Crime cybernétique … et châtiment ? Des lois archaïques menacent l’information dans le monde entier.

Qu’y a-t-il de différent avec la criminalité cybernétique ?

Nullement découragés par les perspectives d’arrestation et de poursuites judiciaires, les criminels cybernétiques du monde entier sont tapis dans le web comme une menace omniprésente pour la santé financière des entreprises, pour la confiance de leurs clients et constituent une nouvelle menace à la sécurité des nations. Les manchettes suscitées par les attaques cybernétiques réclament notre attention avec une fréquence de plus en plus grande. D’après le Computer Emergency Response Team Coordination Center (CERT-CC – Centre de coordination de l’Equipe de réaction aux urgences informatiques), le nombre de cas d’atteintes à la sécurité rapportés au cours des trois premiers trimestres de l’an 2000 a augmenté de 54 % par rapport au nombre total de ces atteintes pendant toute l’année 1999.1 De plus, d’innombrables cas d’accès illégal et de dégâts rencontrés dans le monde entier ne sont pas rapportés parce que les victimes ont peur de rendre publiques leurs vulnérabilités, à cause du potentiel pour des crimes par imitation et de la perte de la confiance du public.

Les crimes cybernétiques – actions nuisibles commises depuis un ordinateur ou un réseau contre d’autres – sont différents de la plupart des crimes terrestres de quatre façons. Il est facile d’apprendre à les commettre, ils réclament peu de ressources par rapport à leurs dégâts potentiels, ils peuvent être commis dans une juridiction sans présence physique effective su place et, souvent, ils ne sont pas clairement illégaux. Comme le montre le présent rapport, le droit de la plupart des pays n’interdit pas clairement les crimes cybernétiques. Souvent, les lois terrestres contre les actes physiques d’empiétement sur la propriété d’autrui et d’effraction pour obtenir un accès à cette propriété ne couvrent leurs homologues “virtuels”. Les pages web telles que les sites d’e-commerce récemment frappées par des attaques2 multiples de grande ampleur contre la prestation de leurs services peuvent ne pas être couvertes par des lois surannées qui ne les considèrent pas comme des formes protégées de la propriété. De nouvelles sortes de crimes peuvent passer à travers des lacunes comme les Philippins l’ont appris quand ils ont tenté de poursuivre en justice le responsable du virus Love Bug de mai 2000 qui a provoqué pour des milliards de dollars de dégâts dans le monde entier. La mis en application effective des lois est compliquée par la nature internationale du cyberespace. Les mécanismes de coopération transfrontaliers destinés à découvrir et à poursuivre les crimes sont complexes et lents. Les criminels cybernétiques peuvent défier les juridictions conventionnelles des pays souverains en lançant une attaque à partir de n’importe quel ordinateur où qu’il soit en traversnt nombre de frontières nationales, ou en mettant au point des attaques qui ont l’air de venir d’ailleurs. De telles techniques augmentent de façon spectaculaire tant les complexités techniques et juridiques que les enquêtes et les poursuites judiciaires.

Six semaines après l’attaque du virus Love Bug, les Philippines ont mis hors la loi la plupart des crimes informatiques dans le cadre d’une jurisprudence exhaustive pour le e-commerce. Cependant, en vue de prévenir une répétition de la catastrophe qui avait provoqué cette action, l’avenir du monde en ligne exige une approche plus active dans laquelle les gouvernements, les entreprises et le public collaborent pour élaborer des lois pouvant être mises à exécution afin de décourager tous les criminels cybernétiques sauf les plus déterminés.

Une mauvaise sécurité de l’information réduit les capacités de compétition des nations : Dans notre rapport d’août 2000, Risk E-Business : Seizing the Opportunity of Global E-Readiness (Tenter le e-business : sauter sur les occasions fournies par la e-préparation du monde), McConnell International classait les capacités des économies de niveau moyen pour la participation à l’économie numérique3. En étudiant la sécurité de l’information dans le monde, ce rapport évaluait la confiance du public dans la sécurité de l’information traitée et emmagasinée dans les réseaux de chaque pays. Dans ce contexte, la sécurité de l’information comprenait : une évaluation de la force des protections juridiques et des progrès dans la protection des droits de propriété intellectuelle, en particulier pour les progiciels ; l’étendue des efforts entrepris en vue de protéger contre les intrusions électroniques ainsi que la force et l’efficacité du cadre juridique et réglementaire destiné à autoriser les signatures numériques. Ce rapport examinait auss l’existence de cadres juridiques destinés à l’engagement de poursuites judiciaires contre les criminels cybernétiques car un environnement prévisible et fortement dissuasif est vital pour l’efficacité de la protection de l’information et des réseaux de valeur.

