L’enjeu de la cybersécurité en temps de guerre
Suite aux récents évènements, les cyberattaques ciblées se multiplient. Si au début, il s’agissait a priori plus de conséquences de frappes (impact des bombes), que de réelles opérations de cybercriminalité, la situation pourrait très vite dégénérer.
Dernièrement, il est fait état d’une attaque par déni de service (DDos) sur le satellite civil KA-SAT, ce qui a pour conséquence de priver de nombreux individus d’un accès internet. Pour l’instant, il est impossible d’attribuer cette potentielle cyberattaque à un pays précis. Toutefois, il convient de retenir que dans un monde toujours plus interconnecté, les menaces cyber deviennent le fer de lance des oppresseurs.
1- Qu’est-ce qu’une attaque DDos ?
Une attaque par déni de service distribué (Distributed Denial of Service attack) a pour but de rendre indisponible un service en le submergeant de requête. Cela provoque une panne dudit service et empêche les utilisateurs légitimes de l'utiliser.
2- Un encadrement juridique sibyllin en matière de cybercriminalité :
Après analyse du cadre juridique du sujet, il est possible de constater que celui-ci est très dispersé. Tout d’abord hybride, il existe des normes nationales ainsi que des normes supra nationales pour réguler la Cybercriminalité. La France s’est par exemple mobilisée sur la protection des données à caractère personnel avec la loi informatique et liberté de 1978 ou encore avec la loi du 5 janvier 1988 relative à la fraude informatique dite loi Godfrain qui a permis de construire un corpus pénal pour lutter contre les atteintes aux systèmes de traitement automatisé de données (STAD). Il existe également des textes internationaux, le texte fondateur en la matière est la Convention sur la Cybercriminalité signée à Budapest en 2001, qui contraint à ériger en infraction pénale « l’entrave grave, intentionnelle et sans droit, au fonctionnement d’un système informatique, par l’introduction, la transmission, l’endommagement, l’effacement, la détérioration, l’altération et la suppression de données informatiques ».
Or, cette multiplication des textes rendent l’appréhension du cadre juridique très difficile.
Ce cadre juridique est également évolutif, il y a une obligation d’adaptation. En effet, les textes peuvent se révéler vite dépassés et font l’objet de révisions régulières pour s’adapter au mieux aux menaces.
3- Le renforcement nécessaire de la cybersécurité dans la pratique :
Le BCI (Business Continuity Institute) dans son « Cyber Resilience Report 2021 », a pu constater que « d’une année sur l’autre, la cybercriminalité figure en tête de liste des risques futurs et qu’elle reste une préoccupation omniprésente pour les experts comme pour les entreprises ».
Les crispations géopolitiques récentes sont l’illustration que le renforcement des capacités en matière de cybersécurité est primordial. La guerre se pratiquant aussi dans le cyber.
Cette notion de cybersecurité se définit comme « la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles » (définition issue de la directive UE 2016/1148 du 6 juillet 2016, dite directive SRI).
Les conséquences de ces Cyber-attaques sont extrêmement dommageables pour les victimes. En temps de guerre, elles provoquent la désorganisation des services, l’inacessibilité de sites gouvernementaux comme celui du ministère de la Défense, des affaires étrangères, mais aussi des banques etc.
L’ANSSI (autorité nationale en matière de sécurité et de défense des systèmes d'information) est venue anticiper les éventuels effets néfastes que pourraient engendrer le conflit dans le Cyberespace. L’autorité Française a donc mis en place une liste de 5 mesures Cyber préventives prioritaires comprenant par exemple le renforcement de l’authentification sur les systèmes d’information, l’accroissement de la supervision de sécurité ou encore l’établissement d’une liste priorisée des services numériques critiques de l’entité. A ce titre, elle rappelle que « la mise en œuvre de mesures de Cybersécurité et le renforcement de vigilance sont essentielles pour garantir la protection au bon niveau des organisations ».
Néanmoins, elle ajoute que ces mesures ne pourront être efficaces que si celles-ci s’inscrivent dans « une démarche de Cybersécurité globale et de long terme ». En effet, cette question importante de la Cybersécurité ne doit plus être laissée de côté, une prise de conscience sérieuse et collective sur ces enjeux doit émerger que ce soit par les acteurs privés ou par les acteurs publics.
La prévention du risque doit donc être primordiale et doit être au centre des débats, une discussion interne dans les entreprises pourrait avoir lieu afin de définir, par exemple, un périmètre de protection, une identification des vulnérabilités ou bien encore une sécurisation des sauvegardes.
Il faut garder à l’esprit que certaines Cyber-attaques ne pourront être évitées et c’est pour cela que travailler en amont sur le risque est plus qu’important. La prise de conscience du « risque Cyber » doit passer par une meilleure sensibilisation des collaborateurs des entreprises et des citoyens, notamment via une démarche pédagogique, mise en place d’une politique de sécurité des systèmes d’information claire et explicite. Une véritable culture de la Cybersécurité doit naitre et permettre la prise de conscience de la menace réelle qui pèse sur les utilisateurs mais également prendre conscience de la valeur que peut représenter l’information.
La prévention est d’autant plus importante que les assurances Cyber sont en difficultés ces dernières années, il sera donc de plus en plus difficile d’être assuré contre ce risque, et même si celui-ci reste assurable, les primes d’assurances seront à des prix très élevés.
Pour conclure, la cybersécurité est un enjeu sociétal avant même d’être un enjeu juridique, technique ou encore économique.
Aurélie PUIG