Attaques contre les systèmes informatiques : bientôt un nouvel arsenal contre la cybercriminalité

Les institutions européennes ont adoptées le 12 août 2013 une nouvelle Directive destinées à renforcer les moyens dont disposent les États Membres afin de lutter contre les attaques visant les systèmes informatiques.

Ce nouveau texte instaure cinq infractions pénales et notamment les délits d'atteinte (ou de tentative d'atteinte) aux systèmes informatiques ou aux données ainsi que l'intrusion illégale dans un tel système.

L'une des nouveautés majeure de ce texte est la création d'une infraction pénale correspondant à la fourniture « d'outils » servant à la réalisation de cyber-attaques. Il s'agit là de sanctionner la mise à disposition, par un moyen quelconque de matériel mais aussi de données (telles que des codes ou des mots de passe par exemple) pour la commission des cyber-attaques.

La Directive prévoit des moyens étendus de coopération entre les États Membres. Cela passe notamment par la possibilité pour un État de sanctionner toute infraction commise depuis son territoire et visant un système situé à l'étranger ou, à l'inverse, une infraction commise depuis l'étranger mais visant un système localisé sur son territoire.

Les entreprises commettant des cyber-attaques pourront être sanctionnées au même titre que les personnes physiques (la sanction est alors une peine d'amende et une peine complémentaire telle que l'interdiction d'exercer ou le retrait d'autorisations). Ces condamnations sont également applicables aux cas où les entreprises ont encouragé ou commandité ces atteintes sans pour autant les avoir réalisées elles-mêmes.

Au demeurant, la loi française actuelle (Cf. articles 323-1 à 323-7 du Code pénal) atteint quasiment le niveau de protection envisagé par la Directive. Ce niveau de protection étant conçu comme un minimum, rien n'interdirait au législateur français de saisir l'occasion de punir encore davantage les infractions visées. Mais, à la réflexion, c'est plutôt d'outils efficaces dont les victimes d'attaques auraient besoin pour lutter contre l'éparpillement international des actes constitutifs.

(avec D. Lefranc)