L’Europe se prépare à la cyber-guerre

Publié le par - 0 vues

La guerre électronique n’est plus une fiction : des forces étrangères ennemies (étatiques ou non) sont d’ores et déjà à l’œuvre pour déstabiliser, tester, affaiblir les « ennemis ». Indépendamment d’une réponse militaire, l’Europe se dote d’un cadre juridique qui permet de sanctionner financièrement les responsables des attaques.

En juin 2017 déjà, le Conseil a adopté une « boîte à outils cyberdiplomatique » (sic) : un ensemble de mesures et initiatives destinées à permettre une réponse européenne conjointe contre la cybermalveillance. Le Conseil exprimait sa crainte et indiquait “qu’il est de plus en plus nécessaire de protéger l’intégrité et la sécurité de l’Union, de ses États membres et de leurs citoyens contre les menaces informatiques et les actes de cybermalveillance.”

Le Conseil décidait dans la foulée de montrer les dents : par un ensemble de mesures juridiques publiques, il veut montrer aux agresseurs éventuels que les attaques ne resteront pas impunies, et leur permettre de bien identifier et mesurer les risques de représailles (financières notamment).

La décision du Conseil du 17 mai 2019

C’est dans ce contexte que le Conseil a adopté la décision du 17 mai 2019 qui établit un cadre pour des mesures restrictives ciblées visant à dissuader et contrer les cyberattaques ayant des effets importants qui constituent une menace extérieure pour l’Union ou ses États membres.

Lorsque cela est jugé nécessaire pour réaliser les objectifs de la PESC (politique étrangère et de sécurité commune), la décision permet également d’appliquer des mesures restrictives en réponse à des cyberattaques ayant des effets importants dirigées contre des pays tiers ou des organisations internationales.

a) Quelles attaques ?

La décision s’applique aux cyberattaques “ayant des effets importants, y compris les tentatives de cyberattaques ayant des effets potentiels importants, qui constituent une menace extérieure pour l’Union ou ses États membres”.

Attaquer un Etat membre spécifique est donc sceptible d’engendrer une réponse conjointe.

Les cyberattaques constituant une menace extérieure sont notamment celles qui:

  1. ont leur origine ou sont menées à l’extérieur de l’Union;
  2. utilisent des infrastructures situées à l’extérieur de l’Union;
  3. sont menées par toute personne physique ou morale, toute entité ou tout organisme établi ou agissant à l’extérieur de l’Union; ou
  4. sont menées avec l’appui, sur les instructions ou sous le contrôle de toute personne physique ou morale, entité ou organisme agissant à l’extérieur de l’Union.

Les attaques visées sont donc étatiques, mais pas seulement : qu’il s’agisse d’un Etat passant par des sociétés privées faisant écran, ou d’un groupe terroriste non étatique, l’attaque est susecptible d’être visée par la décision.

Quant à la nature même des attaques, la décision fournit des exemples mais la liste est volontairement ouverte. L’attaque peut donc viser l’accès aux systèmes d’information, les atteintes à l’intégrité d’un système d’information, les atteintes à l’intégrité des données ou l’interception de données (quand l’acte n’est pas autorisé).

Seules les attaques ayant un « effet important » sont visées. La notion reste vague, malgré les précisions qui figurent à l’article 3 et qui visent, entre autres, la portée, l’ampleur, l’incidence ou la gravité des perturbations causées ou encore l’avantage économique acquis par l’auteur de l’infraction, à son profit ou au profit de tiers.

b) Réaction conjointe

Un mécanisme d’aide et de coopération pour la recherche des auteurs et leur neutralisation, est mis en place.

Dans ce cadre, l’accent est mis non seulement sur les personnes physiques qui sont responsables de cyberattaques ou de tentatives de cyberattaques, mais aussi sur celles qui apportent un soutien financier, technique ou matériel aux cyberattaques ou aux tentatives de cyberattaques, ou sont impliquées de toute autre manière dans celles-ci, notamment en planifiant, en préparant, en dirigeant, en aidant à préparer, en encourageant de telles attaques, en y participant ou en les facilitant par action ou omission.

c) Sanctions financières

Ceuix qui sont responsables des attaques s’exposent à la gelée des fonds et ressources économiques leur appartenant. Cela peut viser :

  • Les personnes physiques ou morales, entités ou organismes qui sont responsables de cyberattaques ou de tentatives de cyberattaques;
  • Les personnes physiques ou morales, entités ou organismes qui apportent un soutien financier, technique ou matériel, aux cyberattaques ou aux tentatives de cyberattaques, ou sont impliqués de toute autre manière dans celles-ci, notamment en planifiant, en préparant, en dirigeant, en aidant à préparer, en encourageant de telles attaques, en y participant ou en les facilitant par action ou omission;
  • Les personnes physiques ou morales, entités ou organismes qui sont associés aux personnes physiques ou morales, aux entités et aux organismes visés ci-dessus.

La liste de ces personnes sera établie par le Conseil, statuant à l’unanimité sur proposition d’un État membre ou du haut représentant de l’Union pour les affaires étrangères et la politique de sécurité.

Cette liste constitue l’annexe I de la décision.

Cette liste est actuellement … vide. Les mauvaises langues diront qu’elle pourrait le rester un certain temps (ou ne compter que peu de noms) dans la mesure où l’unanimité est requise au sein du Conseil. A Bruxelles, la blague du moment consiste à deviner la réaction embarassée des chefs d’Etat si quelqu’un avait la mauvaise idée de demander de placer la Russie ou la Chine sur la liste …

Plus sérieusement, on verra ci-dessous d’autres raisons pour lesquelles il n’est pas évident d’inscrire un nom sur la liste (voir les répercussions pour les entreprises).

Le règlement du Conseil du 17 mai 2019

Le règlement du Conseil du même jour précise les choses au niveau du gel des fonds et ressources économiques.

Il interdit notamment de participer sciemment et volontairement à des activités ayant pour objet ou pour effet de contourner ces mesures.

Il crée aussi un mécanisme d’échange di’nformations entre les Etats membres.

Quelles répercussions pour les entreprises ?

Prenons par exemple Wannacry, logiciel malveillant de type ransomware auto-répliquant qui s’est répandu en mai 2017 à l’occasion d’une cyberattaque mondiale massive touchant plus de 300.000 ordinateurs dans plus de 150 pays. Les soupçons se tournent vers la Corée du Nord.

Peut-on imaginer que la Corée du Nord soit le premier nom inscrit sur la liste ?

Politiquement et diplomatiquement, c’est probablement envisageable.

Mais attribuer l’attaque officiellement à un Etat étranger engendre aussi comme conséquence que la plupart des contrats d’assurance qui couvrent ce type d’attaques seront impactés : ils contiennent souvent une clause en cas de “guerre” et, en fonction de la définition qui est donnée à la “guerre”, il se pourrait que le fait de placer un Etat étranger sur la liste noire en raison de cette attaque, active l’exclusion pour les actes de guerre. Il y a aujourd’hui de nombreux procès dans le monde autour de cette question.

L’enjeu économique est donc considérable pour les sociétés victimes de l’attaque, qui attendent de leur assureur une indemnisation qui pourrait bien ne jamais venir si Wannacry devait être considéré comme un acte de guerre exclu de la couverture.

Droit & Technologies

Annexes

Reglement 17 mai 2019

file_download Télécharger l'annexe

Publié dans

Thèmes
Tags ##

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK