux virus informatiques, ils essayent de se maintenir sur un système informatique (notamment par réplication, par implantation au sein de programmes, etc.) pour atteindre et parasiter des ressources. Les cyberattaques à but lucratif ou de sabotage sont en plein essor (ANSSI, 2017).

9Selon le baromètre de la cybersécurité des entreprises du Club des Experts de la Sécurité de l’Information et du Numérique [3] de janvier 2019, 80 % des entreprises interrogées ont été touchées par au moins une cyberattaque en 2018 (entre 10 et 14 pour 10 % des sondées et plus de 15 pour 22 %). Le phishing représente 73 % des cyberattaques dont ont été victimes les firmes sondées, l’arnaque au Président [4] 50 %, l’infection par un malware 44 %, le ransomware 44 %, l’ingénierie sociale 40 %, l’usurpation d’identité et la fraude 35 %, le déni de service 29 %, le vol de données personnelles 18 %.

10Ces chiffres reflètent incontestablement une tendance. Cependant, il n’existe aucune base de données publique recensant toutes les cyberattaques et le décompte de ces dernières est issu d’organismes privés. De plus, certaines entreprises qui ont subi des cyberagressions ne les rendent pas publiques soit par choix stratégique délibéré ou par ignorance même de l’incident. Cette sous-dénonciation impacte le chiffrage du phénomène, son appréhension globale et sa régulation (Dupont, Gautrais, 2010).

11Toutefois, les cyberattaques « ne constituent plus un simple risque conjoncturel mais sont devenues systémiques » (Ministère de l’intérieur, 2018, p. 14). Ce phénomène trouve son fondement dans le foisonnement des acteurs de la criminalité, dans la multiplication [5], la sophistication des outils d’attaques et leur diffusion sur le net et dans l’essor récent des attaques via le cloud. Il y a à la fois une professionnalisation des cyberattaquants et une multiplication des cyberdélinquants. Cette dernière est liée « à une cybercriminalité maintenant organisée en services (Cyber-Crime-as-a-Service) et en marchés sur les darknets » (Guinier, 2018, p. 163). Dans ce « marché des vulnérabilités » (Ghernaouti, 2017, p. 54), la possibilité de louer des outils et des logiciels d’exploitation des failles et d’explication des savoir-faire élargit le spectre d’action de la cybercriminalité en favorisant son accessibilité par la facilitation du passage à l’acte d’individus sans expertise particulière en la matière (Ghernaouti, 2017). Depuis le début de l’année 2018, la location de ce type de rançongiciels devient gratuite avec une possibilité de les paramétrer et de les télécharger, les bénéfices engagés sous forme de rançons étant partagés entre l’utilisateur délinquant et les développeurs (Ministère de l’Intérieur, 2018). Plus encore, il existe des failles de sécurité informatique, dites 0-Day, pour lesquelles il n’existe pas encore de remèdes et de protection. Ces vulnérabilités inédites, vendues par leurs développeurs aux plus offrants, ont un fort pouvoir de nuisance quand les cyber-délinquants en tirent parti pour attaquer des installations.

12La gravité du risque se mesure d’une part, par son ampleur et d’autre part, par les dommages causés aux entreprises.

13L’ampleur d’une cyberattaque découle de la combinaison de plusieurs paramètres. Certains dépendent des caractéristiques inhérentes aux agressions : leur complexité, leur dimension internationale et simultanée et leur invisibilité. Un critère supplémentaire concerne les virus informatiques. Leur capacité d’auto-propagation par autoréplique, alliée à l’interdépendance des systèmes informatiques et des acteurs économiques, est un facteur aggravant d’une offensive au sein du cyberespace. Cette configuration en réseaux, liée au fait que de nombreux ordinateurs utilisent les mêmes systèmes d’exploitation, facilite une telle diffusion. D’autres paramètres sont liés à la cible. « L’architecture du réseau de la cible, son niveau de vulnérabilité, son interconnexion avec d’autres systèmes peuvent changer très rapidement et affecter sérieusement l’impact d’une attaque » (Douzet, 2014, p. 52).

14La gravité du risque repose aussi sur la pluralité et l’importance des dommages causés. Le cabinet Deloitte recense quatorze impacts d’une cyberattaque [6]. À côté des coûts financiers directs connus, il existe des coûts indirects, intangibles, plus difficilement quantifiables, qui constituent des déficits financiers cachés ou inconnus. Parmi ces derniers, on peut citer la perte de propriété intellectuelle, la perte de la confiance accordée par les clients, ou encore la dépréciation financière de la valeur de la marque.

15« Les attaques, plus ciblées, mieux préparées mais aussi mieux réparties sur la durée, coûtent plus cher aux entreprises » (Trouchaud cité dans Ouest-France, 2017). The Global State of Information Security survey 2018[7] estime les pertes financières, directes et connues, des firmes françaises sondées à 2,25 millions d’euros en moyenne par entreprise et un investissement moyen de 4,3 millions d’euros dans la sécurité de leurs systèmes d’information au cours des douze derniers mois de l’enquête.

16L’intensité du risque cyber est donc très importante d’autant plus que ce dernier est dynamique. Il évolue constamment au regard des innovations technologiques et s’adapte rapidement, notamment aux modalités de conception, de régulation et d’exploitation des réseaux. Outre cette menace externe à l’entreprise, le facteur humain, en interne, peut également constituer un risque sérieux. En effet, l’humain peut être à l’origine des menaces, involontairement par erreur ou intentionnellement par une action malveillante. « Dans 80 % des cas, ce sont des employés ou d’ex-salariés qui, pour des raisons diverses, portent atteinte aux systèmes d’information de leurs employeurs ou de leurs ex-employeurs » (Féral-Schuhl, 2018, p. 1094).

17Cependant, si Internet n’est pas « un Far West juridique » (Fauchoux, Deprez, 2009, p. 1), mais un espace de droit qui « n’échappe ni en fait, ni en droit à la puissance étatique mais lui pose des défis inédits » (Conseil d’État, 2014, p. 15), sa régulation, et celle de son environnement qu’est le cyberespace, sont complexes en raison de leur caractère transnational, virtuel, de l’immédiateté de la diffusion des contenus et de l’ubiquité des cybercriminels. L’absence d’organisation internationale interétatique de l’Internet contrairement à ce qui existe pour des infrastructures et réseaux antérieurs (téléphone, poste, chemin de fer, aviation) est un facteur de complication supplémentaire.

