Déposer plainte en cas de cyberattaque : mode d’emploi

Thématique prioritaire de la CNIL pour 2021, la cybersécurité constitue pour les entreprises un enjeu fondamental. L’ANSSI[1] fait état d’une hausse importante des cyber-attaques pour l’année 2023, lesquelles menacent grandement les entreprises, les organisations non gouvernementale et les collectivités publiques : les conséquences peuvent être dévastatrices tant sur le plan économique, que sur les plans organisationnel et réputationnel.

Pourtant, les actions à mettre en œuvre en cas de réalisation de cette menace restent floues alors qu’une réaction rapide est essentielle pour en limiter les conséquences.

En interne, certains réflexes opérationnels fondamentaux doivent être adoptés : éviter la propagation du virus utilisé sur d’autres équipements informatiques, piloter la gestion de la crise cyber, trouver de l’assistance technique auprès de prestataires spécialisés, assurer une communication vers les personnes et services. Il est également indispensable de constituer un rapport d’incident, lequel permettra aux enquêteurs d’agir efficacement.

En cas de violation de données personnelles, à savoir la perte de disponibilité, d’intégrité ou de confidentialité desdites données, il convient également de notifier la violation dans un document récapitulatif à destination de la Commission Nationale de l’Informatique et des Libertés[3] (CNIL). La notification doit intervenir dans les 72 heures suivant la prise de connaissance de la violation, conformément à l’article 33 du RGPD (Règlement général sur la protection des données).

Le dépôt d’une plainte doit intervenir le plus rapidement possible, afin de bénéficier d’une assurance le cas échéant, de faciliter le travail des enquêteurs et de renforcer les chances d’identification des auteurs de l’attaque.

Payer la rançon ? Dans le cas d’un rançongiciel, il est recommandé de ne pas payer la rançon[2]. Néanmoins, dans les cas où cela s’avère indispensable, le paiement de la rançon est d’ailleurs conditionné, depuis la loi LOPMI du 24 janvier 2023, au dépôt d’une plainte dans un délai de 72 heures après avoir eu connaissance de l’attaque. L’entreprise devra réaliser une analyse approfondie des risques et des enjeux judiciaires et financiers avant de procéder à un tel paiement. 

Comment déposer plainte ? Qui est compétent ? Qui contacter ?

Dans le cadre des cyberattaques, la répartition des compétences entre services d’enquête répond à certaines spécificités.

Commissariat :

Les plaintes peuvent être déposées directement au commissariat le plus proche. S’agissant des services de police et de gendarmerie nationale, un réseau territorial d’enquêteurs spécialisés en cybercriminalité répartis par zones et types d’infractions a été mis en place. Dans chaque région, se trouvent des Investigateurs en CyberCriminalité (ICC/Police) et des N-TECH (Gendarmerie).

Il existe par ailleurs le Centre de lutte contre les criminalités numériques (C3N) du Service Central du Renseignement Criminel (SCRC) de la Gendarmerie nationale, dépendant du pôle judiciaire de la Gendarmerie et ayant une compétence nationale pour assurer le traitement des questions en rapport avec la criminalité numérique (notamment, les atteintes aux STAD)[4]. 

En cas de dépôt de plainte au commissariat, le Procès-verbal de plainte sera directement transmis par ce dernier aux services spécialisés compétents.

Tribunal compétent :

Pour les cyberattaques, le Parquet de Paris dispose d’une compétence nationale concurrente[5] (dans la mesure où les cyberattaques induisent une atteinte à un système de traitement automatisé de données (STAD) et/ou du sabotage informatique[6]). La section compétente au Parquet de Paris est la section J3 (cybercriminalité).

Depuis la loi du 9 mars 2004[7], pour les atteintes aux STAD, la compétence en matière de lutte contre la criminalité organisée est partagée entre la Juridiction nationale chargée de la lutte contre la criminalité organisée (Junalco) dont fait partie la section J3 du Parquet de Paris et les juridictions inter-régionales spécialisées (JIRS).

La JUNALCO est ainsi compétente pour les affaires de « très grande complexité »[8] et « sur les affaires d’envergure nationale ou d’ampleur qui ne présentent pas d’enracinement territorial déterminé » par exemple pour des faits relatifs à des groupes criminels présentant des capacités financières, des niveaux d’organisation et de structuration hautement sophistiqués ou l’usage par des groupes criminels des technologies les plus innovantes, complexes et sophistiquées.

La pliante peut ainsi être adressée (1) directement à la section J3 du Parquet de Paris ou (2) au JIRS disposant de la compétence territoriale. En fonction de la complexité des faits identifiés, l’affaire sera attribuée à la JUNALCO ou à la JIRS compétente.

Le dépôt d’une plainte permet auprès des services de police ou de gendarmerie ou par signalement au Procureur permet d’assurer le suivi et l’instruction de cette attaque mais également l’ouverture des droits assurantiels dus à la suite d’une cyberattaque.

En pratique : la plainte peut être déposée, au choix :

-          Au commissariat ;

-          Au JIRS du siège social de la victime ;

-          A la section J3 du Parquet de Paris.

Dans ces trois hypothèses, la plainte sera transmise aux services spécialisés compétents, en fonction de la nature de la cyberattaque.

Quels sont les fondements juridiques éventuels d’une telle plainte ?

Les cyberattaques constituent une relative nouveauté dans le paysage des infractions pour les juridictions répressives, il est parfois difficile de les rattacher aux délits prévus dans le Code pénal.

Les incriminations d’extorsion ou de tentative d’extorsion (i) ou d’atteintes aux systèmes de traitement automatisé de données (STAD) (ii) peuvent correspondre aux cyberattaques.

(i)                  L’extorsion

Prévue par l’article 312-1 du code pénal, l’extorsion est : « le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque. »

Le délit d’extorsion suppose qu’une contrainte soit exercée par l’auteur des faits contre sa victime, notamment pour obtenir la remise de fonds. Lorsque l’attaque prend la forme d’un rançongiciel, la contrainte se matérialise pour l’organisme victime par la perte d’accès à ses données, laquelle est utilisée pour obtenir le paiement d’une rançon.

Le rançongiciel peut donc être incriminé sur le fondement de l’extorsion. Si la rançon n’est pas payée, il s’agira d’une tentative d’extorsion, soumise à des sanctions pénales[9].

En outre, l’extorsion est aggravée dès lors que, dans le cadre d’une cyberattaque, le cyber délinquant a recours à des moyens de cryptologie[10]. De même lorsque l’infraction est commise en bande organisée[11]« au moyen d’une organisation structurée[12] ».

(ii)                L’atteinte aux systèmes de traitement automatisé de données (STAD)

Une cyberattaque peut également constituer une infraction d’atteinte à un STAD:

-          Accès ou maintien frauduleux dans un STAD, prévu par l’article 323-1 du code pénal

-          Atteinte au fonctionnement d’un STAD, prévue par l’article 323-2 du code pénal

-          Atteinte aux données contenues dans un STAD, prévue par l’article 323-3 du code pénal

[1] https://www.ssi.gouv.fr/agence/missions/rapport-dactivite-2020/

[2] Voir les recommandations de l’ANSSI sur le sujet : https://www.ssi.gouv.fr/uploads/2020/09/anssi-guide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf

[3] Voir la procédure de notification à la CNIL : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

[4] https://www.ssi.gouv.fr/en-cas-dincident/

[5] Article 706-72 du code de procédure pénale

[6] articles 323-1 à 323-4-1 du code pénal et article 411-9 du code pénal

[7] Loi n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité

[8] La circulaire n° JUSD1934576C relative à la compétence nationale concurrente du tribunal de grande instance et de la cour d'assises de Paris dans la lutte contre la criminalité organisée de très grande complexité, et à l'articulation du rôle des différents acteurs judiciaires en matière de lutte contre la criminalité organisée.

[9] Article 312-9 du code pénal

[10] Article 132-79 du code pénal

[11] Article 312-6 du code pénal

[12] Cour de cassation, chambre criminelle, 11 janvier 2017, n° 16-80.610