Intervention de Sophie Joissains

C'est un choix douloureux, mais le Sénat restera dans mon coeur !

L'informatique et le numérique sont devenus omniprésents dans la vie quotidienne des Français, ainsi que dans la vie de nos entreprises. Ils sont facteurs de gain de productivité et ils ont permis de simplifier un grand nombre de nos démarches, mais ils ont aussi multiplié les occasions de commettre des actes de cybercriminalité avec une extension de la criminalité par-delà les frontières.

Il y a dix ans, j'ai rédigé un rapport sur le projet de parquet européen pour la commission des affaires européennes, dans lequel j'avais examiné le champ de compétences possible de cette institution tel qu'il découlait du traité sur le fonctionnement de l'Union européenne. Il a été défini de manière spécifique, mais il aurait pu être plus large. Lorsque, avec Jacques Bigot, nous avons demandé à travailler de nouveau sur ce sujet l'année dernière, nous avons auditionné Europol et Eurojust et nous avons alors pris conscience de l'ampleur de la cybercriminalité.

Nous avons donc souhaité nous pencher, au nom de la commission des lois et de la commission des affaires européennes, sur ce sujet afin de dresser un bilan et de tracer des perspectives, en examinant les outils de coopération dont nous disposons aux échelles européenne et internationale et en interrogeant une ouverture des compétences du parquet européen dans cette direction. Entre le mois d'avril et le mois de juin, nous avons procédé à une quinzaine d'auditions qui nous ont permis d'entendre beaucoup d'acteurs et de prendre conscience de l'ampleur du sujet.

Il n'existe pas de définition unanimement admise de la cybercriminalité. Dans le cadre de notre rapport, nous avons considéré qu'en relevaient les infractions portant atteinte aux systèmes informatiques eux-mêmes, mais aussi les agissements qui utilisent le numérique comme un moyen pour commettre et élargir l'infraction. De plus en plus souvent, la cybercriminalité consiste en des tentatives d'extorsion par le biais de « rançongiciels » : le système informatique est rendu inexploitable par un virus et la victime est obligée de verser une rançon pour retrouver l'accès à ses données. Le président Bas y faisait allusion : au mois de mars, la ville de Marseille et la métropole Aix-Marseille-Provence ont été victimes d'une attaque de ce type, qui a paralysé le fonctionnement des services administratifs pendant toute la durée du confinement ; de même, l'hôpital de Rouen a subi une attaque qui a paralysé l'imagerie médicale et certains appareils connectés des blocs opératoires. L'informatique facilite, certes, des opérations, mais conduit aussi à introduire des fragilités et des dangers.

Nous sommes aussi exposés à un nombre croissant de contenus frauduleux en ligne - appels à la violence, apologie du terrorisme et, surtout, pédopornographie.

Le dark web est devenu le lieu privilégié des trafics en ligne, d'armes, de faux papiers, de stupéfiants comme d'êtres humains. Lors de nos auditions, nous avons eu vent de faits terribles, comme des commandes en ligne de viols d'enfants, passées en France et en Grande-Bretagne et menant à des crimes commis en Afrique, en Asie ou en Europe de l'Est. Il est aussi possible d'acheter en ligne des virus informatiques ou des coordonnées bancaires volées ; tout cela permet à des personnes qui ne disposent pas au départ d'une grande expertise dans le domaine informatique de devenir, à leur tour, des cybercriminels.

Les escroqueries en ligne empruntent souvent la technique du « hameçonnage » : la victime est attirée vers un site frauduleux qui ressemble à s'y méprendre au site des impôts, au site d'une banque ou à un site commercial. Il est difficile d'évaluer le nombre d'infractions commises chaque année, les plaintes et les signalements étant loin d'être systématiques. Les particuliers hésitent à porter plainte parce que le préjudice que chacun subit est modeste ; les entreprises, quant à elles, s'inquiètent pour leur réputation : lorsque leur carnet d'adresses est compromis ou chiffré, elles préfèrent souvent payer plutôt que prendre le risque d'inquiéter leurs clients.

Les outils statistiques dont disposent la police et la justice ne permettent pas de suivre l'ensemble des infractions relevant du champ cyber ; seule la gendarmerie est aujourd'hui en mesure de répertorier l'ensemble de ces infractions : en 2018, elle en a traité près de 68 000, 7 % de plus que l'année précédente. J'ajoute que le groupement d'intérêt public (GIP) Acyma, chargé d'orienter les victimes de cybermalveillance, a reçu l'an dernier 90 000 demandes d'assistance.

Notre première recommandation est d'encourager les signalements et de mettre à jour les outils statistiques afin de mieux suivre l'évolution de la cybercriminalité : la multiplication des signalements aide les enquêteurs à opérer des rapprochements entre des faits qui paraissent isolés de prime abord, mais qui constituent les facettes d'une même affaire. Il importe donc de multiplier les outils de communication à ce sujet.

