Du 28 août au 1er septembre 2023, s’est tenu le troisième colloque de la Direction de la coopération internationale de sécurité (DCIS), à Nanterre (92). Une table ronde à laquelle participait Monique Pariat, Directrice générale des Affaires intérieures et migratoires à la Commission européenne, était consacrée à un enjeu majeur : l’élaboration de stratégies pour que l’Union européenne (UE) puisse faire face à l’ampleur des menaces criminelles à l’ère numérique.

Le développement d’Internet depuis les années 90 et la multiplication des objets connectés (41 milliards d’appareils dans le monde devraient être reliés à la toile d’ici 2025) ont conduit à l’émergence de sociétés hyperconnectées. Si ce monde digitalisé constitue une véritable opportunité (interconnexion des individus, accès à l’information, commerce en ligne, etc.), il est également à la source de nouvelles menaces. Ainsi, le web a permis l’émergence de la cybercriminalité, c’est à dire tous les agissements criminels commis à travers le cyberespace (ensemble des réseaux d’information et de communication interconnectés). Ces activités illégales tendent aujourd’hui à s’accélérer et à se complexifier, raison qui a conduit l’Union européenne à faire de la lutte contre la cybercriminalité l’une de ses priorités.

Des menaces protéiformes

Touchant aussi bien les organismes étatiques que les individus, la cybercriminalité se manifeste par des fraudes en ligne, la diffusion de contenus illicites, ou encore des cyberattaques. Ainsi, en 2021, l’Assistance publique-Hôpitaux de Paris (AP-HP) a, par exemple, été victime du vol des données personnelles d’environ 1,4 million de patients qui avaient passé un test PCR en Île de France.

Par ailleurs, un véritable réseau parallèle s’est développé depuis plusieurs années. Communément désigné sous le nom de « dark-web », celui-ci permet aux cybercriminels d’effectuer des achats illicites (armes, stupéfiants, etc.) et de disposer de services illégaux (tueur à gages par exemple). Se pose désormais la question du développement de l’Intelligence artificielle et de son utilisation à des fins criminelles.

Le coût annuel de la cybercriminalité est aujourd’hui évalué à 5 500 milliards d’euros par l’Union européenne. Les États membres sont tous concernés par ces nouvelles menaces. Les cybercriminels pouvant chercher à profiter des failles qui découleraient de réglementations disparates, il apparaît nécessaire de faire converger les différents systèmes juridiques.

Une législation en adaptation constante

Dès l’entrée dans le 21e siècle, de nombreux États ont pris la mesure du danger que pouvait représenter le développement d’Internet, même s’ils étaient loin d’imaginer toutes les possibilités que cela offrirait. Ainsi, dès 2001, ils ont été nombreux à ratifier la Convention du Conseil de l’Europe sur la cybercriminalité , plus connue sous le nom de « Convention de Budapest », premier accord international de l’Histoire visant à lutter contre les activités criminelles en ligne.

Dans son sillage, l’Union européenne n’a cessé de réglementer le cyberespace afin d’en limiter les menaces. Son action s’est particulièrement renforcée à partir de 2013, avec l’édiction de mesures fortes :

  • Création cette année-là du Centre européen de lutte contre la cybercriminalité (European Cybercrime Centre ou EC3), situé dans les locaux d’Europol à La Haye (Pays-Bas) et visant à lutter contre la cybercriminalité dans l’Union européenne.
  • Adoption en 2016 de la directive sur la sécurité des réseaux et des systèmes d’information (SRI), première mesure législative prise à l’échelle de l’UE pour intensifier la coopération entre les États membres sur la question essentielle de la cybersécurité.
  • Adoption par le Conseil, en 2019, du règlement sur la cybersécurité, créant notamment l’agence de l’UE pour la cybersécurité qui aide les États membres, les institutions de l’Union et d’autres parties prenantes à lutter contre les cyberattaques.
  • Création, la même année, du régime autonome de sanctions de l’UE contre les cyberattaques.
  • En 2022, l’UE a adopté une directive SRI 2 visant à prendre en compte de nouvelles menaces numériques, ayant notamment émergé au cours de la crise sanitaire.
  • Proposition, la même année, par la Commission européenne d’un European Cyber Resilience Act (règlement européen sur la cyber-résilience) ayant pour objectif de fixer des règles communes en matière de cybersécurité tout au long de la vie des produits vendus, en particulier des objets connectés.
  • La législation européenne a été la première à s’atteler à la question de l’Intelligence artificielle. Le parlement européen a adopté l’AI Act (Artificial intelligence act) en 2023. Des discussions sont actuellement en cours afin de mieux réguler ce domaine.