Bien qu’il ait été constaté que plusieurs pays, notamment en Europe et en Asie, se sont attaqués à ces vastes éléments de la sécurité de l’information, peu ont été capables de démontrer que des mesures juridiques adéquates avaient été prises en vue d’assurer que les perpétrateurs de crimes cybernétiques devraient répondre de leurs forfaits. En gros, près de la moitié des pays compris dans l’étude ont été classés dans la catégorie qui nécessite une amélioration substantielle de la sécurité de l’information. En outre, seule une petite minorité de pays ayant besoin d’une amélioration sérieuse ont indiqué que des progrès étaient actuellement en cours. Les lois et règlements surannés ainsi que les mécanismes d’exécution faibles pour la protection de l’information emmagasinée dans les réseaux créent un environnement inhospitalier pour s’adonner au e-business à l’intérieur d’un pays et à travers les frontières nationales. Une protection juridique inadéquate de l’information numérique peut créer des obstacles aux échanges de données et bloquer la croissance du e-commerce. Comme l’expansion du e-business est mondiale, les besoins en moyens forts et cohérents de protection de l’information emmagasinée dans les réseaux vont augmenter.

Les droits nationaux en matière de criminalité cybernétique : En se fondant sur les constatations de son rapport du mois d’août 2000 et à la suite de l’incapacité des Philippines de poursuivre en justice le jeune auteur du virus “I Love You”, McConnell International a fait appel à son réseau mondial d’officiels des politiques en rapport avec la technologie de l’information en vue de déterminer la situation des lois sur la sécurité cybernétique dans le monde entier. Il a été demandé aux différents pays de faire état de leurs lois qui pourraient être utilisées pour poursuivre les auteurs d’actes criminels perpétrés à l’aide d’ordinateurs des secteurs public ou privé.

Plus de cinquante gouvernements nationaux4 ont répondu en faisant part de textes de lois récents, de jurisprudences mises à jour, de projets ou propositions de loi à l’étude ou de déclarations selon lesquelles aucune mesure n’a été prévue pour réagir en cas d’attaque cybernétique contre les secteurs public ou privé. Il a été donné aux différents pays l’occasion d’examiner la présentation des résultats avant leur publication, et le présent rapport reflète leurs commentaires. Les pays qui ont fait état de textes de loi ont été évalués en vue de déterminer si leur jurisprudence criminelle a été étendue au cyberespace pour couvrir dix types différents de crimes cybernétiques dans quatre catégories : les crimes en rapport avec les données, dont l’interception, la modification et le vol ; les crimes en rapport avec les réseaux, dont les interférences et le sabotage ; les crimes d’accès, dont les effractions informatiques et la diffusion de virus ; ainsi que les crimes connexes en rapport avec les ordinateurs, dont la complicité avec les criminels, la fraude et la contrefaçon informatiques. Trente trois des pays examinés n’ont pas encore mis leurs lois à jour pour pouvoir s’attaquer à une sorte ou une autre de crime cybernétique. Parmi les autres, neuf ont adopté des textes de loi destinés à s’en prendre à au plus cinq types de crimes cybernétiques et dix ont mis leurs lois à jour en ce qui concerne au moins six des dix types.

Les textes complets de ces jurisprudences ou des extraits de ces textes sont disponibles sur la page web de McConnell International, . Au Canada, les poursuites réussies sur la fraude informatique ont pertinemment mis à jour la loi. Le Canada fournit également un exemple d’un phénomène caracteristique de plusiers pays – où il existe la confiance forte que les lois existantes seront suffisante contre les crimes connexes de la complicité, et de fraude et contrefaçon informatiques. Même parmi ces pays, les crimes ne sont pas traités avec uniformité. Dans certains, l’accès non autorisé est un crime seulement si l’intention de nuire est présente ; dans d’autres, le vol de données est un crime seulement si les données sont en rapport précis avec la religion ou la santé des individus ou encore si l’intention est frauduleuse. Les lois tendent à être partiales en favorisant la protection des ordinateurs du secteur public. Beaucoup des lois examinées interdisent les crimes commis avec ou contre des ordinateurs du gouvernement mais ne fournissent pas de protection semblable à ceux du secteur privé. Il existe aussi des différences à l’intérieur d’un même pays. En septembre 2000 par exemple, le parti démocrate de l’Australie a critiqué le gouvernement de l’état d’Australie méridionale pour sa création d’un refuge pour les criminels cybernétiques en ne mettant pas à jour ses lois destinées à lutter contre les crimes en rapport avec les ordinateurs, contrairement aux autre états du pays. De plus, il y a peu d’uniformité entre les différents pays en matière de type des crimes pris en compte par les jurisprudences mises à jour.

Les pénalités encourues au titre de celles-ci sont très différentes les unes des autres. Maurice, les Philippines et les Etats-Unis d’Amérique prévoient des pénalités fortes en cas de dissimulation d’un crime cybernétique.

Enfin, parmi les 33 pays qui ne disposent pas de lois mises à jour, 13 ont indiqué que des progrès vers l’adoption de telles lois destinées à lutter contre l criminalité cybernétique sont en cours. Sept de ces 13 pays sont en Afrique ou au Moyen-Orient ce qui laisse à penser que, bien que ces régions ne se sont pas encore adéquatement attaquées aux questions de criminalité cybernétique, de nombreux pays sont conscients de la nécessité de prendre des mesures :

Albanie : L’Autorité de réglementation des télécommunications a ouvert des discussions cette année sur le sujet des lois cybernétiques avec pou but de préparer des protocoles de collaboration et d’échange d’informations.

Cuba : Un groupe de travail du Ministère de la justice a prévu des modifications au Code pénal.

Gambie : Le gouvernement prépare une initiative nationale sur la technologie de l’information bien que les capacités d’élaboration d’un cadre juridique soient limitées.

Iran : Depuis six ans, l’Iran examine divers aspects du droit cybernétique bien qu’aucune loi ni aucun règlement en rapport avec les délits informatiques n’ait été mis en vigueur. Les domaines envisagés sont les suivants : délits informatiques, questions de propriété intellectuelle, protection du secret et des données ainsi que liberté de l’information.

Kazakhstan : Des corps d’Etat sont en train d’élaborer une loi en rapport avec les délits cybernétiques. Un programme spécial d’Etat est aussi en cours de mise au point, il porte sur la protection des ressources de l’information, compris la protection technique et celle des progiciels.

Lettonie : Des amendements au Code criminel ont été rédigés, ils envisagent des pénalités considérables pour les actes criminels en rapport avec l’informatique. Des additions correspondantes devraient être faites au Code des délits administratifs.

Lesotho : Le gouvernement a mis sur pied des groupes d’intérêts spéciaux en vue d’examiner différents aspects de l sécurité de l’information en rapport avec le e-commerce.

Malte : En mai 2000, Malte a rendu public son but de fournir un solide cadre légal pour le e-commerce, la protection des données et le détournement de l’usage des ordinateurs. Les projets de loi pertinents en vue d’élaborer un cadre législatif destiné aux pratiques de l’information ont été publiés en septembre 2000 et ils seront discutés au parlement dans les prochains mois.

Maroc : Au Maroc, il existe une commission interministérielle parrainée par le premier ministre et qui travaille sur les questions de sécurité.

Nouvelle- Zélande : Pour le moment, il n’existe pas de délits ni de crimes informatiques dans le pays. Cependant, une loi Zélande* d’amendement sur les crimes (No. 6) est en cours de rédaction.

Soudan : Le gouvernement prévoit d’inviter des juristes, des législateurs et des professionnels de l’informatique à un atelier où des idées sur l nature des crimes informatiques et les moyens de les traiter en utilisant les codes juridiques appropriés seront échangées.

Vietnam : Le Vietnam est en train de collecter de l’information en vue de faire des propositions d’amendements à ses lois.

Zambie : Le gouvernement a rendu public un projet de loi sur les télécommunications et un conseil sur la technologie de l’information.

Le droit constitue seulement une partie de la réponse : L’extension du droit au cyberespace est une étape vitale pour la création d’un environnement digne de confiance pour les personnes et les entreprises. Comme cette extension est seulement un travail en cours, aujourd’hui les organisations doivent d’abord et avant tout défendre leurs propres systèmes et leur information contre les attaques, viennent-elles de l’extérieur ou de l’intérieur.Les organisations peuvent seulement compter à titre secondaire su la dissuasion qui pourrait être fournie par une mise en application efficace du droit.