Le droit comme instrument de lutte contre les cyberattaques : entre complexité et difficultés

18Le cyberespace est un espace déterritorialisé, qui ignore les frontières et connaît une reconfiguration incessante et rapide (Libicki, 2012). Les attaques qui s’y déroulent sont complexes, invisibles et difficilement identifiables (Beaude, 2014). Ces différents éléments interrogent sur la capacité et les moyens de leur appréhension et de leur sanction par les États. En effet, chaque État se doit de protéger les citoyens et les acteurs économiques présents sur son territoire, de préserver et protéger les intérêts de la Nation, d’anticiper les menaces, de mettre un terme aux actes délictueux. Instrument de régulation et de répression, quelle réponse peut alors apporter le droit national dans un tel contexte ? Il se heurte à deux écueils : sa capacité à réguler efficacement le cyberespace et la difficulté de sanctionner les cyberattaques du fait de leurs caractéristiques intrinsèques.

19La répression de la cybercriminalité relève du droit pénal dont le caractère régalien est lié de façon inhérente à la souveraineté de l’État. Or, les cyberagressions ont le plus souvent un caractère international. Aussi, une première question concerne les conflits de juridictions et de lois. Elle consiste à savoir quelle juridiction pénale est compétente et quel droit est applicable pour instruire et juger une affaire relative à une cyberattaque. Un traité international applicable peut apporter des éléments de réponse, mais en matière de répression de la criminalité informatique, cela reste embryonnaire. Le traité international phare est la Convention de Budapest du 23 novembre 2001 [8] adoptée dans le cadre du Conseil de l’Europe. Il harmonise les législations nationales en matière d’incriminations et de sanctions pénales pour une liste limitée de comportements soumis à répression [9]. Son article 22 stipule que les États sont compétents notamment lorsque l’infraction pénale a été commise sur leur territoire. Aucune précision n’est apportée sur la façon dont ce critère doit être apprécié. Toutefois, face à une concurrence des ordres juridiques étatiques compétents, ils doivent se concerter pour décider qui est le mieux à même d’exercer les poursuites.

20Pour la majorité des cyberattaques qui n’entrent pas dans le champ d’application de la Convention de Budapest ou qui le sont mais dont les États concernés n’ont pas ratifié ledit traité [10], la cybercriminalité est régie par les droits pénaux nationaux et il peut y avoir concurrence entre eux et chevauchement des poursuites. En effet, « […] l’aspect mondial de l’internet fait qu’une infraction commise par le biais du cyberespace présente des points de rattachements territoriaux démultipliés et l’analyse de la jurisprudence montre sur ce point que les tendances souverainistes font de la répression pénale une donnée largement territorialisée et donc en décalage avec le caractère universel de la cyberdélinquance » (Cabon, 2018, p. 17).

21Le droit pénal français se fonde sur la notion de territoire [11]. Par ailleurs, il n’opère pas de dissociation entre les règles de détermination de la juridiction compétente et de la loi applicable. Seul le juge pénal a vocation à appliquer les règles de droit pénal français suivant son champ d’application. Le juge répressif français a une compétence territoriale pour juger toute infraction commise sur son territoire.

22Toutefois, le juge français a procédé à un élargissement de son champ de compétences afin de se saisir de contentieux qui présentent un élément d’extranéité, « ce faisant, ces litiges sont en quelque sorte reterritorialisés » (Cour de Cassation, 2017, p. 190). C’est ainsi que tout crime ou délit réalisé par internet, quand il est tenté ou commis au préjudice d’une personne résidant en France ou d’une personne morale dont le siège social est en France, est réputé commis en France [12]. Le juge pénal français a ainsi adapté les critères fondant sa compétence en créant, en l’espèce, un critère complémentaire de compétence, à savoir le domicile de la victime.

23Il est à noter que, de façon subsidiaire, certaines infractions commises à l’étranger peuvent relever de la loi pénale française, notamment lorsque l’auteur [13] ou la victime [14] sont français.

24Par ailleurs, une fois résolues ces questions de conflits de lois et de juridictions, la mise en œuvre de la législation peut s’avérer ardue. Pour sanctionner juridiquement une cyberattaque, il faut d’abord, savoir qu’elle a eu lieu pour pouvoir qualifier et nommer l’infraction, ensuite, établir sa source et identifier ses auteurs et enfin, les poursuivre en justice et les condamner. Or des difficultés se posent en raison de l’invisibilité et de la complexité des cyberattaques. Le recours à des outils d’anonymisation et la généralisation du chiffrement font que souvent l’agression est découverte tardivement après son déroulement ou que l’identification des auteurs est impossible ou sciemment falsifiée, ce qui rend laborieuse la répression des atteintes.

25La nature des cyberattaques et les difficultés qu’elles engendrent expliquent que le dispositif juridique mis en place en matière de lutte contre la cybercriminalité et de sécurité des systèmes d’information n’a cessé de s’enrichir au fil des années pour s’adapter à l’évolution de la délinquance numérique. Il se compose aujourd’hui de nombreux textes de lois et d’une multitude de sanctions.

26L’importance de l’informatique a été très tôt prise en compte par le législateur français, et ce, dès 1978 avec la loi dite Informatique et Libertés [15]. Plusieurs lois ont ensuite été adoptées pour renforcer l’arsenal légal de lutte contre la cybercriminalité. Parmi les plus importantes, la loi du 5 janvier 1988, dite Godfrain [16], réprime l’intrusion, la tentative d’intrusion, le maintien et la modification d’un système de traitement automatisé de données. Quelques années plus tard, la loi du 24 juin 2004 relative à la confiance dans l’économie numérique [17], « encadre de manière distincte la couche des infrastructures et la couche des contenus » en cohérence avec l’architecture d’Internet (Conseil d’État, 2014, p. 12). Elle règlemente la responsabilité des différents acteurs de la communication sur Internet, de l’opérateur aux fournisseurs de contenus et aux divers prestataires techniques. Elle sanctionne également pénalement la vente ou l’exportation de moyens de cryptologie ayant fait l’objet d’une interdiction administrative de mise en circulation. La loi dite LOPPSI 2 du 14 mars 2011 [18] marque une étape supplémentaire en créant notamment une infraction nouvelle, l’usurpation d’identité en ligne, et en étendant la circonstance de bande organisée aux infractions liées aux réseaux de cartes de paiement falsifiées. Quant à la loi du 24 juillet 2015 dite loi renseignement [19], elle a doublé les sanctions pénales encourues par les auteurs des infractions d’intrusion frauduleuse dans un système informatique ou d’entrave à son fonctionnement.

