Les entreprises françaises portent rarement plainte lorsqu’elles sont victimes d’un piratage. Cela est dû à l’enchaînement des circonstances et à un état d’esprit, détaille le Colonel Nicolas Duvinage, Chef du centre de lutte contre les criminalités numériques à la Gendarmerie Nationale.
Les entreprises françaises portent rarement plainte lorsqu’elles sont victimes d’intrusion dans leurs système d’information ou de vol de données. « Dans neuf cas sur dix, il n’y a pas de dépôt de plainte. »
C’est le constat presque désabusé mais pragmatique que dresse le Colonel Nicolas Duvinage, Chef du centre de lutte contre les criminalités numériques (C3N) à la Gendarmerie Nationale. Il a pris la parole le 13 janvier, à l’occasion d’une rencontre avec la presse.
Un enchaînement de circonstances
Cette absence de dépôt de plainte a de multiples raisons. Tout d’abord, les entreprises ne se rendent pas compte qu’elles ont été victimes d’un piratage. « C’est la première raison essentielle, » estime le Colonel. Et lorsqu’elle s’en rendent compte, il s’est déjà écoulé pas mal de temps. »Elles se disent si cela fait six mois que cela dure, ce n’est pas la Police ou La Gendarmerie qui y pourront quelque chose, » établit-il.
Le dépôt de plainte n’apparaît pas comme une évidence. De plus, les forces de Police ou de Gendarmerie pâtissent d’un défaut de notoriété en matière d’enquête informatique. Elles n’ont pas encore établi une image d’efficacité quand il s’agit d’identifier les auteurs d’une intrusion informatique, la confiance n’est peut être pas là, reconnaît le Colonel.
A ce moment là, l’urgence est alors de rétablir la situation, et de récupérer des systèmes d’information opérationnels. Et si au bout du compte, les clients de l’entreprise ne s’en rendent pas compte et n’en pâtissent pas, celle-ci préfère oublier l’incident et ne rien dire à personnes.
Elle reprend ses activités plutôt que de perdre du temps à faire de la paperasse, décrit le responsable de la Gendarmerie. D’autant plus que l’entreprise ne sait pas forcément évaluer la valeur monétaire des données personnelles qui lui ont été dérobées.
Si personne n’est au courant, « l‘entreprise se dit que cela ne lui coûtera rien en argent sonnant et trébuchant, à part une intervention d’un prestataire sur une journée, ça part dans les pertes et profits, et la plainte de toute façon n’apportera rien du tout, » décrit le responsable.
Isoler la machine compromise
Il donne toutefois quelques exemples des choses à ne pas faire en cas de découverte d’une attaque. « Il vaut mieux ne toucher à rien et déconnecter la machine infectée, la mettre hors du réseau, » propose-t-il. Il reconnaît que certains critiquent cette méthode car elle rompt le lien avec les hackers. et risque de faire disparaître un moyen de remonter jusqu’à eux en espionnant les échanges.
Sinon, trop souvent les entreprises sont pressées de rétablir le fonctionnement de leur informatique. Elles font intervenir rapidement leurs prestataires pour tout remettre en ordre. »Nous passons après des sociétés privées, c’est une vraie difficulté pour nous. Dans ces conditions, il devient difficile de trouver des traces. C’est comme si après un cambriolage, vous faisiez d’abord intervenir la femme de ménage et le vitrier pour tout remettre en état avant que l’enquêteur n’arrive, » illustre le Colonel.
De toute façon, il est très compliqué de remonter vers les auteurs des faits à partir des traces, reconnaît Nicolas Duvinage. « Parce qu’ils prennent beaucoup de précautions, parce qu’il y a tout de suite une dimension internationale, et que l’on se heurte aux limites de la coopération internationale, » déplore-t-il.
« Une autre approche que nous employons de plus en plus, et on arrive à résoudre des affaires, c’est de prendre les choses par l’autre bout de la lorgnette, en s’intéressant aux personnes. Quels délinquants seraient susceptibles d’être les auteurs, d’être repassés à l’acte ? Et si on a le feu vert du magistrat, quand on en arrive à la perquisition, on trouve des traces d’attaques sur leurs machines, sur des dossiers dont on n’avait même pas connaissance ou sur lesquels une plainte avait été prise six mois avant. Nous avons eu le cas cette semaine avec un pirate informatique, » dit-il.
Texte français en attente
La situation va-t-elle changer avec la prochaine obligation faite aux entreprises de communiquer quand elles ont été victimes d’un vol de données ? Le texte de loi français n’est pas encore disponible.
Le Colonel prend alors l’exemple de l’Allemagne où une telle obligation est effective. » En Allemagne, l’information doit être remontée à un organisme qui a interdiction de la répercuter aux forces de police et au judiciaire, » constate-t-il. Si un tel dispositif était dupliqué en France, la situation ne devrait donc pas changer.
Enfin, dernier point qui handicape le dépôt de plainte. « Les opérateurs internet, et les opérateurs de téléphonie, ont par la loi l’obligation d’effacer les données de connexion tous les ans, cela laisse peu de temps aux entreprises pour déposer plainte, » conclut le Colonel.
2000 enquêteurs de terrain en cybercriminalité
Le Centre de lutte contre les criminalités numériques (C3N) dirigé par le Colonel Nicolas Duvinage, est a tête de pont de la lutte contre la cybercriminalité en gendarmerie. Ce centre anime et coordonne un réseau territorial décentralisé de 2000 enquêteurs spécialisés répartis sur le territoire.
Ces enquêteurs sont répartis un peu partout à l’exception notable des groupes Cyber qui ont été implantés dans les sept sections de recherche qui sont chefs lieux de juridiction inter régional spécialisés à Lille, Paris, Marseille, Metz, Rennes, Bordeaux et Lyon.
Le C3N mène des enquêtes judiciaires, au pénal, sur tout le spectre de la délinquance, depuis la pédopornographie jusqu’aux atteinte aux STAD (Systèmes de traitement automatisé de données), c’est à dire les ordinateurs, les serveurs, les smartphones,
Le C3N est alors spécialisé dans le piratage informatique, le vol de données et le piratage de carte bancaire. L’équipe en charge des STAD travaille en partie de manière proactive, à la façon d’une BAC (Brigage anti criminalité) de l’internet et travaille aussi sur plainte. L’équipe ne travaille pas sur n’importe quelle plainte. mais sur celles des grands groupes, des grands industriels, des entreprises voire des administrations.