La cybercriminalité est une notion floue qui ne fait l’objet d’aucune définition légale en droit français. Néanmoins, nombreux sont les auteurs, les professionnels et les organisations qui proposent une définition de ce terme, démontrant l’intérêt porté par la société toute entière à cette problématique.
Ainsi, pour le Ministère de l’intérieur, la cybercriminalité (ou cyber délinquance, car tous les comportements visés ne sont pas nécessairement des crimes) désigne « l’ensemble des infractions pénales commises via les réseaux informatiques, notamment sur le réseau internet »(31).
Dans le même sens, la Commission européenne la définit comme « toute infraction qui implique l’utilisation des technologies informatiques »(32).
Enfin, selon Solange Ghernaouti-Hélie, « la cybercriminalité recouvre toute activité illégale ou irrégulière réalisée à travers le cyberespace. Par extension, elle intègre toute forme de malveillance électronique effectuée au moyen de l’informatique et des télécommunications (téléphonie, carte à puce, …) »(33).
Ces définitions ont en commun d’être larges et ce dans le but d’englober toutes les infractions susceptibles d’être commises dans le cyberespace, lesquelles sont pour le moins variées.
En effet, il faut bien comprendre que l’avènement d’internet et des nouvelles technologies a non seulement facilité la commission d’infractions classiques, notamment celles relevant de la criminalité économique (blanchiment, escroquerie, …), mais a également favorisé l’apparition d’infractions nouvelles (fraude informatique, atteinte à un système automatisé de données).
Cette typologie apparaît dans la définition donnée par Myriam Quéméner, magistrate, pour qui « la cybercriminalité s’applique à l’ensemble des infractions pénales susceptibles de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau »(34). Une troisième catégorie d’infractions peut encore être distinguée, celle où les technologies numériques constituent le support d’une infraction. Dans ce sens, on citera encore la définition donnée par Me Daoud du cabinet Vigo(35) : «la cybercriminalité désigne toute activité mettant en jeu des ordinateurs ou des réseaux en tant qu’outil, cible ou lieu d’une infraction ».
On pressent que la cybercriminalité recouvre des réalités extrêmement diverses et dont les cibles sont variées. Les personnes physiques sont les premières victimes : mise à mal des données à caractère personnel, de la vie privée et de l’intimité, prise de contrôle de l’ordinateur de l’utilisateur, usurpation d’identité, escroquerie, etc. Les Etats sont touchés via toutes ces atteintes aux individus, mais aussi directement : intrusions dans les systèmes gouvernementaux et dans les systèmes informatiques contrôlant les infrastructures critiques, cyberguerre ou encore cyberterrorisme. Enfin les entreprises ne sont pas épargnées et c’est précisément ce qui nous occupe dans le cadre de ce mémoire.
Il faut noter que le terme de cybercriminalité a une coloration pénale qui n’est pas toujours propice à l’exposition des risques qui pèsent sur les entreprises. C’est pourquoi nous nous attacherons plus largement dans cette partie à décrire toutes les menaces malveillantes qui ont pour cibles les systèmes d’information et les données des entreprises et qui sont susceptibles de leur causer un dommage, sans nous préoccuper du fait de savoir si de tels actes sont répressibles pénalement car ce n’est pas l’objet de ces développements.
Deux types de malveillance relèvent de la cybercriminalité : la malveillance externe, émanant de tiers à l’entreprise, et la malveillance interne, provenant de salariés de l’entreprise. La menace externe est redoutable du fait de la diversité de ses acteurs, de ses formes, et de son évolution constante.
L’appréhension de ce risque et la mise en place de protections adéquates est donc difficile pour les entreprises. Tandis que la menace interne est bien mieux connue des entreprises qui de tout temps en ont été victimes, mais tout aussi inquiétante car sa concrétisation est aujourd’hui facilitée par l’informatisation des entreprises. Nous tenterons de décrypter la malveillance externe dans un premier temps, en ayant à l’esprit que de tels actes peuvent également être commis par des salariés, avant d’évoquer les particularités de la malveillance interne, en s’attardant notamment sur le risque de fraude.
31 www.interieur.gouv.fr
32 COM(2012) 140 final Communication de la commission au conseil et au parlement européen Combattre la criminalité à l’ère numérique: établissement d’un Centre européen de lutte contre la cybercriminalité, 28 mars 2012
33 GHERNAOUTI-HELI (S.), Comment lutter contre la cybercriminalité, Pour la Science n°391, mai 2010 p. 24-27
34 QUEMENER Myriam & FERRY Joël, Cybercriminalité – Défi mondial et réponses, Economica, 2007
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance