Assises de la Sécurité : Police-Justice et Entreprise, le début de la confiance ?

Monaco. – En deux ans, les services de Police et de Gendarmerie ont sérieusement accéléré le rythme de leurs enquêtes dans le secteur informatique. Ces derniers semblent s’intéresser de plus en plus aux activités illicites qui se déroulent dans le monde virtuel et numérique. Et les entreprises sont des cibles de choix pour les cybercriminels. Du coup la question se pose comment les sociétés peuvent-elles agir ? Comment doivent-elles réagir ? Faut-il mieux faire appel aux services de Police et de Gendarmerie ou régler les différends en interne ?

Lors de la conférence plénière des Assises de la Sécurité et du Système d’information, qui se déroulent à Monaco, plusieurs intervenants prestigieux sont revenus -parfois sur un ton léger- sur l’état de la relation entre « privé et public », « police et entreprise. »

Autour de la table, l’on comptait plusieurs intervenants, parmi les forces de ¨Police et de Gendarmerie : Yves Crespin : le Commissaire Principal et chef de la Brigade d’Enquêtes sur les Fraudes aux technologies de l’information (le B.E.F.T.I), Christian Aghroum : Commissaire Divisionnaire et chef de l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC), qui est un organisme dépendant de la Direction Générale de la Police Nationale et dépend de la Direction Centrale de la Police Judiciaire.

Pour présenter l’expérience Bouygues Telecom, Maricela Pelegrin-Bomel, Responsable de la Sécurité chez Bouygues Télécom. Et enfin, pour le point de vue juridique, Benoît Louvet, avocat spécialisé du cabinet d’avocats d’affaires Lamy et Associés. La modération du débat a été assurée par Eric Domage, Directeur de Recherche pour IDC.

-Faites-vous souvent appel aux services de Police?

Maricela Pelegrin-Bomel : « Bouygues Telecom n’a pas de problème pour solliciter les services de Police. Bien entendu, cela dépend de l’affaire. En volume, nous étions à près de 350 affaires l’an dernier et entre 250 et 300 cette année, ce qui montre que les délits sont en baisse, notamment grâce à la formation du personnel. Certains cas peuvent être réglés en interne, mais en cas de besoin nous pouvons envoyer un mail très simplement au BEFTI ou l’OCLCTIC. »

Yves Crespin : « Effectivement, nous sommes de plus en plus souvent appelés. Nous recevons des emails, l’on vient sur notre site pour nous laisser des messages. En ce moment nous élaborons ce que l’on nomme une chaîne de signalement qui sera disponible l’année prochaine pour tous les types d’infraction notamment la pédopornographie. Concernant le monde de l’entreprise, les contacts restent insuffisant à notre goût. Certainement pour des problèmes d’image de marque, ou des problèmes internes. Mais les mentalités évoluent, les entreprises commencent à comprendre que leur image de marque passent aussi par la nécessite de mener une action judiciaire, par le biais d’une plainte. Mais si tout le monde était comme Maricela cela serait formidable car si l’on ne dépose pas de plainte, ce sont les voyous qui sont gagnants car nous ne pourrons pas les retrouver et il est important que nous comprenions les modes opératoires de ces cybercriminels. »

Benoît Louvet : « C’est vrai qu’il y a encore certaines réticences. A ce que je constate, les grandes entreprises connaissent bien ces services spécialisés et elles font de plus en plus souvent appel a la Police. Par contre, du côté des TPE et des PME il y a encore une certaine résistance. On peut donc dire qu’il y a encore des progrès à faire. « 

Christian Aghroum : « La relation entre l’entreprise et son employé relève du droit du travail. En collaborant davantage, l’on ferait tout de même un grand pas en avant dans la sécurisation générale du système d’information. Le fait de taire des informations par exemple sur un pédopornographe au sein de l’entreprise, à la justice, c’est en quelque sorte renvoyer le risque à l’extérieur et lui permettre de continuer ses activités. « 

Yves Crespin :« Et le fait de ne pas déclarer est pénalement répréhensible par la justice. »

-Comment appréhender ce type de situation?

