//img.uscri.be/pth/e5163d408cba7dd82160597bc5fb794af0f8946b
Cette publication ne fait pas partie de la bibliothèque YouScribe
Elle est disponible uniquement à l'achat (la librairie de YouScribe)
Achetez pour : 11,63 € Lire un extrait

Lecture en ligne (cet ouvrage ne se télécharge pas)

La criminalité informatique à l'horizon 2005

De
168 pages
Publié par :
Ajouté le : 01 janvier 0001
Lecture(s) : 0
EAN13 : 9782296270619
Signaler un abus

La criminalité informatique
à l'horizon 2005 Du même auteur :
—La criminalité informatique, Presses Universitaires de France,
Collection Que-Sais-Je ? n° 2432, Novembre 1988.
— Protection des systèmes d'information, sécurité et qualité
informatiques, Référentiels Dunod, 1' édition 1989, mise à jour
trois fois par an (en collaboration avec Jean-Marc LAMERE,
Jacques TOURLY et les membres du CLUSIF).
© L'Harmattan, 1992
ISBN : 2-7384-1498-2 Philippe ROSÉ
Fondation pour la Recherche Sociale (FORS)
La criminalité informatique
à l'horizon 2005
Analyse prospective
Rapport réalisé dans le cadre du programme d'études
et de recherches de l'Institut des Hautes Études
de la Sécurité Intérieure.
L'Harmattan IHESI
5-7, rue de l'École-Polytechnique 19, rue Péclet
75005 PARIS 75015 PARIS
S ommaire
Introduction 11
PREMIÈRE PARTIE :
PROBLÉMATIQUE,
COÛTS ET CARACTÉRISTIQUES
DE LA CRIMINALITÉ INFORMATIQUE
Chapitre 1 : Problématique et méthodologie 17
1. Problématique 17
1.1. Position du problème 17
1.2. Évolution des moyens de sécurité 17
1.2.1. Dans les entreprises 17
1.2.2. Rôle des pouvoirs publics 18
1.3. Dynamique de l'informatisation 20
1.3.1. Aspects quantitatifs 20
1.3.2. Aspects qualitatifs 20
1.4. Impact sur l'entreprise 21
1.5. Tendances majeures 22
1.5.1. L'innovation technologique 22
1.5.2. Montée du risque humain 24
1.5.3. Le crime informatique interne à l'entre-
prise 24
1.5.4. Changement de la nature du crime
informatique 25
1.5.5. Hypothèses 25
1.5.5.1. Croissance des préjudices 26
5
1.5.5.2. Existence d'un important
chiffre noir 26
1.5.5.3. Aggravation des facteurs de
risques 26
1.5.5.4. Évolution des formes du crime 26
1.5.5.5. Politiques de sécurité 27
2. Méthodologie 27
2.1. Objet de l'étude 27
27 2.2. Intérêt d'une analyse prospective
2.3. Principes de la méthode 28
2.4. Étapes de la méthode 28
2.5. Intérêt de la méthode 30
2.6. Quelques applications de la méthode
Delphi 31
Chapitre 2 : Coûts et caractéristiques du crime
informatique 33
1. Types de risques 33
2. Définition du crime informatique 35
3. Difficultés de mesure du crime 36
3.1. Difficultés communes à la mesure de tous les
crimes 36
3.2. Difficultés de mesure propres au crime infor-
matique 38
4. Caractéristiques du crime informatique 40
4.1. France 40
4.1.1. Le Club de la Sécurité Informatique
Français 41
4.1.2. La Direction Centrale de la Police Judi-
ciaire 41
4.1.3. Les sources privées 49
4.1.3.1. Le Centre d'Études Socio-Eco-
nomiques 49
4.1.3.2. L'Agence pour la Protection
des Programmes 50
6
4.1.3.3. L'observatoire Infomart/Sofres . 50
4.1.3.4. Le Monde Informatique 50
4.2. A l'étranger 52
4.2.1. États-Unis 52
4.2.2. Grande-Bretagne 53
4.2.3. Allemagne 55
4.2.4. Pays-Bas 55
4.2.5. Enquêtes européennes 55
4.2.5.1. Enquête Arthur YOUNG 55
4.2.5.2. Enquête COOPERS et
LYBRAND 56
DEUXIÈME PARTIE :
PROSPECTIVE DE LA CRIMINALITÉ
INFORMATIQUE
A L'HORIZON 2005
Chapitre 1 : La mesure du crime 63
1. Préjudices réels 63
1.1. Approche optimiste : les préjudices multipliés
par environ deux 63
1.2. Approche pessimiste : les préjudices multi-
pliés par plus de trois 72
2. Estimation du « chiffre noir » 73
2.1. Sous-estimation des pertes de 100 à 200 % 73
2.2. Très forte sous-estimation des pertes 76
3. Taux de croissance des préjudices et part de la
malveillance 77
3.1. Évolution du taux de croissance des pertes 77
3.2. Croissance de la part de la malveillance 79
Chapitre 2 : Les moyens de sécurité 83
1. Marché de la sécurité 83
7
2. Diffusion des moyens de sécurité 87
2.1. Biométrie 87
2.2. Logiciels de contrôles d'accès logiques 89
2.3. Assurance 89
2.4. Attitudes des fournisseurs 91
2.5. Télésurveillance 93
2.6. Produits anti-virus 93
2.7. Cryptographie 93
2.8. Carte à mémoire 93
2.9. Méthodologies d'analyse et de réduction des
risques 93
Chapitre 3 : Les facteurs de risques 95
1. Facteurs d'aggravation des risques 95
1.1. Facteurs d'aggravation des tendances passées 95
1.2. Facteurs prévisibles d'aggravation de la vul-
nérabilité 98
2. Facteurs de réduction des risques 101
3. Vulnérabilité de secteurs économiques 106
Chapitre 4 : Caractéristiques du crime informatique. 111
1. Caractéristiques du crime informatique 111
1.1. Formes du crime informatique 111
1.2. Complexité du crime informatique 114
1.2.1. Tendance à l'augmentation de la com-
114 plexité du crime informatique
1.2.2. Une complexité relative 115
1.3. Rôle du crime organisé 116
1.4. Décalage entre l'imagination des fraudeurs et
les moyens de sécurité 117
1.5. Le problème des compétences des criminels 120
8
2. Typologie des criminels informatiques 121
3. Motivations 123
Chapitre 5 : Politiques de lutte contre le crime
informatique 127
1. Responsabilités de la lutte contre le crime
informatique 127
1.1. Rôle de l'État 127
1.2. Rôle des entreprises 129
1.3. Rôle des fournisseurs de produits et de ser-
vices 129
1.4. Rôle des utilisateurs 130
1.5. Rôle des informaticiens 131
2. Politiques de sécurité 131
2.1. Diffusion des politiques cohérentes de sécuri-
té 131
2.1.1. Situation actuelle 131
2.1.2. Évolution à quinze ans 132
2.2. Approches des entreprises 133
3. Politiques juridiques 134
Conclusion 137
ANNEXES 143
1. Liste des questions 145
2. Bibliographie 149
9
Introduction
Virus, piratage, fraude informatique, sabotage : qui n'a pas
à l'esprit au moins un exemple dans lequel l'ordinateur a été
utilisé à des fins criminelles ? Épiphénomène disent certains,
catastrophe affirment d'autres. Entre les deux, les observateurs
les plus réalistes s'efforcent d'analyser, de mesurer l'ampleur
du phénomène et de proposer des mesures pour le contenir, à
défaut de l'éliminer.
C'est d'autant plus urgent que les entreprises sont de plus
en plus dépendantes vis-à-vis de l'informatique, devenue dans
bien des domaines, et pour nombre de fonctions, stratégique.
Les informations véhiculées, sans parler des transferts de
fonds, constituent de véritables enjeux, pour qui y a accès sans
y être autorisé. Surtout pour les criminels qui y voient des
opportunités et des gains sans commune mesure avec les béné-
fices tirés des autres formes de crime.
Le crime informatique n'apparaît pas, du moins à l'heure
actuelle, comme un phénomène marginal (il coûte plusieurs
milliards de francs rien qu'en France), ni comme un cataclys-
me. En effet, les simples coûts de la fraude fiscale (environ
150 milliards de francs par an), des cambriolages ou de la
« criminalité routière » sont sans commune mesure. Il en est
de même lorsque l'on compare les préjudices liés au crime
informatique au montant du budget de l'État (plus de mille
milliards) ou au produit intérieur brut.
Contrairement à la plupart des cas cités précédemment, le
crime informatique peut atteindre en un seul « sinistre » des
coûts extrêmement élevés ou catastrophiques. Ses caractéris-
tiques laissent donc supposer, dans un univers d'intercon-
nexions et d'intégration des systèmes d'information, la possi-
bilité que surviennent des catastrophes nationales ou
internationales.