Pour disposer de cette autoprotection, les organisations doivent se concentrer sur la mise en oeuvre de plans de sécurité cybernétiques dirigés vers les questions de personnes, de procédés et de technologie. Les organisations doivent allouer les ressources nécessaires pour éduquer leurs employés sur les pratiques de sécurité, mettre au point des plans exhaustifs pour le traitement des données, archives et transactions confidentielles, et incorporer de robustes technologies de sécurité – telles que les murs coupe-feu, les progiciels antivirus, les outils de détection des intrusions et les services d’authentification – dans tous leurs systèmes informatiques. L’emploi de ces outils de protection des systèmes – les progiciels et le matériel d défense des systèmes d’information – est complexe et onéreux. En vue d’éviter les ennuis et les dépenses, les fabriquants et les exploitants de systèmes laissent habituellement les dispositifs de sécurité “éteints”, ce qui augmente sans raison la vulnérabilité de l’information emmagasinée. Des bogues et des failles dans la sécurité dont les remèdes sont pourtant connus sont habituellement laissés tels quels. En outre, il n’existe pas de normes générales pour l’évaluation de la qualité des outils, ni de méthodologie agréée pour permettre aux organisations de déterminer la hauteur convenable des investissements dans la sécurité. L’incapacité de quantifier les coûts et les avantages des investissements dans la sécurité de l’information placent les responsables de la sécurité dans une position défavorable dans la concurrence pour l’allocation des ressources des organisations. Il reste beaucoup à faire pour améliorer la gestion et les solutions techniques de la protection de l’information.

Des efforts sont partout en cours dans les domaines de la prévention, des réactions et de la coopération. Dans le monde entier, divers secteurs ont mis sur pied des centres de partage et d’analyse de l’information dans le but d’échanger en temps réel des informations sur les menaces, les vulnérabilités, les attaques et les contre-mesures. Un récent Sommet mondial de l’information organisé par l’Alliance mondiale pour la technologie et les services d’information (World Information Technology and Services Alliance – a rassemblé des représentants du secteur informatique, de gouvernements et d’organisations multilatérales couvrant divers secteurs économiques en vue d’échanger de l’information et de mettre sur pied des partenariats. Après le sommet, des groupes de travail sont maintenant en train de mettre au point des approches coopératives au traitement des problèmes les plus graves de la sécurité de l’information. Les résultats de ces travaux seront étudiés lors d’un deuxième sommet à Belfast en mai 2001. Ce dernier offrira aussi l’occasion de réexaminer les progrès effectués par les gouvernements dans la mise à jour de leurs lois concernant les crimes cybernétiques.

Conclusions :

1. Compter sur les lois terrestres constitue une approche qui n’a pas encore été mise à l’épreuve. Malgré les progrès en cours dans de nombreux pays, la plupart des gouvernements comptent toujours sur le droit terrestre ordinaire pour poursuivre les criminels cybernétiques, c’est-à-dire sur des jurisprudences archaïques qui datent d’avant la naissance du cyberespace et qui n’ont pas encore été mises à l’épreuve devant des tribunaux.

2. Des pénalités faibles limitent la dissuasion. Dans la plupart des jurisprudences non mises à jour, la faiblesse des pénalités limite la dissuasion pour des crimes qui peuvent avoir des conséquences économiques et sociales à grande échelle.

3. L’autoprotection reste la première ligne de défense. La faiblesse générale des jurisprudences augmente l’importance des efforts du secteur privé en vue mettre au point et d’adopter des solutions techniques et des pratiques de gestion solides et efficaces pour la sécurité de l’information.

4. Un patchwork mondial de lois crée peu de certitudes. Il n’y a pas beaucoup de consensus entre les pays en ce qui concerne les crimes contre lesquels des lois doivent être adoptées. La Figure 2 montre le genre de lacunes qui restent, même parmi les 19 pays qui ont déjà pris des mesures destinées à s’attaquer à la criminalité cybernétique. Dans un monde en ligne, il n’existe plus d’îles. A moins que les crimes soient définis de manière semblable dans toutes les juridictions, les efforts de coordination des officiels de l’exécution des lois en vue de lutter contre la criminalité cybernétique seront compliqués.