27Nonobstant l’arsenal législatif et règlementaire, il n’existe en droit français aucun texte qui définit la cybercriminalité. Cette dernière se compose, d’une part, d’infractions qui ont pour origine les nouvelles technologies, et, d’autre part, d’infractions classiques, préexistantes hors du cyberespace, qui utilisent les nouvelles technologies comme vecteur et acquièrent ainsi une nouvelle dimension (Quéméner, 2018).

28Ceci pose un défi au législateur du XXIe siècle. « Il doit connaître les subtilités d’utilisation des nouveaux moyens de communication, pour instituer des mécanismes de vérification empêchant toute action nuisible. Il se trouve face à des machines de quincaillerie – hardware – remplies d’intelligence artificielle – software – manipulables au détriment des tiers. […]. Il doit créer de nouvelles incriminations correspondant à de nouvelles infractions réprimées par des peines bien définies » (Jeanclos, 2016, p. 69).

29Il existe ainsi 475 natures d’infractions concernant la cybercriminalité : 248 concernent spécifiquement la cybercriminalité [20] par leur objet ou leur mode de commission, 181 sont commises au moyen d’un système d’information [21] et 46 concernent les communications électroniques (Robert, Groupe de travail interministériel sur la lutte contre la cybercriminalité, 2014, p. 14).

30Cette diversité s’explique par le fait que la cybercriminalité n’est pas seulement envisagée par le Code pénal mais également par d’autres législations, comme le Code de la consommation, le Code monétaire et financier, etc. Cette densité et cette dispersion normatives combinées à la pluralité des sanctions entraînent un risque de concours de qualification et d’atomisation du droit qui peut nuire à son efficacité (Pereira, 2016).

31Face à la multiplication et l’évolutivité des cybermenaces, à la sophistication des cyberattaques, à l’omniprésence et l’interconnexion des réseaux numériques dans l’activité économique et la vie quotidienne des citoyens, l’État doit « adapter les réponses sécuritaires aux nouveaux usages numériques » (Ministère de l’intérieur, 2019, p. 16). Outre une sensibilisation accrue des organisations, il opère notamment un transfert de responsabilité vers les entreprises en les impliquant activement dans la lutte contre la cybercriminalité et en leur imposant des contraintes légales pour renforcer la protection des données personnelles et la sécurité de leurs systèmes d’information.

La responsabilisation des entreprises dans la lutte contre les cyberattaques et ses conséquences

Les entreprises : Un acteur stratégique de la gestion du risque cyber

32La prise de conscience par l’État français des risques liés au cyberespace s’est faite tardivement, à partir des années 2000. La France élabore, en 2008, une stratégie nationale, avec un premier Livre Blanc sur la défense et la sécurité nationale. Postulant que les cyberattaques d’ampleur seront « une certitude » dans les quinze prochaines années, ce document prône « le passage d’une stratégie de défense passive à une stratégie de défense active en profondeur, combinant protection intrinsèque des systèmes, surveillance permanente, réaction rapide et action offensive […] » (Présidence de la République, Ministère de la Défense, 2008, p. 53). Une entité spécifique, l’Agence nationale de sécurité des systèmes d’information (ANSSI) est créée en 2009 et assure la défense et la protection de systèmes d’information.

33En 2013, avec l’augmentation et le perfectionnement des cyberattaques contre les systèmes d’information de nombreuses entreprises françaises et de l’État, un nouveau Livre Blanc sur la défense et la sécurité nationale préconise « la mise en place d’une posture robuste et résiliente de protection des systèmes d’information de l’État, des opérateurs d’importance vitale (OIV) et des industries stratégiques, couplée à une organisation opérationnelle de défense de ces systèmes » (Présidence de la République, Ministère de la Défense, 2013, p. 106). Ses orientations sont mises en œuvre par la loi de programmation militaire 2014-2019 [22].

34Dans ce droit fil, en 2015, l’État français se dote d’une stratégie nationale pour la sécurité numérique qui s’articule autour de cinq objectifs : garantir la souveraineté nationale par des mesures propres à renforcer la sécurité des infrastructures critiques ; répondre efficacement aux actes de cybermalveillance ; informer le grand public ; faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et consolider la voix de la France à l’international. Cette stratégie nationale de 2015 repose alors sur « une responsabilité partagée : responsabilité de l’État dans la protection des citoyens et des infrastructures critiques, dans l’organisation de la défense et de la sécurité des systèmes d’information ; responsabilité des acteurs économiques dans la sécurité des produits et services qu’ils proposent ; responsabilité des citoyens dans l’exercice de leur vie numérique » (Secrétariat général de la Défense et de la Sécurité nationale, 2015, p. 5).

35Cette stratégie a été étoffée notamment par la Revue stratégique de cyberdéfense (Secrétariat général de la Défense et de la Sécurité nationale, 2018), qui définit une doctrine de gestion des crises cyber et renforce la sécurité numérique pour les citoyens, les institutions et l’ensemble des acteurs économiques. La loi de programmation militaire 2019-2025 [23] va, elle aussi, dans le sens d’une meilleure protection et défense des systèmes et des réseaux.

36Ainsi, les acteurs économiques deviennent des parties prenantes du dispositif national en matière de cybersécurité. Les entreprises ont d’abord été considérées par le droit français comme des victimes. Il les envisage désormais comme des dispositifs essentiels dans la lutte contre la cybercriminalité (Guinchard, 2015, p. 16). Ce changement de paradigme illustre, d’une part, l’évolution de la réflexion menée par les instances internationales et européennes sur la cybercriminalité. Leur attention a d’abord porté sur la protection des données personnelles et le respect de la vie privée dans un objectif de prévention de la cybercriminalité. Elle s’est ensuite concentrée sur la criminalité informatique puis sur la cybersécurité (Guinchard, 2015). D’autre part, il est en adéquation avec l’intégration et l’implication des opérateurs économiques dans la lutte contre les cyberattaques. Le risque numérique pouvant mettre en péril de manière soudaine et fulgurante les entreprises, ces dernières se doivent de le prendre en compte et de le maîtriser d’autant plus que la responsabilité des dirigeants dans la gestion et le traitement du risque est de plus en plus engagée.

37Cette responsabilité est accentuée par les réglementations récentes, et en particulier, le Règlement général sur la protection des données (RGPD) [24] et de la directive Network and Information Security (NIS) [25], applicables dans l’ensemble des États membres de l’Union européenne et entrées en vigueur en France respectivement le 25 mai 2018 et le 27 février 2018. Leur objectif est de limiter la survenance des risques et de minimiser leurs effets s’ils se concrétisent. Elles renforcent les obligations de sécurité et de responsabilisation des firmes. La notion de risque est le concept central de ces deux textes : elle est citée 78 fois dans le RGPD et 39 fois dans la directive NIS (Petit, 2018).

38À l’heure du « big data », les données personnelles sont valorisées et constituent un enjeu concurrentiel au cœur de l’économie numérique. Ce sont des matières premières, des leviers de gains et d’opportunités et des actifs stratégiques (Chignard, Benyayer, 2015). Ceci explique la nécessité de protéger « ce patrimoine de l’entreprise » (Zicry, 2017, p. 23) et de lutter contre les cyberattaques visant à le subtiliser.

39La force et l’impact du RGPD sont intrinsèquement liés à l’ampleur de son champ d’application matériel et territorial. Il concerne les données personnelles et s’applique à tous les responsables de traitement [26] et sous-traitants qui ont leur établissement principal sur le territoire de l’Union européenne. À défaut d’un tel établissement, il s’applique aussi aux responsables de traitements dès lors que des résidents européens sont manifestement visés par les traitements de données. Ainsi, « les acteurs mondiaux seront donc soumis au droit européen dès lors qu’ils offrent un produit ou un service à un citoyen européen, même à distance. Ce critère, dit du “ciblage”, constitue une évolution profonde : désormais, la territorialité du droit européen de la protection des données se construit autour de la personne, et non plus seulement autour du territoire d’implantation des entreprises » (CNIL, 2017, p. 9).

40Le RGPD impose aux entreprises d’assurer la sécurité des données dans « une logique de responsabilisation des organismes qui traitent des données » (CNIL, 2018, p. 11) et fait peser sur elles de nombreuses obligations assorties de lourdes sanctions en cas de non-conformité.

41Le pilier central du RGPD repose sur le principe de l’accountability qui exige des entreprises qu’elles mettent en place des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

42En fonction du risque, le principe de responsabilisation des acteurs traitant des données est mis en œuvre avec des obligations modulables [27]. Toujours dans la perspective d’une amélioration de la sécurité en amont, deux principes, basés sur une logique de conformité, sont préconisés par le RGPD pour les nouveaux produits, matériels, logiciels et processus : le privacy by design et le privacy by default. Le responsable du traitement doit prendre en compte dès la conception les exigences du RGPD et adopter des mesures pour garantir que, par défaut, seules les données indispensables pour chaque finalité spécifique seront traitées.

43En cas de faille de sécurité entraînant la violation de la confidentialité des données à caractère personnel, les sociétés sont tenues de procéder à une double notification, à la CNIL dans les soixante-douze heures et aux personnes concernées. En cas de violation et s’il est établi que l’atteinte aurait pu être évitée par des mesures de sécurité que l’entreprise n’a pas prises, cela entraîne une mise en cause de sa responsabilité et une sévérité des sanctions infligées par la CNIL. Selon le type d’infraction, elles peuvent s’élever jusqu’à 4 % du chiffre d’affaires annuel mondial.

44Outre la sécurité des données personnelles, la sécurisation de certains acteurs économiques dans douze secteurs critiques, à savoir les opérateurs d’importance vitale (OIV) [28] envisagés par la loi de programmation militaire 2014-2019 [29], est renforcée. Leur défaillance pouvant causer des perturbations importantes sur le tissu économique ou sociétal, l’objectif recherché est de réduire leurs vulnérabilités face aux cyberattaques. Le respect d’obligations spécifiques de sécurité, de notification et une surveillance étendue leur sont imposées.

45La sécurisation de ces opérateurs spécifiques est aussi prescrite par la directive européenne NIS transposée en droit français [30]. Visant à promouvoir une culture de la gestion des risques et une meilleure réponse aux cyberattaques par les pays membres, elle impose un large éventail de mesures pour augmenter la cybersécurité des opérateurs de services essentiels (OSE) à la société et à l’économie de l’Union européenne [31]. Ces OSE sont des entités, publiques ou privées, tributaires des réseaux ou systèmes d’information, qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. La directive identifie sept secteurs répondant à cette notion [32]. Certains OSE sont ainsi susceptibles de coïncider avec le concept d’OIV, la France a toutefois opté pour le maintien de deux régimes distincts (OIV et OSE). Cela ne pose pas de problème car la directive NIS autorise la conservation de dispositifs qui contribuent à atteindre un niveau de cybersécurité plus élevé, ce qui est le cas des OIV. La directive NIS prévoit également des sanctions effectives, proportionnées et dissuasives à l’encontre des entreprises qui ne respectent pas lesdites obligations.

46Ainsi, les obligations de sécurité des entreprises privées se sont renforcées et leurs responsabilités se sont étendues tant au regard de la protection des données que par le biais des OIV et OSE. Ce phénomène met en exergue une reconfiguration du périmètre d’exposition au risque cyber et une redéfinition des frontières de ces acteurs économiques. Cela témoigne « d’une prise en compte grandissante de la sécurité dans la mécanique économique » (Arpagian, 2017, p. 63) et de l’entrée « dans l’ère de la sécurité 4.0 » (Arpagian, 2017, p. 60).

Le transfert du risque : la naissance de l’assurance cyber

47Ce transfert de responsabilités de l’État vers les entreprises privées interroge la gestion du risque cyber par ces opérateurs et l’investissement assurantiel qu’ils consentent pour s’en protéger. Aussi, le « difficile équilibre entre les risques assumés, couverts et résiduels, et le coût de la sécurité est à trouver dans l’exercice de la balance des intérêts entre les besoins de protection et de défense des valeurs de l’entreprise au regard de leur exposition aux cybermenaces » (Ghernaouti, 2017, p. 127).

48Le baromètre PwC en partenariat avec Ipsos sur les enjeux de cybersécurité en France [33] d’octobre 2018, indique que seules trois entreprises françaises sur dix considèrent la cybersécurité comme un sujet prioritaire. Toutefois, moins d’une entreprise française sur cinq a véritablement mis en œuvre l’ensemble des mesures de protection possibles (solutions digitales, capital humain, stratégie et assurance).

49Toutefois, cette situation tend à évoluer. De plus en plus d’entreprises prennent conscience du risque cyber sous l’effet de la multiplication, de la complexification des cyberattaques, de leur médiatisation croissante ainsi que des nombreuses actions de sensibilisation réalisées par les pouvoirs publics et autorités administratives indépendantes [34].