Benoît Louvet : « Il faut faire relativement attention et déterminer si l’on est sur une infraction pénale ou une faute qui dépend du code du travail. C’est une question de stratégie. Est-ce que l’entreprise souhaite porter cette affaire devant la justice car elle considère qu’il s’agit d’une affaire extrêmement grave ; ou bien elle estime que le délit n’est pas si grave et elle décide de régler le problème en interne et elle cherche à trouver un accord avec le salarié, c’est une décision de gestion, qui concerne le chef de l’entreprise. Là ou il y a un danger, c’est en méconnaissance d’un certains nombres de règles d’aller regarder par dessus l’épaule du salarié et essayer de renvoyer le salarié dans des conditions juridiquement limites. Car cela peut très rapidement se retourner contre l’employeur, car si le salarié va devant le conseil des prud’hommes il peut très bien être réintégré. Ce qui est catastrophique. »

Yves Crespin : « Il semble important de préciser que si l’entreprise constate un comportement suspect, nous partons du principe qu’elle est la victime. Ne vous inquiétez pas vous êtes les victimes! et nous n’allons pas arriver à six heures du matin avec ‘le door breaker’. »

-Quels sont les moyens de la police?

Christian Aghroum :« Bon d’abord il faut clarifier et démystifier les choses, nous n’avons pas recruté d’anciens Hackers dans nos services comme on peut le voir dans certaines séries américaines. En terme d’effectif, la gendarmerie dispose de 150 inspecteurs qualifiés dans les technologies, réparties dans les différents services de police judiciaire. Avec les services de Police Scientifique, au total ce sont 400 à 500 personnes qui travaillent sur ces problématiques. L’Office Centrale compte 50 personnes. Le BEFTI est la plus importante organisation en terme de personnels. »

Yves Crespin :  » Nos agents sont des gens normaux. Ils viennent de la planète que vous. Certains sont d’anciens Geeks, d’autres ont des formations plus spécialisées, certains sont d’anciens responsable de la sécurité du SI. »

-Police-Justice : quelle efficacité? des condamnations exemplaires?

Benoit Louvet : « Nous ne disposons pas encore de grille de tarifs des condamnations! par contre il y a effectivement des condamnations qui peuvent d’ailleurs être consultées par les internautes sur le site Legalis.net. qui est bien connu des juristes. Il regroupe les principales décisions pénales et a une vocation pédagogique notamment pour sensibiliser les entreprises. »

-Et au niveau international? Quel est l’état des relations avec les services étrangers?

Christian Aghroum : » Cela évolue très bien. Je suis très optimiste, et dans ce domaine il faut également démystifier les choses. Il y a plusieurs niveau de collaboration. Au niveau européen, il n’y a quasiment plus de problèmes. Dans le cadre de la collaboration internationale, nous disposons d’un outil développé par le G8 baptisé le réseau G8 H24. Il s’agit d’un outil qui nous permet de comparer les données. En Europe il y a Interpol qui pousse dans le cadre de la lutte contre la cybercriminalité chacune des grandes régions du monde (ndlr : 50 pays dans l’organisation) à se doter d’outil pour lutter contre les cybercriminels. Nous avons également des relations saines et cordiales avec des pays avec lesquelles, il y a quelques nous n’avions pas la possibilité de travailler, par exemple avec la Roumanie ou la Bulgarie dans le cadre de la lutte contre les cartes bancaires contrefaites. Et nous ouvrons également de nouvelles voies, car je ne supporte pas l’idée de rester au bord de la rivière à regarder les cadavres passer, je plonge dans l’eau pour les rattraper. Nous avons donc organisé un séminaire très intéressant il y a quelques semaines avec les Russes, qui sont de gros pourvoyeurs de cybercriminels. »