Face à cette cybercriminalité protéiforme, nos services se sont réorganisés afin de se doter d'unités spécialisées. Nos interlocuteurs ont tous estimé que l'arsenal législatif en vigueur permettait de lutter efficacement, un grand nombre de qualifications pénales pouvant être mobilisées pour poursuivre ces infractions. Ils se sont également déclarés satisfaits des changements opérés en matière de procédure pénale par la loi du 23 mars 2019 de programmation et de réforme pour la justice, qui a notamment simplifié le régime de l'enquête sous pseudonyme, très utile pour infiltrer les plateformes d'échanges sur le dark net.

La direction centrale de la police judiciaire s'est dotée en 2014 d'une sous-direction en charge de la lutte contre la cybercriminalité. Au sein de la gendarmerie, c'est le centre de lutte contre les criminalités numériques (C3N) qui assume cette mission. Du côté du ministère de l'économie, les douanes, la répression des fraudes et Tracfin, pour la délinquance financière, disposent également d'unités spécialisées en matière de cybercriminalité.

S'agissant de l'institution judiciaire, la loi a confié en 2016 une compétence nationale concurrente à la juridiction parisienne pour connaître des atteintes aux systèmes de traitement automatisé de données, c'est-à-dire les attaques contre les systèmes informatiques. Le parquet de Paris s'est doté d'une section spécialisée qui centralise les affaires les plus complexes, les plus graves, ou qui présentent une forte dimension internationale, les autres demeurant de la responsabilité des juridictions territorialement compétentes. Ces différents services spécialisés ont acquis une grande compétence technique et un vrai savoir-faire. Ils sont capables de mener la plupart des investigations sans qu'il soit nécessaire de faire appel à des expertises extérieures. Ils sont cependant sous-dotés. La section spécialisée du parquet de Paris, par exemple, ne compte que trois magistrats appuyés par un seul assistant technique, un effectif très faible comparé à ceux des services homologues des grands États européens, souvent dix fois plus importants. En conséquence, le parquet spécialisé renonce régulièrement à se saisir d'affaires qui auraient pourtant justifié son intervention. Le renforcement de ses moyens nous paraît donc constituer une priorité. Un deuxième axe d'action devrait consister à diffuser la culture cyber sur l'ensemble du territoire en étoffant les réseaux de référents mis en place au sein des parquets locaux comme au sein de la police et de la gendarmerie. Il nous paraît également essentiel de continuer à cultiver des liens étroits avec les acteurs privés du numérique, dont la compétence grandit avec la complexité des systèmes : les réquisitions gagnent en efficacité dès lors que l'on sait de quelles informations dispose une entreprise et dans quel délai elle est susceptible de les fournir.

Bien sûr, ce volet répressif doit s'accompagner d'un volet préventif. Tous nos interlocuteurs ont insisté sur la nécessité de construire des réseaux informatiques solides, soumis à des audits réguliers et à des référentiels techniques exigeants. Les opérateurs d'importance vitale peuvent bénéficier dans ce domaine de l'appui de l'Agence nationale de sécurité des systèmes d'information (ANSSI). Les entreprises et les administrations de taille plus modeste peuvent faire appel à des prestataires privés certifiés par l'ANSSI, ce qui est un gage de qualité.

Un important travail de formation doit également être conduit auprès des salariés car c'est bien souvent une imprudence humaine qui provoque l'infiltration du système informatique. Nous avons ainsi eu connaissance du cas d'un homme appréhendé dans le sud de la France pour pédophilie, qui recherchait ses victimes en mettant sur le site Le Bon Coin des annonces de maillots pour fillettes. En cliquant sur le lien présent dans l'annonce, le client intéressé téléchargeait sans le savoir un logiciel permettant au criminel, quand l'enfant était devant l'ordinateur, d'entrer en contact avec lui pour lui demander de se déshabiller. Une fillette a eu la présence d'esprit de prévenir sa mère, ce qui a conduit à l'arrestation de l'individu qui avait tout de même eu le temps de faire une soixantaine de victimes. Cet effort de sensibilisation devrait être mené auprès du grand public et auprès des élèves des écoles car nous pouvons tous être victimes de cybercriminalité.

Cependant, les efforts entrepris à l'échelle nationale se heurtent rapidement au caractère transnational de cette criminalité. Les victimes sont en France, mais, bien souvent, les auteurs sont à l'étranger et ne pourront donc être arrêtés et traduits devant les tribunaux qu'à la condition qu'une entraide judiciaire efficace soit mise en place à l'échelle européenne et au-delà.