"Les cyberattaques, toujours plus puissantes et plus sophistiquées, constituent désormais une source majeure de tensions entre les États."

Entretien avec Karine Bannelier-Christakis
Société Article
Karine Bannelier-Christakis en 2017 ©Thierry Morturier
Karine Bannelier-Christakis est maître de conférences habilitée à diriger des recherches en droit international à l’Université Grenoble Alpes. Elle conduit ses recherches au Centre d’études sur la sécurité internationale et les coopérations européennes (CESICE) et s’intéresse notamment à la cybersécurité.

Karine Bannelier-Christakis est membre de plusieurs réseaux internationaux de recherche sur la cybersécurité. Elle est cofondatrice de l'Alpine Multidisciplinary NEtwork on CYber Security studies (AMNECYS) considéré comme l’un des deux "principaux groupes de recherche français sur les enjeux du numérique" dans la "Stratégie internationale de la France pour le numérique" publiée par le gouvernement français au mois de décembre 2017. Elle est aussi co-porteuse du projet IDEX Grenoble Alpes Cybersecurity Institute labellisé en janvier 2018. Elle a publié une cinquantaine d’ouvrages et articles scientifiques en droit international et droit de la cybersécurité. Elle est co-auteure de l’ouvrage Cyberattaques : Préventionréactions. Rôle des États et des acteurs privés (Cahiers de la Revue Défense Nationale), étude préparatoire à la conférence internationale "Construire la paix et la sécurité internationales de la société numérique" organisée par le gouvernement français à l’UNESCO et lauréat du prix "Cyberdéfense" du 10e Forum international de la cybersécurité (2018).

Qu’est-ce qu’une cyberattaque ? Quels sont les risques encourus ? Les infrastructures critiques, comme les hôpitaux, les banques, sont-elles à l’abri de ce type de menace ?

Karine Bannelier-Christakis. Il n’existe pas de définition universellement admise de la cyberattaque, toutefois on s’aperçoit que les approches retenues sont volontairement très larges. Selon par exemple le Canada, "Les cyberattaques comprennent l’accès involontaire ou non autorisé à des renseignements électroniques et/ou des infrastructures électroniques ou matérielles utilisés pour traiter, communiquer ou entreposer cette information, ainsi que leur utilisation, leur manipulation, leur interruption ou leur destruction (par voie électronique)". Les risques associés à ces attaques sont nombreux dans la mesure où l’informatique est essentielle à l’activité de notre société : cela va des transports à la santé en passant par l’énergie, l’industrie, la recherche ou encore l’eau potable. Le coeur même de notre société démocratique, notamment nos processus électoraux, peut être impacté par une cyberattaque.

Les conséquences de ces attaques, notamment lorsqu’elles touchent les infrastructures vitales des États, peuvent donc être extrêmement lourdes, sur un plan économique bien sûr, mais pas seulement. Par exemple, une attaque de rançongiciel comme celle de WannaCry a lourdement impacté aussi bien des banques en Espagne, des sites industriels en France, la compagnie ferroviaire nationale allemande, des hôpitaux en Grande-Bretagne...

De façon générale, on assiste à une hausse spectaculaire des actes de malveillance informatique qui impliquent, comme le souligne l’Agence nationale de la sécurité des systèmes d’information (ANSSI), des États comme des acteurs privés. Ces attaques sont aussi toujours plus puissantes, plus sophistiquées et constituent désormais une source majeure de tensions entre les États. Une étude récente de l’Union européenne montre ainsi qu’en 2016, 4000 attaques de rançongiciels ont été lancées quotidiennement à travers le monde, ce qui représente une augmentation de 300% par rapport à l’année précédente… Et les cyberattaques ne se limitent pas aux rançongiciels. Le développement d’objets connectés grand public (caméras, jouets, ustensiles ménagers…) représente un énorme défi car leurs failles peuvent être utilisées à l’insu de leur propriétaire pour servir de relais à des cyberattaques. 

Comment peut-on s’en protéger ? Quels sont les grands enjeux du point de vue du droit international ?

L’application de règles et principes conçus bien avant l’avènement du numérique, nécessite un travail important d’interprétation et de transposition.


K. B-C.
Sur un plan scientifique et technique, il y a bien sûr la mise au point et le développement de protections, de bonnes pratiques en matière d’hygiène informatique. Mais la sécurité du numérique est aussi un enjeu important pour le droit international car le cyberespace est un domaine international par excellence. Quand on regarde la situation, l’image d’un Far-West numérique où tout est permis vient immédiatement à l’esprit. Pourtant, une étape très importante a été franchie par le Groupe d’experts gouvernementaux des Nations Unies (GGE) sur la cybersécurité qui a reconnu l’application du droit international à l’espace numérique, notamment la Charte des Nations Unies et ses grands principes comme l’interdiction du recours à la force, l’obligation de non-ingérence et le principe de due diligence.