11 Les entreprises sont de plus en plus confrontées à ce phé-
nomène. A tel point que beaucoup s'y intéressent : à la fois les
entreprises et organisations informatisées, premières visées, les
fournisseurs de produits et de services de sécurité, ainsi que les
autorités policières et judiciaires, nationales ou internationales.
Tout phénomène criminel a, historiquement, fait l'objet
d'études. Depuis les analyses cliniques de la personnalité du
criminel au xixe siècle jusqu'aux théories criminologiques plus
ou moins modernistes de ces dernières décennies. Mais la
science criminologique ne s'adapte qu'avec retard : ainsi,
l'informatique n'entre pas encore de façon significative dans
son champ d'analyse.
Cela ne signifie pas que le crime informatique ne soit pas,
en lui-même, objet d'analyse. Un certain nombre d'études lui
ont été directement (ou le plus souvent indirectement) consa-
crées. Mais, dans presque tous les cas, elles se limitent à une
approche technique (techniques d'attaque et de protection des
systèmes informatiques ou, dans une approche plus large, des
systèmes d'information).
Il manque, dans les études actuelles, deux points essen-
tiels. D'une part, une approche criminologique qui permettrait
d'expliquer en profondeur le comportement des criminels
informatiques. D'autre part, une approche prospective, non
seulement sur le plan du concept même, mais aussi, et c'est
plus grave, sur les plans de la « réaction sociale » et de la
mise en place de mécanismes de prévention et de protection.
La présente étude se veut donc être une approche plus ori-
ginale par rapport à l'existant. La plupart des études actuelles
sont en effet basées sur des enquêtes dans les entreprises, d'où
la priorité donnée aux aspects techniques. Les études lourdes
sur plusieurs centaines ou milliers d'entreprises, outre leur
coût prohibitif, ne résolvent pas le problème de la représentati-
vité des échantillons choisis.
Ce type d'approche est d'ailleurs inadapté lorsque l'on
souhaite s'orienter vers une analyse prospective. Dans le cadre
de cette étude, nous avons retenu une méthodologie (la métho-
de Delphi) qui, si elle s'avère être relativement légère par rap-
port aux enquêtes classiques par questionnaire, n'en demeure
pas moins extrêmement performante vis-à-vis de l'objectif
retenu.
Il s'agit en effet de discerner les tendances probables
(quantitatives et qualitatives) de l'évolution de la criminalité
12 informatique dans les quinze prochaines années. L'horizon
2005 n'est ni trop proche (l'intérêt d'une approche prospective
s'en trouverait amoindri), ni trop éloigné.
Dans une première partie, outre la problématique et la
méthodologie, nous présenterons ce qui nous semble être un
préalable indispensable pour comprendre les enjeux et les
mécanismes du crime informatique, c'est-à-dire un rapide
bilan des connaissances actuelles de la criminalité informa-
tique :
—les coûts et les caractéristiques du crime informatique
tels qu'ils apparaissent à travers les études existantes.
La seconde partie sera consacrée à l'approche prospective
de la criminalité informatique. Elle regroupe les opinions des
onze experts ayant participé à l'enquête. Il s'agira, plus préci-
sément, d'apporter des éléments de réponse aux questions sui-
vantes :
—à combien peut-on estimer les préjudices réels liés au
crime informatique ?
— quelle sera l'évolution à l'horizon 2005 ?
—comment va évoluer le marché de la sécurité (valeur et
types de techniques) ?
—quels ont été et quels seront les facteurs d'aggravation
des risques et y-a-t-il des facteurs réducteurs de risques ?
— quels sont les secteurs économiques les plus touchés ?
—quelle est la structure actuelle de crime informatique et
comment va-t-elle évoluer ?
—la criminalité informatique deviendra-t-elle plus com-
plexe ?
— qui est et qui sera le plus impliqué ?
— comment réagiront les entreprises ?
— quels sont les rôles respectifs de l'État, des fournisseurs,
des entreprises, des utilisateurs, des informaticiens, dans la
lutte contre le crime informatique ?
—quand une législation européenne sera-t-elle opération-
nelle ?
—verra-t-on apparaître de nouveaux acteurs, tel que le
crime organisé ?
—faudra-t-il disposer de plus en plus de compétences pour
commettre un crime informatique ?
13 PREMIÈRE PARTIE
Problématique,
coûts et caractéristiques
de la criminalité informatique