Cybercriminalité : l'Europe a du mal à choisir entre l'éthique et l'efficacité
La lutte contre la cybercriminalité pèse sur les opérateurs télécoms et les entreprises utilisatrices victimes de fraudes. Le cadre juridique ne leur est pas d'un grand secours en se souciant essentiellement de la protection des données individuelles.
Lors de sa conférence du 12 décembre dernier, le CLUSIF (Club de la Sécurité Informatique Français) s'est concentré sur les aspects juridiques liés à la protection des données et a posé la question : où s'arrête la chasse à la cybercriminalité au regard des libertés et des données individuelles. Réponse vive de Myriam Quémener, magistrate au ministère de la Justice et au Conseil de l'Europe: « Il faut savoir ce que l'on veut », Et de poser la question : Comment lutter contre la cybercriminalité sans s'en donner les moyens ? En d'autres termes : Où se situe le juste milieu entre la collecte de données personnelles, pour fournir des pistes et des preuves aux enquêteurs, et le respect des libertés individuelles, donnée fondamentale de toute démocratie ?
Sur le même sujetCyber-sécurité : la solution passe par les plate-formes IRMInversement, Garance Mathias, avocate au cabinet Mathias avait attiré l'attention sur les dérives possibles de deux textes législatifs : le Patriot Act aux États-Unis et la loi de Programmation militaire en France actuellement en discussion. Le premier est une loi d'exception, née après les attentats du 11 septembre 2001. Revue tous les trois ans, son champ d'action s'est élargi, depuis la lutte contre le terrorisme et l'espionnage international, jusqu'à devenir une arme au service de l'espionnage commercial. Ainsi, elle autorise les autorités d'outre-Atlantique d'exiger de toute société américaine, même implantée à l'étranger, de fournir sur ses clients les informations demandées.
Inquiétudes sur la loi française
Une loi peut très bien devenir une méthode d'attaque permettant d'acquérir un avantage concurrentiel. Garance Mathias a également souligné le vide juridique qui entoure le chapitre de la lutte contre la cybercriminalité dans la loi de Programmation militaire et, notamment, comment peuvent être interprétés les articles 215 et 405, qui sont laissés à l'appréciation du pouvoir exécutif. De plus, cette loi relève du droit commun et n'est donc pas soumise, comme le Patriot Act, à un réexamen régulier.
Dans ce cadre général, l'Europe, plus spécialement la BCE, travaille à la protection des transferts de fonds par voie électronique, afin de lutter contre la fraude et la fuite de données sensibles. Selon Annabelle Travers-Viaud, responsable du pôle conseil et audit SSI chez Bull, 80 % des paiements sur Internet se règlent par carte bancaire. La BCE a édicté des règles destinées à protéger les consommateurs. Elle agit par voie réglementaire, qui suppose leur transcription dans le droit de chacun des pays membres. Actuellement, ses deux grands chantiers sont le porte-monnaie électronique (e-wallet) et le paiement par mobile. En parallèle, le PCI-DSS (Payment Card Industry Data Security Standard), qui réunit les cinq plus grands groupes d'émissions de cartes bancaires, définit également des règles plus spécialement orientées vers les fournisseurs de services de e-commerce. Le PCI-DSS exige une conformité stricte à ses impératifs techniques. Cependant, les deux organismes se retrouvent sur les grands thèmes de la sécurité, tant pour les consommateurs que pour les prestataires, tels que la lutte contre la fraude ou l'usurpation d'identité.
Rappelons que le CLUSIF est une association loi 1901 regroupant près de 600 adhérents, dont la moitié sont des prestataires ou des fournisseurs de services et l'autre moitié des utilisateurs (RSII, DSI, FSSI...). Il coordonne un réseau régional de 7 comités et travaille avec ses homologues étrangers.