50Les obligations légales imposées par le RGPD et la directive NIS et le caractère dissuasif des sanctions encouragent aussi la responsabilisation des firmes. Plus encore, la prise de conscience des firmes est renforcée par la possibilité d’action de groupe en matière de données personnelles [35], ce qui signe l’empowerement des citoyens dans ce domaine. Les citoyens victimes d’un même préjudice peuvent ester collectivement en justice pour faire cesser un manquement par un responsable de traitement ou un sous-traitant et obtenir réparation des dommages matériels et moraux subis en cas de violation des données personnelles. Ils peuvent également mandater des associations ou organismes actifs dans le domaine de la protection des données pour les représenter et pour exercer en leur nom une réclamation auprès de la CNIL ou un recours juridictionnel contre le responsable du traitement ou sous-traitant.

51Enfin, le cyber-rating, notation de la cybersécurité des entreprises et de leurs sous-traitants, certes encore balbutiant aujourd’hui et principalement réalisé par des entreprises américaines (à l’instar de Bitsight, Security Scorecard ou Quadmetrics), risque à terme d’inciter à l’institutionnalisation de ce type de notations et, en conséquence, à conforter la gestion et la maîtrise du risque cyber par les organisations.

52Aussi, pour devancer le risque cyber, les entreprises peuvent opter pour une démarche de prévention. La sensibilisation et la formation des personnels, la sécurisation des systèmes d’information à chaque étape de leurs cycles de vie, la mise à jour de la sécurité des produits informatiques utilisés, l’identification et la sécurisation des ressources critiques en sont des illustrations.

53Dans une optique de protection, les firmes peuvent également souscrire des assurances pour couvrir financièrement leur cyber-risque, l’aléa que la prévention n’a pas suffi à éviter. Aussi, de nouvelles conventions d’assurance, les contrats de cyber-assurance, ont vu le jour. Ce sont « souvent des contrats multirisques : ils offrent des couvertures de dommages (frais et pertes subis) et de responsabilité civile (dommages immatériels aux tiers), et des services de gestion de crise [36] » (Club des Juristes, 2018, p. 39).

54Toutefois, la modélisation des risques cyber, qui se déroule dans un marché immature, est compliquée et fait évoluer l’assurance afférente. En effet, l’assurance repose sur le principe de mutualisation : mutualisation des risques (les sinistres ne surviennent qu’à quelques assurés et sont supportés par les primes versées par l’ensemble des cotisants) et mutualisation des cotisations (les actions de chaque assuré ont des conséquences sur l’ensemble des membres, les cotisations augmentant lorsque les risques s’aggravent). En matière de cyber-assurance, ce principe de mutualisation est mis à mal par la corrélation possible entre les périls en raison de l’interdépendance et de l’interconnexion des réseaux et des acteurs économiques. Les risques ont un coût difficilement évaluable, la sinistralité est potentiellement élevée, les pertes sont susceptibles d’augmenter fortement dans le futur. De plus, l’absence de bases de données statistiques sur les incidents et leur gestion empêche l’examen des séries historiques sur une longue période dont il serait possible de déduire des tendances (Club des Juristes, 2018).

55Le marché français de l’assurance cyber qui a émergé en 2010-2011 est encore faible : le volume des primes souscrites dans l’hexagone était d’environ 40 millions d’euros en 2016 (Thevenin, 2017).

56Une étude conjointe de PwC [37] et d’IFOP menée en 2015 relative au marché de la cyber-assurance met en exergue que moins de 5 % des entreprises françaises sondées avaient contracté une cyber-assurance. Pour les autres, 51 % d’entre elles considèrent que les risques d’exposition étaient trop faibles pour justifier de s’assurer, pour 39 % cela ne leur est pas venu à l’esprit et pour 11 % les offres de cyber-assurance ne sont pas suffisamment claires et compréhensibles. Les principaux acheteurs sont principalement les grands groupes (CAC 40 et SBF 120) et quelques PME (Zicry, 2017).

57Cette situation tend toutefois à évoluer. Selon le baromètre du Club des Experts de l’Information et du Numérique, de janvier 2019 [38], les souscriptions de cyber-assurance sont en hausse : 50 % des entreprises sondées disent en avoir souscrites (soit +10 points par rapport à janvier 2018), 10 % d’entre elles sont en cours de souscription et 18 % envisagent de le faire à plus long terme. Aussi, quand les cyber-assurances se seront déployées à grande échelle, des statistiques fiables pourront être extraites sur les impacts des cyberattaques, ce qui permettra d’affiner les normes de sécurité et le coût de la prime d’assurance.

Conclusion

58Les cyberattaques sont toujours plus nombreuses, protéiformes et évolutives. « La cybercriminalité est désormais devenue l’une des formes d’exploitation économique les plus profitables avec un minimum de risques » (Kaspersky, 2008, p. 28). Cette exposition à la menace évolue dans un sens exponentiel du fait, d’une part, de l’interconnexion des réseaux et, d’autre part, de l’essor de l’Internet des objets qui conduit au développement de systèmes complexes d’espaces intelligents, avec une hétérogénéité des niveaux de sécurité des objets connectés, ce qui augmente la surface d’attaque pour les cybercriminels.

59La nature du cyberespace et le caractère transnational de la cybercriminalité posent des défis considérables aux entreprises. Le droit français tente d’y faire face et de responsabiliser ces acteurs économiques. Le dispositif légal s’étoffe, se complexifie et leur impose un nombre croissant d’obligations en matière de protection des données, de sécurité des systèmes d’informations et de lutte contre la cybercriminalité.

60Davantage sensibilisées au risque cyber, de plus en plus d’entreprises s’adaptent et mettent en œuvre des mesures de prévention, de gestion et de protection des risques. Le développement récent de la souscription de polices de cyber assurance favorise les comportements vertueux des firmes contractantes et leur permet également d’optimiser leur protection financière en complément de leur sécurité numérique. Ce marché de nouveaux services assurantiels, à fort potentiel de croissance, est désormais stratégique pour les assureurs [39], le risque cyber tendant à devenir « la future pierre angulaire de l’ensemble des offres d’assurance » (PwC, 2016, p. 24) [40].