5. Une approche modèle est nécessaire. La plupart des pays, en particulier dans le monde en développement, cherchent un modèle à suivre. Ces pays reconnaissent l’importance de la mise hors la loi rapide des actes nuisibles en rapport avec l’informatique en vue de promouvoir un environnement sûr pour le e-commerce, mais il en est peu qui disposent des ressources juridiques et techniques nécessaires pour s’attaquer aux complexités de l’adaptation des lois terrestres au cyberespace. Un partenariat coordonné entre secteurs public et privé et destiné à produire une approche modèle pourrait aider à éliminer les dangers potentiels résultant de la création par inadvertance de refuges pour les criminels cybernétiques.

Recommandations :

La faiblesse des protections légales, dans le monde entier, contre la criminalité cybernétique suggère trois sortes d’actions.

1. Les entreprises doivent sécuriser l’information contenue dans leurs réseaux. Les lois destinées à faire respecter les droits de propriété sont efficaces seulement quand les propriétaires prennent d’abord des mesures raisonnables pour protéger leur propriété. Comme l’a noté un observateur, si les propriétaires de maisons n’achetaient pas de serrures pour leurs portes, les villes devraient-elles résoudre le problème en adoptant davantage de règlements et en recrutant davantage de policiers ? Même quand les lois sont adéquates, les entreprises qui dépendent du réseau doivent sécuriser leur propre information et leurs systèmes. Et là où nous sommes encore loin de disposer de lois applicables, c’est-à-dire dans la plupart des pays, cette responsabilité est encore plus significative.

2. Les gouvernements doivent s’assurer que leurs lois sont adaptées à la criminalité cybernétique. Les gouvernements nationaux restent l’autorité dominante pour la réglementation des comportements criminels dans la plus grande partie du monde. Un pays a déjà commencé la lutte et finalement a amélioré son autorité juridique après une confrontation avec les défis particuliers que présente la criminalité cybernétique. Il est crucial que d’autres pays profitent de cette expérience et examinent leurs lois en vigueur en vue de déterminer si elles sont rédigées de manière technologiquement neutre et donc excluent les poursuites contre les criminels cybernétiques. Dans de nombreux cas, ils constateront que les lois en vigueur doivent être mises à jour. L’adoption de lois efficaces contre la criminalité informatique mais respectant aussi les droits des individus constitue la prochaine étape essentielle dans la lutte contre cette nouvelle menace.

3. Les entreprises, les gouvernements et la société civile doivent travailler la main dans la main au renforcement de leurs cadres juridiques pour la sécurité cybernétique. Pour que des poursuites puissent franchir des frontières, il faut qu’il s’agisse de crimes dans chaque juridiction. C’est pourquoi, bien que les traditions juridiques locales doivent être respectées, les pays doivent définir les crimes cybernétiques de manière semblable. Un important effort d’élaboration d’une approche modèle est en cours au Conseil de l’Europe ( qui regroupe 41 pays. Le Conseil élabore une Convention internationale sur la criminalité cybernétique. Cette convention porte sur l’accès illégal, l’interception illégale, l’interférence dans les données, l’interférence dans les systèmes, la contrefaçon informatique, la fraude informatique et la complicité dans ces crimes. Elle traite aussi des question en rapport avec les enquêtes dans leurs relations avec les juridictions, avec les extraditions, l’interception des communications ainsi que la production et de la préservation des données. Enfin, elle encourage la coopération entre les officiels de l’exécution des lois à travers les frontières nationales.

Tardivement au cours de ce processus, le Conseil a commencé à examiner les avis des secteurs intéressés et de la société civile. Ceci rend le produit du Conseil plus réaliste, efficace, équilibré et respectueux des droits des personnes. A ce point, la plupart des observateurs soutiennent les clauses destinées à l’amélioration de la coopération des agences d’exécution des lois à travers les frontières. Le secteur, cependant, par le biais de l’Alliance mondiale pour la technologie et les services de l’information (www.witsa.org/press/), fait valoir que les exigences de surveillance des communications et d’assistance aux enquêteurs imposées aux prestataires de services, telles qu’elles figurent dans le projet de convention, sont incommodes et onéreuses. Une autre clause considérée comme discutable pourrait criminaliser l création et l’emploi de progiciels d’intrusion, ou programmes de pénétration, qui auraient des objectifs légitimes de mise à l’épreuve de la sécurité. Cette action pourrait étouffer dans l’oeuf les progrès technologiques essentiels pour lutter contre l’évolution des menaces cybernétiques. Les militants du secret et des droits de l’homme (www.gilc.org) reprochent au projet de convention de manquer de garanties dans les procédures et de respect des droits individuels, ainsi que la possibilité de voir les lois nationales qui s’ensuivront placer des limites effectives sur le secret, l’anonymat et l’emploi de codes secrets.