Selon ce dernier principe, les États ont l’obligation de ne pas laisser les activités qui sont conduites sur leur territoire, sous leur juridiction ou sous leur contrôle porter atteinte aux droits d’autres États. Le concept de "cyber-diligence" qui exprime cette obligation dans l’espace numérique a un rôle central à jouer car il exige que les États, à condition qu’ils aient connaissance et selon leurs capacités respectives, prennent les mesures raisonnables pour prévenir et/ou faire cesser les cyberattaques lancées depuis leur territoire ou leurs infrastructures (ou qui y transitent) et ceci quel que soit l’auteur de l’attaque, qu’il s’agisse d’une personne publique ou privée, nationale ou étrangère. L’obligation de due diligence, qui est une obligation de moyen et non de résultat, vise ainsi à responsabiliser les États notamment ceux qui seraient tentés de devenir des "cyber paradis" ou qui chercheraient trop facilement à se dédouaner de toute responsabilité en cas de cyberattaque. Comme on le comprend toutefois, l’application de règles et principes conçus bien avant l’avènement du numérique, nécessite un travail important d’interprétation et de transposition. À quel moment par exemple peut-on considérer qu’un État a pris les mesures raisonnables à sa disposition pour prévenir ou réagir à une cyberattaque ? Doit-il légiférer pour interdire et pénaliser ces attaques ? Doit-il prendre des mesures pour sécuriser ses infrastructures numériques ? Le piratage dont a été victime le parti démocrate lors des dernières élections américaines constitue-t-il une violation de l’obligation de non-ingérence ? Peut-on prouver que cette attaque était pilotée par un État (la Russie) ? Et/ou que ce dernier n’a rien fait pour l’empêcher ? Au-delà, il y a aussi toute la question de l’adoption de nouvelles règles internationales destinées à résoudre des problèmes nouveaux qui ne trouvent pas de réponse satisfaisante dans l’état actuel du droit. Le chantier est immense avec d’importants travaux qui sont actuellement conduits associant les États, les organisations internationales, les entreprises, la société civile et les chercheurs des différents champs disciplinaires (sciences sociales, cryptologie, informatique...).

Quels sont les défis pour les années à venir en matière de cybersécurité ?

K. B-C. Ils sont extrêmement nombreux… Je me limite ici à quatre. Le premier concerne le renforcement des processus de certification des produits et de ce que l’on appelle la security by design qui font actuellement l’objet de très grands débats au sein de l’Union européenne. Il y a aussi toute la question de l’attribution des attaques. En effet, si on veut réagir à une cyberattaque sur un plan technique comme légal, il faut être capable d’attribuer précisément cette attaque. Le problème, c’est que souvent les États se cachent derrière des personnes privées, des proxies pour conduire ces attaques. À cet égard, le principe de cyber-diligence est intéressant car il permet d’engager la responsabilité d’un État et de réagir contre celui-ci à partir du moment où on prouve que l’attaque a été lancée ou a transité depuis les infrastructures de cet État et que celui-ci, alors qu’il savait et pouvait agir, n’a pris aucune mesure à sa disposition pour la prévenir ou l’arrêter, sans qu’il soit donc nécessaire de démontrer que l’État luimême a dirigé ou contrôlé l’attaque. Le troisième défi, c’est de réguler l’énorme business qui se développe autour de l’attaque informatique.

Les entreprises qui commercialisent des 0 days (failles informatiques non corrigées) fleurissent et certaines vendent non seulement ces failles mais également les moyens de les exploiter. On voit ainsi des États dépenser des milliards pour acquérir ces failles pour les utiliser à des fins stratégiques. Dans plusieurs affaires, des entreprises américaines ont appris par des leaks (et trop tard) des failles informatiques les concernant pourtant bien connues de leur gouvernement mais qui ne les avaient pas informées… il y a aussi la pratique inquiétante du hacking back où des entreprises proposent à des "victimes", réelles ou fictives, des prestations permettant d’attaquer en retour un attaquant supposé. Au-delà de tous les risques d’erreur, d’escalade de la violence et d’abus, ces activités portent atteinte aux pouvoirs des États et au monopole de la violence légitime. Il faut donc s’interroger sur la nécessité d’adopter de nouvelles règles, visant par exemple à interdire ou à encadrer le hack-back ou encore trouver des mécanismes juridiques mais aussi des leviers économiques pour inciter à la divulgation des failles informatiques auprès des entreprises concernées afin qu’elles puissent prendre au plus vite les mesures nécessaires pour les résoudre. Il y a enfin un véritable enjeu de gouvernance. En juillet 2017, les négociations au sein du GGE de l’ONU ont en effet connu un coup d’arrêt brutal et ceci dans un contexte de tensions importantes. Cet échec du GGE laisse la régulation du cyberespace sans forum centralisé et pourrait rapidement conduire à un émiettement des principes et normes applicables dans le cyberespace. Il est donc urgent de trouver un nouvel espace de coopération qui fasse consensus. Nous avons ainsi proposé la création au sein de l’OCDE, d’un Global forum sur la cybersécurité réunissant les États, les entreprises, les chercheurs et la société civile. L’OCDE est en effet l’une des premières organisations internationales à s’être saisie de la question de la cybersécurité et accueille déjà différentes institutions souples et autonomes pour gérer des questions qui relèvent de la coopération internationale. La mission de ce forum pourrait ainsi être de promouvoir des normes de comportement responsable pour les États et le secteur privé en développant des codes de conduite, des mesures de confiance, et des protocoles de notification tout en favorisant l’émergence d’instruments juridiques voire de mécanismes de contrôle.

 


Publié le29 janvier 2018
Mis à jour le29 janvier 2018