B. UNE AMPLEUR DIFFICILE À ÉVALUER
Les rapporteurs se sont interrogés sur le montant du produit de la cybercriminalité pour rapidement constater qu'il était aujourd'hui impossible d'en fournir une évaluation rigoureuse.
1. Des données parcellaires
Le ministère de l'intérieur et le groupement d'intérêt public (GIP) Acyma, chargé d'apporter une assistance aux victimes d'actes de cybermalveillance, publient chaque année un rapport qui contient des données intéressantes, mais incomplètes, sur la cybercriminalité.
a) Les données du ministère de l'intérieur
Depuis sa création en 2017, la délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces, rattachée au ministère de l'intérieur, publie un rapport annuel sur l' état de la menace numérique . Son dernier rapport , datant de mai 2019, contient des informations détaillées qui reflètent l'activité des services de police et de gendarmerie.
Il est à noter que leur outil statistique répertorie les faits qualifiés de crime ou de délit en fonction de la nature de l'infraction commise, ce qui pose une vraie difficulté pour cerner l'ensemble des faits de cybercriminalité.
Certaines infractions relèvent par nature de la cybercriminalité. C'est le cas notamment des délits d'accès, d'altération du fonctionnement et de modification des données d'un système de traitement automatisé de données (STAD). C'est également le cas du délit de consultation habituelle de sites pédopornographiques, pour lequel une incrimination spécifique existe dans le code pénal. Ces infractions sont répertoriées dans les outils statistiques du ministère de l'intérieur.
Il en va différemment pour les infractions qui peuvent exister dans l'univers numérique comme dans le monde réel. Une escroquerie en ligne sera par exemple décomptée parmi les autres escroqueries, sans possibilité d'isoler les infractions commises au moyen d'un système informatique.
La gendarmerie a toutefois surmonté cette difficulté en donnant la possibilité au gendarme qui rédige un compte rendu de cocher la case « cyberespace » pour indiquer le lieu de l'infraction lorsqu'elle a été commise sur Internet. Les données de la gendarmerie fournissent donc une vision plus précise des contours de la cybercriminalité.
Concernant tout d'abord les atteintes aux systèmes de traitement automatisé de données (STAD), la police et la gendarmerie ont enregistré 9 970 infractions en 2018, chiffre en baisse par rapport à 2017 (- 6,6 %) et à 2016 (- 9,8 %). La délégation ministérielle insiste cependant sur le fait que « cette tendance statistique est difficilement interprétable en raison d'un faible taux de plainte ». La grande majorité de ces infractions (71 %) consiste en des accès frauduleux au système informatique, devant des atteintes aux données (22 % du contentieux).
Les services de police et de gendarmerie ont également enregistré, en 2018, un total de 390 atteintes au secret des correspondances émises par la voie électronique, chiffre en baisse de 2,5 % par rapport à l'année précédente.
La même année, 888 infractions sexuelles sur mineurs commises par l'intermédiaire d'un service en ligne ont été recensées, chiffre là aussi en baisse par rapport à 2017 (- 8 %).
D'autres infractions correspondent à des violations de la loi « Informatique et Libertés », par exemple la divulgation illégale de données à caractère personnel ou la collecte de données personnelles par un moyen frauduleux : 1 435 infractions ont été comptabilisées en 2018, contre 1 256 en 2017.
L'examen des statistiques de la gendarmerie donne une vision plus complète des faits de cybercriminalité en englobant aussi les infractions qui se déroulent dans l'univers cyber .
En 2018, 67 890 infractions relevant du champ cyber ont été traitées par la gendarmerie, chiffre en hausse de 7 % par rapport à 2017 après une progression de 32 % en 2016. Les trois quarts de ces infractions sont des escroqueries. Deux phénomènes saisonniers ressortent à la lecture des statistiques : des escroqueries à la location de courte durée pendant les vacances scolaires ; et des escroqueries variées à la période de Noël ( phishing « remboursement des impôts », vente de produits contrefaits, etc.).
Deux autres sources de données exploitées par le ministère de l'intérieur sont les signalements effectués sur les plateformes Pharos et Perceval .
La plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements ( Pharos ) recueille les signalements des internautes qui repèrent sur le web des comportements ou des contenus publics qu'ils estiment illégaux . En 2018, les policiers et gendarmes en charge de la plateforme ont reçu et traité 163 723 signalements (en hausse de 6,6 % par rapport à 2017). Il s'agit en majorité (55 %) de signalements en lien avec des affaires d'escroquerie ou d'extorsion, ce qui est cohérent avec les données de la gendarmerie, qui mettent également en lumière la place majeure des escroqueries. Les atteintes aux mineurs (pédopornographie, prédation sexuelle, etc.) représentent 12,6 % des signalements et les faits d'apologie ou de provocation à des actes terroristes 2,8 % du total.
Lancée en 2018, la plateforme Perceval vise à recueillir les signalements relatifs aux usages frauduleux de la carte bancaire . Sur la période de dix mois comprise entre son lancement et la sortie du rapport, Perceval avait enregistré 100 000 signalements, correspondant à 400 000 usages frauduleux.
b) Les données du GIP Acyma
Le groupement d'intérêt public pour le dispositif national d'assistance aux victimes d'actes de cybermalveillance, ou GIP Acyma, gère le site www.cybermalveillance.gouv.fr, qui s'adresse aux particuliers, aux entreprises et aux collectivités (à l'exception des opérateurs d'importance vitale et des opérateurs de services essentiels).
Cybermalveillance.gouv.fr ambitionne de devenir le site de référence vers lequel se tournent les victimes ou les personnes à la recherche de conseils en matière de prévention.
Le GIP rend publiques des statistiques élaborées à partir des demandes qui lui sont adressées 9 ( * ) . Il indique dans son dernier rapport d'activité que plus de 90 000 victimes ont cherché de l'assistance sur la plateforme en 2019, contre seulement 28 000 en 2018. Il faut cependant y voir davantage le signe que les efforts pour faire connaître le dispositif ont porté leurs fruits plutôt qu'un indicateur de l'évolution sous-jacente de la cybercriminalité. Un pic de demandes d'assistance a été observé au début de l'année 2019, en lien avec différentes vagues de chantage à la webcam prétendument piratée.
Les deux diagrammes présentés en page suivante précisent sur quoi portaient les demandes d'assistance adressées à www.cybermalveillance.gouv.fr. Concernant les particuliers, les demandes d'assistance ont principalement porté sur le chantage à la webcam (38 %), suivi du piratage de compte en ligne (14 %) et du hameçonnage (13 %). Pour les professionnels (entreprises, collectivités et associations), le hameçonnage arrive en tête (23 %), devant le piratage de compte en ligne (16 %) et le spam (16 %).
Répartition des menaces par types de publics
Source : rapport d'activité 2019 du GIP Acyma
c) Les obstacles à une connaissance précise du phénomène
Les données publiées par le ministère de l'intérieur sont établies à partir des plaintes et des signalements auxquels procèdent les victimes. Or beaucoup de victimes ne portent pas plainte.
Certaines, comme cela a été indiqué, n'ont même pas conscience d'avoir été victimes d'une arnaque en ligne ou d'une intrusion dans leur système informatique. Par ailleurs, lorsqu'ils constatent qu'une infraction a été commise, les particuliers considèrent souvent que le préjudice subi, généralement de l'ordre de quelques centaines d'euros, est trop modeste pour justifier un dépôt de plainte, dont le résultat paraît aléatoire.
Concernant les entreprises, le préjudice est généralement plus important, mais la victime préfère parfois s'abstenir de déposer plainte afin de préserver sa réputation : l'image de l'entreprise risque d'être altérée s'il apparaît qu'elle n'est pas en mesure de se prémunir contre les cyberattaques et ses clients peuvent craindre que des informations les concernant soient rendues publiques, affaiblissant la confiance nécessaire à la poursuite de leur relation d'affaires. Seuls les opérateurs d'importance vitale ont l'obligation de signaler à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) les attaques dont ils font l'objet.
L' inadaptation des outils statistiques , développés à une époque antérieure à l'apparition de la cybercriminalité, constitue un autre obstacle à la connaissance fine du phénomène. Si la gendarmerie a innové pour appréhender l'ensemble des faits de délinquance et de criminalité cyber, le ministère de la justice apparaît plus en retrait : l'outil statistique Cassiopée utilisé pour suivre l'activité pénale repose entièrement sur les codes NATINF, qui renvoient à la nature de l'infraction, sans indication sur le lieu où elle a été commise. Ces statistiques ne permettent donc pas de distinguer par exemple si une escroquerie a été commise en ligne ou en dehors de l'univers numérique.
2. L'évaluation incertaine du produit de la cybercriminalité
Compte tenu de la difficulté de recenser l'ensemble des infractions, l'évaluation du produit de la cybercriminalité demeure nécessairement entourée d'une grande incertitude.
Les rares évaluations disponibles émanent de sociétés spécialisées dans la sécurité informatique . La société McAfee a ainsi estimé, dans un rapport publié en 2018, que la cybercriminalité coûtait aux entreprises un montant proche de 600 milliards de dollars par an, soit 0,8 % du PIB mondial, montant en hausse de 35 % par rapport à une précédente estimation (445 milliards) réalisée en 2014.
En 2017, l'entreprise Norton a réalisé une enquête dans vingt pays, totalisant 3,1 milliards d'habitants, dont 57 % disposaient d'un accès à Internet. Elle en a conclu que 53 % des utilisateurs d'Internet avaient été confrontés à la cybercriminalité ou que quelqu'un dans leur entourage l'avait été, et elle a évalué le montant global du préjudice lié à cette cybercriminalité à 172 milliards de dollars, soit 142 dollars en moyenne par victime. Pour la France, la perte est estimée à 7,1 milliards de dollars.
L'ampleur des écarts entre ces évaluations conduit à les envisager avec prudence.
Le rapport précité sur l'état de la menace liée au numérique mentionne des évaluations du préjudice subi par les entreprises pour certaines infractions : le coût moyen d'un détournement de données serait de 3,62 millions de dollars ; le coût estimé d'une violation de sécurité serait en moyenne de 330 000 euros pour les entreprises comptant au plus 1 000 salariés et atteindrait 1,3 million pour les entreprises de plus de 5 000 salariés. Concernant les particuliers, le rapport rappelle que le montant global de la fraude liée aux cartes de paiement s'élevait à 467 millions d'euros en 2017, dont 290,5 millions réalisés sur des transactions par Internet.
Outre le fait que de nombreuses infractions ne sont pas recensées, certains préjudices sont particulièrement difficiles à évaluer : lorsqu'une entreprise se fait voler des données confidentielles qui vont ensuite être exploitées par un concurrent et vont lui faire perdre des parts de marché, comment apprécier la perte subie ? Cela suppose de formuler des hypothèses fragiles sur ce qu'auraient été les positions respectives de chaque entreprise en l'absence de ce vol de données.
Les personnes entendues par les rapporteurs ont cependant toutes insisté sur le fait que la cybercriminalité était un phénomène en expansion , ce qui ne surprend guère dans un contexte où le numérique occupe une place croissante dans l'économie. Les délinquants perçoivent la cybercriminalité comme une activité moins risquée que la délinquance classique, et potentiellement très rémunératrice, ce qui favorise leur réorientation vers l'univers numérique.
3. L'intérêt d'une meilleure connaissance du phénomène
Dans la mesure où l'on ne combat efficacement que ce que l'on connaît, des initiatives pourraient être prises afin de tenter de mieux cerner les contours de la cybercriminalité.
La première pourrait consister à faire évoluer les outils statistiques de la police et de la justice afin qu'ils permettent de suivre, comme pour la gendarmerie, les infractions commises dans le cyberespace lorsque leur qualification juridique ne suffit pas à les identifier comme telles.
Il convient ensuite de faire encore mieux connaître les plateformes Pharos et Perceval afin que les victimes acquièrent le réflexe de procéder à un signalement en ligne en cas d'infraction . Le même effort de communication devra être mis en oeuvre au moment du lancement de la plateforme Thesee (traitement harmonisé des enquêtes et signalements pour les e-escroqueries) qui permettra aux particuliers de déposer plainte en ligne en cas d'escroquerie sur Internet 10 ( * ) . Lorsque le préjudice est faible, la victime peut être réticente à se déplacer au commissariat ou à la brigade de gendarmerie la plus proche : la plainte en ligne est donc adaptée à ce type de situation. Les organisations d'employeurs, les chambres de commerce et d'industrie pourraient sensibiliser les entreprises à l'importance du dépôt de plainte en faisant valoir que leur souci de discrétion peut empêcher les enquêtes d'aboutir.
Au-delà de son intérêt sur le plan statistique, l'augmentation du nombre de signalements est indispensable pour aider les enquêteurs à recueillir des informations, opérer des rapprochements entre des faits de cybermalveillance qui semblent isolés de prime abord et reconstituer ainsi les différents aspects d'une affaire. En début d'année 2019, les magistrats spécialisés du parquet de Paris ont observé une amplification des campagnes de chantage à la webcam prétendument piratée. Ils ont élaboré un modèle-type de lettre pour le dépôt de plainte, mis à disposition du public sur www.cybermalveillance.gouv.fr. Cette initiative a permis à 28 000 personnes de formaliser leur plainte et de partager avec les enquêteurs des données techniques qui leur ont permis d'identifier deux personnes suspectées d'être les auteurs de l'infraction, interpellées en septembre 2019 puis en décembre 2019.
* 9 Cf . le rapport d'activité 2019 .
* 10 Dans le détail, le projet Thesee devrait permettre le dépôt de plainte en cas d'escroquerie à la petite annonce et à la romance, de chantage à la webcam, de faux site de vente, d'usurpation de boîte mail et d'extorsion.