Le Conseil de l’Europe prévoit la publication du projet finalisé en décembre 2000. En 2001, un processus politique impliquant les gouvernements nationaux doit déterminer l’étendue et la couverture de la Convention finale. A cause du potentiel international de la criminalité cybernétique, tous les pays et toutes les compagnies sont affectés. Les parties intéressées, dont des gouvernements non européens et des entreprises et organisations non gouvernementales du monde entier, doivent prendre vigoureusement part à un processus de consensus destiné à élaborer des mesures de soutien à l’application effective du droit international et de promotion continue de la croissance et de l’innovation.

Qu’est-ce que McConnell International ?

McConnell International (MI) est une firme mondiale de consultants en politique des technologies et en gestion qui aide ses clients à saisir les occasions offertes par la nouvelle économie. Son approche éprouvée de l’emploi de réseaux publics et privés dignes de confiance en vue de compenser les risques du e-business et du e-gouvernement donne à ses clients un avantage unique. MI dirige actuellement le réseau mondial, parrainé par les Nations unies, des officiels de la politique Internet de 120 pays.

Quelle est la mission de MI ?

La mission de MI est l’impact de la e-préparation. Parvenir à de hauts niveaux de e-préparation permet à ses clients de devenir des leaders mondiaux dans le secteur de l’électronique et le secteur public.

Que fait MI ?

McConnell International positionne ses clients des grandes entreprises et du secteur public de sorte qu’ils puissent tirer le maximum d’avantages de la nouvelle économie en trouvant des solutions à l’intersection des affaires, de la bonne administration et de la technologie. MI sert ses clients au moyen de :

Conseils stratégiques.Emploi des connaissances disponibles les plus récentes sur la situation changeante du e-business et du e-gouvernement en vue de concevoir des projets et de mettre en oeuvre des stratégies qui bénéficieront de ces changements.

Etablissement de partenariats et ouverture de portes. Identification de partenaires pour des projets de technologie de la communication et de l’information afin d’aider les gouvernements et les entreprises à former des alliances.

Visibilité internationale. Promotion des entreprises et des gouvernements en tant qu’innovateurs et leaders dans la nouvelle économie. Recherche et analyse. Prise de décisions saines et promotion de changements positifs fondés sur les connaissances approfondies de MI sur le monde en ligne et ses évaluations publiées, dont le rapport d’août 2000 sur la e-préparation et celui de décembre 2000 sur la criminalité informatique. Un deuxième rapport sur la e-préparation sera publié en mars 2001.

Conception de projets. Identification et lancement d’initiatives dans les marchés actuels et nouveaux avec pour résultat une plus grande clientèle, des partenaires plus forts et des revenus plus élevés.

En quoi MI est-il unique ? MI dispose de références de classe mondiale dans la solution de difficiles problèmes internationaux en matière de gestion de grandes organisations et son expertise dans le domaine du climat du e-business est reconnue par les médias internationaux. MI se distingue grâce à :
sa concentration sur les seuls e-business et e-gouvernement,

son exploitation d’un réseau de politique Internet de gouvernement à gouvernement,

son énergie, son agilité et son appréciation de l’absurde, l’expérience de Bruce McConnell et de Roslyn Docktor, qui ont dirigé le Centre international de coopération sur le bogue de l’an 2000.

1. Voir www.cert.org. Il n’y a toujours pas de statistiques mondiales bien que les organisations suivantes suivent aussi les incidents rapportés : National Infrastructure Protection Center (NIPC – Centre national de protection de infrastructures -www.nipc.gov) ; Computer Security Institute (CSI – Institut pour la sécurité informatique : www.gocsi.com) et Internet Fraud Complaint Center (Centre des plaintes pour fraudes sur l’Internet ).

2. Parmi les victimes d’attaques récentes, on compte Yahoo, CNN Interactive, Amazon.com, eBay, Datek Online, E Trade, ZDNet et Buy.com.

3. Le rapport évaluait la connectivité, le e-leadership, la sécurité de l’information, le capital humain et le climat de l’e-business.