Sur le plan opérationnel, l’Union européenne consacre l’une des 10 priorités du cycle EMPACT (European Multidisciplinary Platform Against Criminal Threats EMPACT) dédié à la lutte contre les menaces criminelles transnationales et contre la cybercriminalité. La France assure le pilotage du plan d’action opérationnel associé à cette priorité d’action au niveau européen.

Par ailleurs, l’encadrement du cyberespace ne peut se faire à la seule échelle de l’UE. Ainsi, l’organisation négocie avec les pays partenaires et, notamment, avec les États-Unis qui hébergent la majorité des fournisseurs de services. De même, l’UE est partie prenante aux négociations visant à l’adoption d’une Convention des Nations unies sur la cybercriminalité.

Enfin, le Conseil a approuvé la « Boussole stratégique » en mars 2022. Il s’agit du premier Livre blanc de l’UE en matière de sécurité et de défensequi comprend des mesures fortes en matière de lutte contre la cybercriminalité.

Des premiers résultats encourageants

L’Union européenne cherche à s’adapter aux nouvelles menaces tant sur le plan législatif que sur le plan opérationnel. Le 30 juillet 2020, l’UE a imposé les toutes premières sanctions à la suite de cyberattaques à l’encontre de six personnes et trois entités. L’Agence de l’Union européenne pour la coopération des services répressifs – EUROPOL (European Union Agency for Law Enforcement Cooperation, anciennement European Police Office EUROPOL) a également fait de la cybercriminalité l’une de ses priorités, avec deux affaires marquantes : le démantèlement en 2020, puis en 2021, des réseaux de communications cryptées EncroChat et Sky ECC. Ces enquêtes européennes ont permis à « EUROPOL d’opérer un changement majeur dans le soutien apporté aux services répressifs des États membres », explique Sébastien Moras, directeur de cabinet de Catherine de Bolle, directrice exécutive de l’agence. « Nous avons obtenu des résultats exceptionnels, permettant d’interpeller 6260 personnes dans l’affaire EncroChat et d’obtenir une cartographie réelle de la criminalité organisée ».

L’agence travaille aujourd’hui sur les nouvelles menaces et a rendu dernièrement un rapport relatif à l’utilisation de ChatGPT à des fins criminelles.

Le travail des enquêteurs confronté à la protection des données

Depuis la signature du Traité de Lisbonne en 2007, la protection des données à caractère personnel est devenue un droit fondamental dans l’UE. Afin d’harmoniser le traitement des données pour tous les pays membres, un Règlement général de l’UE sur la protection des données (RGPD) a été adopté en 2016 et est entré en application en mai 2018.

Particulièrement protectrice à l’égard des utilisateurs des réseaux d’information et de communication, cette législation rend aujourd’hui difficile le travail des services répressifs dans l’Union européenne, dans la mesure où la collecte et la rétention des données à des fins judiciaires sont particulièrement encadrées. Une réflexion a été initiée en ce sens par la France dans le cadre de la PFUE (présidence française du Conseil de l’Union européenne) et un groupe de travail dénommé « Going dark » a été constitué afin de faire des propositions concrètes malgré les divergences d’opinion qui existent entre les États membres et les institutions de l’UE.

La lutte contre la cybercriminalité constitue donc un défi à la fois juridique, notamment dans une perspective d’harmonisation des législations, mais aussi technique, dans la mesure où les services répressifs doivent sans cesse s’adapter aux agissements de plus en plus complexes des cybercriminels afin de ne pas leur concéder un temps d’avance. La course est lancée pour protéger les citoyens européens.

Source: gendinfo.fr