Notes

  • [1]
    « Le cyberespace est l’espace de communication constitué par l’interconnexion mondiale d’équipements dans le traitement automatisé de données numérisées » (Glossaire de l’Agence nationale de la sécurité des systèmes d’information ANSSI).
  • [2]
    Voir l’interview avec Stéphane Bortzmeyer et Mohsen Souissi dans le numéro de Flux 2019/4 (N° 118) (Bortzmeyer, Souissi, 2019).
  • [3]
    Club des Experts de la Sécurité de l’Information et du Numérique-CESIN, OpinionWay, Baromètre annuel de la cybersécurité des entreprises, 4e éd, janvier 2019. [En ligne] (consulté le 27 mars 2020) Disponible à l’adresse : https://www.cesin.fr/fonds-documentaire-4eme-edition-du-barometre-annuel-du-cesin.html
    Étude quantitative réalisée par OpinionWay auprès de 174 membres du CESIN à partir du fichier membre du CESIN (498 contacts), du 23 novembre au 26 décembre 2018.
  • [4]
    L’arnaque au président est une escroquerie aux faux ordres de virement dont le but est de convaincre un membre d’une entreprise d’exécuter en urgence un virement à un tiers en réponse à un prétendu ordre du dirigeant, sous prétexte d’une dette à régler, de provision de contrat ou autre.
  • [5]
    224 nouveaux types de malwares recensés pour l’année 2017 (Cisco, 2017, Rapport annuel sur la cybersécurité dans le monde).
  • [6]
    Deloitte, 2016, Cyberattaques : comment chiffrer les impacts ? Le visible et l’invisible. [En ligne] (consulté le 30 mars 2020) Disponible à l’adresse : https://www2.deloitte.com/fr/fr/pages/risque-compliance-et-controle-interne/articles/cyberattaques-chiffrer-les-impacts.html
  • [7]
    PwC, 2017, The Global State of Information Security survey 2018. [En ligne] (consulté le 10 mai 2020) Disponible à l’adresse : https://www.pwc.fr/fr/publications/cybersecurite/cybersecurity-and-privacy.html
    Enquête mondiale de PwC, CIO et CSO, réalisée en ligne du 24 avril au 26 mai 2017. Réponses de 9500 CEO, CFO, CIO, RSSI, OSC, vice-présidents et directeurs de l’information et des pratiques de sécurité de 122 pays.
  • [8]
    La Convention de Budapest et le Protocole additionnel ont été ratifiés par la France par la loi n° 2005-493 du 19 mai 2005, JORF 20 mai 2005, p. 8729.
  • [9]
    Les principales catégories d’infractions concernées : (i) les infractions contre la confidentialité, l’intégrité et la disponibilité des données et des systèmes (accès illégal, interception illégale, atteinte à l’intégrité des données, atteinte à l’intégrité du système, abus de dispositifs) ; (ii) les infractions informatiques (falsification et fraude informatique) ; (iii) les infractions se rapportant au contenu ; (iv) les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes.
  • [10]
    Par exemple la Fédération de Russie, la Colombie, la Tunisie, le Mexique.
  • [11]
    Article 113-2 du Code pénal.
  • [12]
    Article 113-2-1 du Code pénal.
  • [13]
    Article 113-6 du Code pénal.
  • [14]
    Article 113-7 du Code pénal.
  • [15]
    Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. JORF 7 janvier 1978, p. 227.
  • [16]
    Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique. JORF 6 janvier 1988, p. 231.
  • [17]
    Loi n° 2004-575 du 21 juin 2004 pour la confiance en l’économie numérique. JORF 22 juin 2004, p. 11168.
  • [18]
    Loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure LOPPSI 2. JORF 15 mars 2011, p. 4582.
  • [19]
    Loi n° 2015-912 du 24 juillet 2015 relative au renseignement. JORF 26 juillet 2015, p. 12735.
  • [20]
    Leur texte d’incrimination fait référence à la cybercriminalité.
  • [21]
    Leur texte d’incrimination ne fait pas référence à la cybercriminalité.
  • [22]
    Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale. JORF 19 décembre 2013, p. 20570.
  • [23]
    Loi n° 2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense. JORF 14 juillet 2018.
  • [24]
    Règlement UE n° 2016/679 du 27 avril 2016.
  • [25]
    Directive UE n° 2016/1148 du 6 juillet 2016.
  • [26]
    Le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » : RGPD, Article 4 (7).
  • [27]
    La présence d’un délégué à la protection des données ou l’analyse d’impact destinée à cerner le risque, l’évaluer, l’éliminer ou du moins le minimiser par l’adoption de mesures techniques appropriées en sont des illustrations.
  • [28]
    Les OIV sont des opérateurs privés ou publics exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation (Article L. 1332-1 du Code de la défense).
    On compte environ 250 OIV. Ils appartiennent à douze secteurs d’activité : alimentation, gestion de l’eau, santé, activités civiles de l’État, activités judiciaires, activités militaires de l’État, énergie, finances, transports, communications électroniques - audiovisuel - information, industrie, espace et recherche.
  • [29]
    Loi n° 2013-1168 du 18 décembre 2013, op. cit.
  • [30]
    Loi n° 2018-133 du 26 février 2018 d’adaptation au droit de l’Union européenne dans le domaine de la sécurité. JORF 27 février 2018, n° 0048.
  • [31]
    La directive NIS impose aussi des obligations, moins strictes que pour les OSE, aux fournisseurs de services numériques.
  • [32]
    L’énergie, les transports, les banques, les infrastructures et marchés financiers, la santé, la fourniture et la distribution d’eau potable et les infrastructures numériques. Chaque pays peut élargir cette liste à d’autres secteurs.
  • [33]
    PwC, IPSOS, octobre 2018, Baromètre Les entreprises face aux enjeux de la cybersécurité. [En ligne] (consulté le 10 mai 2020) Disponible à l’adresse : https://www.pwc.fr/fr/assets/files/pdf/2018/10/pwc-barometre-cybersecurite-septembre-2018.pdf
    Échantillon : 600 cadres dirigeants d’entreprises françaises de 10 salariés et plus, en contact avec le sujet de la cyber sécurité, interrogés par téléphone, entre le 21 août et 3 septembre 2018.
  • [34]
    Guide d’hygiène Informatique (ANSSI), plateforme cybermalveillance.gouv.fr, etc.
  • [35]
    Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. JORF 21 juin 2018, n° 0141.
  • [36]
    Comme les frais d’expert informatique et d’avocat, les frais de notification aux autorités de contrôles, sanctions pécuniaires décidées par les autorités de contrôle, les frais de hotline, les frais de restauration et de reconstitution des données, etc.
  • [37]
    PwC, 2016, Le marché de la cyber-assurance : la révolution commence maintenant. [En ligne] (consulté le 2 mai 2020) Disponible à l’adresse : https://www.ifop.com/wp-content/uploads/2018/03/3271-1-study_file.pdf
    Enquête réalisée pour PwC par l’IFOP entre le 17 août et le 7 septembre 2015 auprès de 401 dirigeants d’entreprises représentatif des entreprises françaises.
  • [38]
    CESIN, OpinionWay, op. cit.
  • [39]
    PwC, 2016, op. cit.
  • [40]
    PwC, 2016, op. cit., p. 24.

Résumé

Français

Les entreprises sont des cibles privilégiées des cyberattaques. Leur vulnérabilité s’explique par leur dépendance aux systèmes et réseaux informatiques et aux réseaux de communication dans le cadre de leurs activités et de leur fonctionnement. Comment le droit, outil de régulation et de répression, tente-t-il de diminuer la vulnérabilité des entreprises dans ce nouveau lieu de conflictualité qu’est le cyberespace ? Comment intègre-t-il les organisations dans cette lutte et met-il l’accent sur leur capacité à participer à leur propre sécurisation ? Cet article analyse le traitement juridique de la lutte contre les cyberattaques sous l’angle privilégié de la sécurité des entreprises. Il éclaire la façon dont le droit français saisit ce phénomène à travers deux aspects, la prévention et la protection et met en exergue les modalités de réponse des entreprises au risque cyber.

  • entreprise
  • vulnérabilité
  • risque
  • cyberattaque
  • cybercriminalité
  • responsabilisation
  • Règlement général de protection des données (RGPD)
  • Directive Network and Information Security (NIS)
  • cyber-assurance
English

English abstract on Cairn International Edition

Plan

  1. Une vulnérabilité accrue des entreprises au risque cyber et à une criminalité déterritorialisée que le droit peine à appréhender
    1. Quand le risque cyber devient menace : des entreprises de plus en plus vulnérables
    2. Le droit comme instrument de lutte contre les cyberattaques : entre complexité et difficultés
  3. La responsabilisation des entreprises dans la lutte contre les cyberattaques et ses conséquences
    1. Les entreprises : Un acteur stratégique de la gestion du risque cyber
    2. Le transfert du risque : la naissance de l’assurance cyber
  5. Conclusion

Bibliographie

  • Bibliographie

    • ANSSI – Agence nationale de la sécurité des systèmes d’information, 2017, Rapport d’activité, Paris : ANSSI.
    • Arpagian N., 2017, Les entreprises sont devenues hypersensibles au risque numérique, Sécurité et stratégie, n° 27, p. 60-63. DOI : 10.3917/sestr.027.0060
    • Beaude B., 2014, La vulnérabilité réticulée, in : Danet D., Cattaruzza A. (sous la direction de), La cyberdéfense Quel territoire quel droit ?, Paris : Economica, p. 60-70.
    • En ligneBortzmeyer S., Souissi M., 2019, Cybermenaces, enjeux et sécurité, Flux, 2019/4 (N° 118), p. 59-68. DOI : 10.3917/flux1.118.0059
    • Cabon S. M., 2018, L’influence du cyberespace sur la criminalité économique et financière, Droit pénal, n° 3, mars, p. 12-17.
    • Chignard S., Benyayer L.D., 2015, Datanomics. Les nouveaux business models des données, Limoges : Fyp.
    • Club des Experts de la Sécurité de l’Information et du Numérique – CESIN, OpinionWay, Baromètre annuel de la cybersécurité des entreprises, 4ème ed, janvier 2019. [En ligne] (consulté le 27 mars 2020) Disponible à l’adresse : https://www.cesin.fr/fonds-documentaire-4eme-edition-du-barometre-annuel-du-cesin.html
    • Club des Juristes, 2018, Rapport : Assurer le risque cyber, Paris : Club des Juristes.
    • CNIL, 2017, Présentation du 37e Rapport d’activité 2016 et des enjeux 2017, Conférence de presse (27 mars 2017), p. 1-14. [En ligne] (consulté le 16 avril 2020) Disponible à l’adresse : https://www.cnil.fr/sites/default/files/atoms/files/dossier_de_presse_cnil_bilan_2016_et_enjeux_2017.pdf
    • CNIL, 2018, Présentation du 38e Rapport d’activité 2017 et des enjeux 2018, Conférence de presse (10 avril 2018), p. 1-15. [En ligne] (consulté le 15 avril 2020) Disponible à l’adresse : https://www.cnil.fr/sites/default/files/atoms/files/vd_dossier_de_presse_cnil_bilan_2017_et_enjeux_2018.pdf
    • Conseil d’État, 2014, Le numérique et les droits fondamentaux. Étude annuelle 2014, Paris : La documentation française.
    • Cour de Cassation, 2017, Le juge et la mondialisation dans la jurisprudence de la Cour de cassation, Paris : La documentation française.
    • Danesi R., Harribey L., 2018, La cybersécurité : un pilier robuste pour l’Europe numérique, Rapport d’information n° 458, Paris : Sénat.
    • Deloitte, 2016, Cyberattaques : comment chiffrer les impacts ? Le visible et l’invisible. [En ligne] (consulté le 30 mars 2020) Disponible à l’adresse : https://www2.deloitte.com/fr/fr/pages/risque-compliance-et-controle-interne/articles/cyberattaques-chiffrer-les-impacts.html
    • Douzet F., 2014, Géopolitique et frontières du cyberespace, in : Danet D., Cattaruzza A. (sous la direction de), La cyberdéfense. Quel territoire quel droit ?, Paris : Economica, p. 45-59.
    • En ligneDupont B., Gautrais V., 2010, Crime 2.0 : le web dans tous ses états, Champ Pénal : Nouvelle revue internationale de criminologie, vol VII. DOI :10.4000/champpenal.7782
    • Fauchoux V., Deprez P., 2009, Le droit de l’internet. Lois, contrats et usages, Paris : Litec, Lexis Nexis.
    • Féral-Schuhl C., 2018, Cyberdroit. Le droit à l’épreuve d’Internet, Paris : Dalloz.
    • Ghernaouti S., 2017, La cybercriminalité. Les nouvelles armes du pouvoir, Lausanne : Presses polytechniques et universitaires romandes.
    • Guinchard A., 2015, L’entreprise face à la cybercriminalité, in : Céré J.-P., Rascagnères J.-M., Vergès E. (sous la direction de), Droit pénal et nouvelles technologies, Paris : L’Harmattan, p. 11-34.
    • Guinier D., 2018, Modèle de représentation des cyberattaques, mesures génétiques et perspective, Dalloz IP-IT, n° 163, mars, p. 163-169.
    • Jeanclos Y., 2016, Droit pénal nouveau. Pratique criminelle Dynamique décisionnelle, Paris : Economica.
    • Kaspersky E., 2008, Défis de la cybercriminalité, Sécurité globale, n° 6, p. 19,-28. DOI : 10.3917/secug.006.0019
    • Kempf O., 2015, Dimension informationnelle de la cyberstratégie, in : Harbulot C. (sous la direction de), Manuel d’intelligence économique, Paris : Presses universitaires de France, p. 153-164.
    • Libicki M., 2012, Cyberspace is Not a War Fighting Domain, Journal of Law and Policy, 8: 2, p. 321-336.
    • Ministère de l’Intérieur, 2018, État de la menace liée au numérique en 2018, Rapport n° 2, Paris : Ministère de l’Intérieur.
    • Ministère de l’Intérieur, 2019, État de la menace liée au numérique en 2019, Rapport n° 3, Paris : Ministère de l’Intérieur.
    • Ouest-France, 2017, Les cyberattaques coûtent de plus en plus cher aux entreprises, 6 novembre. [En ligne] (consulté le 2 mai 2020) Disponible à l’adresse : https://www.ouest-france.fr/high-tech/internet/les-cyberattaques-coutent-de-plus-en-plus-cher-aux-entreprises-5361685
    • En lignePereira B., 2016, La lutte contre la cybercriminalité ; de l’abondance de la norme à sa perfectibilité, Revue Internationale de Droit Economique, n° 3, t XXX, p. 387-409.
    • Petit C., 2018, Cybersécurité : le risque, le nouveau concept clé du RGPD et de NIS, Expertises, février, p. 76-77.
    • Présidence de la République, Ministère de la Défense, 2008, Défense et Sécurité nationale : le Livre blanc, Paris : La documentation française et Odile Jacob.
    • Présidence de la République, Ministère de la Défense, 2013, Livre Blanc sur la Défense et la Sécurité nationale, Paris : Ministère de la Défense.
    • PwC, 2016, Le marché de la cyber-assurance : la révolution commence maintenant. [En ligne] (consulté le 2 mai 2020) Disponible à l’adresse : https://www.ifop.com/wp-content/uploads/2018/03/3271-1-study_file.pdf
    • PwC, 2017, The Global State of Information Security survey 2018. [En ligne] (consulté le 10 mai 2020) Disponible à l’adresse : https://www.pwc.fr/fr/publications/cybersecurite/cybersecurity-and-privacy.html
    • PwC, IPSOS, octobre 2018, Baromètre Les entreprises face aux enjeux de la cybersécurité. [En ligne] (consulté le 10 mai 2020) Disponible à l’adresse : https://www.pwc.fr/fr/assets/files/pdf/2018/10/pwc-barometre-cybersecurite-septembre-2018.pdf
    • En ligneQuéméner M., 2018, Le droit face à la disruption numérique : adaptation des droits classiques émergence de nouveaux droits, Issy-les-Moulineaux : Gualino, Lextenso.
    • Robert M., Groupe de travail interministériel sur la lutte contre la cybercriminalité, 2014, Rapport sur la cybercriminalité, Protéger les internautes, février. [En ligne] (consulté le 5 mai 2020) Disponible à l’adresse : http://www.justice.gouv.fr/include_htm/pub/rap_cybercriminalite.pdf
    • Secrétariat général de la Défense et de la Sécurité nationale, 16 octobre 2015, Dossier de presse -Stratégie nationale pour la sécurité du numérique.
    • Secrétariat général de la Défense et de la Sécurité nationale, 2018, Revue stratégique de cyberdéfense, Paris : Secrétariat général de la Défense et de la Sécurité nationale.
    • Thevenin L., 2017, Le premier vrai test pour un marché de la cyber-assurance en plein essor, Les Échos, 15 mai.
    • En ligneThierry B., Schafer V., 2019, Les réseaux en péril : destructions, subversions et sabotages (XIXe-XXIe siècles), Flux, 2019/4 (N° 118), p. 7-10. DOI : 10.3917/flux1.118.0007
    • Zicry L., 2017, Cyber-risques : le nouvel enjeu du secteur bancaire et financier, Paris : RB Éditions.

