La cybersécurité souffrirait-elle de sa réputation ? Marc-Antoine Ledieu, avocat au Barreau de Paris, est intervenu à l’École de guerre économique afin d’évoquer les conséquences de la méconnaissance des enjeux cyber, notamment les responsabilités encourues par les attaqués. De quoi soulever le débat autour de l’efficacité de la cybersécurité ?
Maître Marc-Antoine Ledieu a fait le choix de soulever la question de la responsabilité pénale, civile et contractuelle en cas d’attaque cyber, lors d’une conférence à l’École de Guerre Économique. Avocat au Barreau de Paris et associé de Constellation Avocats, il constate depuis plusieurs années que le droit fait face à ce phénomène, de plus en plus important, mais à la fois mal compris et mal encadré. D’où l’importance de former les utilisateurs sur les différentes attaques possibles et les responsabilités qu’elles soulèvent. Selon lui, le droit tente d'appréhender de tels phénomènes mais rencontre d’importantes difficultés, notamment en matière de définitions. La discipline fait également face aux mythes entourant la cybersécurité des systèmes d’informations, et par conséquent aux complications qui découlent de ces mauvaises compréhensions. Ainsi, si les définitions légales sont difficiles à écrire, l’importance de la rédaction d’un contrat par les avocats et la construction d’un bon système d’information par les techniciens sont d’autant plus importantes.
Les cyberattaques les plus marquantes :
-
1986 : Premier virus sans charge utile malveillante du nom de Brain
-
Mars 2007 : Aurora generator test, attaque démontrée sur un matériel industriel classique
-
Avril 2007 : Première cyberattaque massive contre l’Estonie (DDoS, Denial of service), Estonie débranchée de l’internet
-
2008 : Stuxnet, opération Olympic Games par les États-Unis avec les Israéliens sur l'Iran. Le génie de l’attaque était le soi-disant détournement de l’automate de commande des centrifugeuses, qui est passé sous le radar du pilote du SI. Le jour où les Iraniens ont découvert qu’il y avait un malware, il était trop tard.
-
2017 : WannaCry : tout premier virus ransomware qui s’est propagé en moins de 24h dans le monde entier.
-
La même année, NotPetya touchait l'Ukraine.
-
2020 : affaire Solarwinds : à l’encontre du Pentagone et des institutions fédérales américaines, de type supply chain attack.
-
2021 : affaire compromission de tous les serveurs de Microsoft exchange.
-
Mai 2021 : affaire Colonial pipeline : a touché les stocks de carburant sur la côte Est. Retombées spectaculaires.
Cyberattaque, vulnérabilité, malware : de quoi parle-t-on ?
Le mythe de la sécurité informatique
Les difficultés auxquelles se heurte le monde du droit au sujet des cyberattaques sont les définitions légales. Première définition nécessaire : celle du système d’information. En droit, un système d’information est constitué de l’ensemble du matériel des logiciels et des données ; les réseaux, eux, sont définis comme le moyen de transport. Selon Maître Ledieu, “les cyberattaques ont eu le mérite de faire s’écrouler le mythe de la sécurité des logiciels, et de manière générale, de l’informatique”. L’idée selon laquelle le système d’information serait une porte blindée difficile de pénétrer a longtemps prospéré. Or en réalité, la porte blindée est ouverte, sans sécurité, et c'est le plus gros problème. Le numérique n’a pas été conçu pour être protégé, et il faut aujourd’hui et a posteriori inclure des procédés de sécurité.
Cyberattaques : de quoi parle-t-on ?
Là où le ministère des Armées propose une définition relativement large de la cyberattaque : « action volontaire offensive ou malveillante menée au travers du cyberespace pour provoquer un dommage aux données ou aux systèmes d'information », la définition juridique propose : « un acte malveillant envers un système d’information (matériel, logiciel, data) via un réseau de communications électroniques ». Les juristes analysent la cyberattaque par la vulnérabilité permettant l’intrusion d’une tierce personne dans un système d’information, suivie de l’installation du malware, puis l’exploitation des données (copier, modifier, effacer) via un réseau de communications électroniques.
La cyberattaque peut être réalisée par le biais d’un malware, d’un logiciel malveillant, d’un virus, permise par une vulnérabilité dans le système d'information. Comme il n’existe aucune définition légale, il est nécessaire dans un contrat de prévoir une définition solide. Il peut être désigné par le terme « malware » : un « logiciel (virus, bombe logique, vers, cheval de Troie, etc), d’un éditeur tiers inconnu (i) installé et exploité de manière illégitime dans le Système d’Information d’une partie (ii) de manière à porter atteinte à la Sécurité de tout ou partie d’un matériel, d’un logiciel et/ou de données numériques ».
