Cyberattaques : l’Europe vote le renforcement des sanctions

Le Parlement européen veut renforcer les sanctions contre les cybercriminels. Pour les attaques d’infrastructures critiques, la peine maximale pourrait atteindre cinq ans.

Cinq mois après la présentation de la stratégie européenne de cybersécurité par la Commission, le Parlement européen a adopté jeudi 4 juillet une proposition de directive visant à renforcer les sanctions à l’égard des cybercriminels. Les mesures déjà validées de manière informelle par les États membres, visent également à faciliter la prévention et accentuer la coopération policière et judiciaire.

Deux poids deux mesures

La résolution législative rédigée par l’eurodéputée allemande Monika Hohlmeier (Parti Populaire Européen) a été adoptée par 541 voix pour, 91 contre et 9 abstentions. Elle stipule que les pays de l’UE devront répondre sous huit heures aux demandes d’aide urgentes. Quant aux cybercriminels, ils verront leurs peines augmenter.

Le texte préconise ainsi de fixer à deux ans au moins la peine de prison maximale pour : l’accès illégal ou l’intervention dans les systèmes d’information et/ou les données, l’interception illicite de communications ou la production intentionnelle d’outils pour commettre ces délits.

Bien que les cas « mineurs » soient exclus de la résolution, chaque État membre pourra lui-même définir ce qui constitue un délit « mineur » dans ce cadre. Par conséquent, un même type de délit informatique pourrait être sanctionné à Paris et ne pas l’être à Athènes, et inversement.

Infrastructures critiques et botnets

Pour les cyberattaques d’infrastructures critiques (énergie, transport, santé, gouvernement, etc.),  la peine maximale d’emprisonnement pourrait atteindre au moins cinq ans. Le texte introduirait également une peine d’au moins trois ans de prison pour l’utilisation de réseaux de PC zombies (botnets), contrôlés à distance après avoir été infectés par un agent malveillant.

Les entreprises et autres personnes morales seront tenues responsables des infractions commises pour leur compte, « par exemple pour avoir engagé un pirate informatique afin d’obtenir l’accès à une base de données d’un concurrent ». De plus, il est envisagé de mettre un terme à l’octroi de l’aide publique dont ces organisations pourraient bénéficier, voire de fermer les établissements concernés.

Le Conseil de l’Union européenne devrait adopter rapidement la nouvelle directive relative aux attaques visant les systèmes d’information et abrogeant la décision-cadre 2005/222/JAI. Une fois le texte validé, les États membres auront deux ans pour la transposer dans le droit national.


Voir aussi

Quiz Silicon.fr – Crimes et châtiments sur Internet