  • Documentation juridique

    • Article L. 1332-1 du Code de la défense
    • Articles 113-2, 113-6, 113-7 du Code pénal
    • Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. JORF 7 janvier 1978, p. 227.
    • Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique. JORF 6 janvier 1988, p. 231.
    • Loi n° 2004-575 du 21 juin 2004 pour la confiance en l’économie numérique. JORF 22 juin 2004, p. 11168.
    • Loi n° 2005-493 du 19 mai 2005 autorisant l’approbation de la Convention sur la cybercriminalité et du Protocole additionnel à cette convention relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques. JORF 20 mai 2005, p. 8729.
    • Loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure LOPPSI 2. JORF 15 mars 2011, p. 4582.
    • Loi n° 2013-1168 du18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale. JORF 19 décembre 2013, p. 20570.
    • Loi n° 2015-912 du 24 juillet 2015 relative au renseignement. JORF 26 juillet 2015, p. 12735.
    • Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité. JORF 27 février 2018.
    • En ligneLoi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. JORF 21 juin 2018, n° 0141.
    • Loi n° 2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense. JORF 14 juillet 2018.
    • Convention du Conseil de l’Europe et des États non membres relative à la lutte contre la cybercriminalité du 23 novembre 2001, complétée par son protocole additionnel relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques.
    • Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, dite Directive NIS.
    • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données RGPD).

Auteur

Rhéa Eddé
Rhéa Eddé, docteure en sciences de l’information et de la communication et juriste, est membre associée du laboratoire de recherche Dispositifs d’Information et de Communication à l’Ère Numérique, Dicen-IdF (EA 7339) et du Centre d’Analyse et de Recherche Interdisciplinaires sur les Médias, CARISM (EA 2293). Ses travaux portent notamment sur le numérique : ses usages et impacts au sein des organisations et des professions, ses modes de régulation, ainsi que les risques et dangers qu’il engendre.
rhea.edde@orange.fr
Dernière publication diffusée sur Cairn.info ou sur un portail partenaire
Résumé 5€ Ajouter au panier

Cité par

Mis en ligne sur Cairn.info le 12/10/2020
https://doi.org/10.3917/flux1.121.0090
Pour citer cet article
Distribution électronique Cairn.info pour Université Gustave Eiffel © Université Gustave Eiffel. Tous droits réservés pour tous pays. Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent article, de le stocker dans une banque de données ou de le communiquer au public sous quelque forme et de quelque manière que ce soit.
keyboard_arrow_up
Chargement
Chargement en cours.
Veuillez patienter...