La vulnérabilité ne trouve pas de définition légale pouvant être utilisée par les juristes lors de la rédaction des contrats. Il faut donc récupérer des éléments techniques dans des définitions comme celle proposée par l’ANSSI exposant que la vulnérabilité est une « faute, par malveillance (volontaire) ou maladresse (par négligence), dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système (d’information) ou dans la façon de l’utiliser », afin d’en faire des définitions contractuelles.
Les responsabilités encourues (pénale, civile, contractuelle)
La responsabilité pénale
Les seules autorités de contrôle compétentes en France sont la CNIL et l’ANSSI. Première loi française punissant les actes de cybercriminalité et de piratage, la loi Godfrain du 5 janvier 1988 constitue l’un des fondements du droit des nouvelles technologies de l’information et de la communication. On la retrouve dans le Code Pénal aux articles 323-1 à 323-3, qui englobe toutes les infractions liées à la fraude informatique et les « atteintes aux systèmes de traitement automatisé de données ». Certains délits de droit commun sont applicables au numérique comme l’extorsion.
Le principe de responsabilité de l’État de droit dit la nécessité d’un coupable afin de pouvoir l’accuser. Cependant, bien souvent l’identification technique de l’attaquant est impossible. En effet, la localisation de l’attaquant est falsifiable, mais également son identité. Il ne s’agit pas que de retrouver qui se trouve derrière « l’écran » via son adresse IP ou son mot de passe, mais bien la personne physique qui a orchestré toute l’opération. De ce fait, l’attribution de l’attaque étant rarement technique, elle est soit politique soit judiciaire. Afin d’identifier l’attaquant, et par manque de moyens techniques et juridiques, les autorités nationales décident de réprimer les attaqués négligents via l’application du RGPD et ses obligations en découlant.
La responsabilité civile
Le principe de responsabilité civile concernant les cyberattaques repose sur la faute de négligence. La faute de négligence est définie par le non-respect de l’état de l’art décidé par les autorités compétentes. L’état de l’art correspond à un ensemble de bonnes pratiques, de technologies et de documents de référence relatifs à la sécurité des systèmes d’information. L’ANSSI a notamment publié des recommandations pour la protection des systèmes d’information essentiels en 2020. Le contentieux repose sur un contrôle d’une autorité compétente, avec une décision de condamnation lorsqu’elle considère qu’il y a une négligence. Un appel devant le Conseil d’État est alors possible, et la procédure peut éventuellement se poursuivre devant la Cour de Justice de l’Union européenne.
Comme exemple peut être cité le cas d’une société immobilière qui, pour les besoins de son activité, propose un espace de stockage de données à caractère personnel sur le site internet qu’elle édite. Les données sont librement accessibles par tous (copies de cartes d’identité, de cartes Vitale, d’avis d’imposition). La société avait connaissance de la vulnérabilité du site depuis un certain temps, mais n’avait entamé des corrections que tardivement. La CNIL constate un manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel ainsi que l'obligation de conserver les données pour une durée proportionnée. Elle a prononcé une amende de 400 000 euros à l’encontre de la société, sans mise en demeure préalable, ce qui prouve une fin d’indulgence de la part des autorités.
Finalement, concernant les usages contractuels, il est primordial d’établir dans des termes précis le partage de responsabilité entre le client et le prestataire en cas de cyberattaque, car il convient d’être conscient qu’aujourd’hui la question à se poser n’est pas de savoir si le client va subir une cyberattaque, mais plutôt quand cela va-t-il se produire.
Si les cyberattaques sont récurrentes et les problématiques liées aux vulnérabilités de plus en plus fréquentes en droit privé, le manque de définition et de compréhension des enjeux précédemment cités rendent la tâche encore plus ardue. Marc Antoine Ledieu insiste donc sur l’utilisation des clauses exhaustives dans les contrats, permettant la mise en place d’un cadre solide au sein de l’entreprise. Des mesures plus concrètes peuvent également être mises en place : chiffrement, sauvegarde chiffrée, authentification double… Tous les coups sont permis dans le “Far West 4.0”.
Anna de Castro (Club Cyber de l'AEGE) et Maryanne Nabet (Club Droit & IE de l'AEGE)
Pour aller plus loin :