Commençons par un tour d’horizon du droit de la cybersécurité, qui comporte plusieurs règles de trois : des tiercés, des triptyques, des trilogies, des triades. Commençons par les tiercés gagnants de la cybersécurité : une bonne cybersécurité c’est celle qui garantit trois éléments qui sont inscrits non seulement dans les manuels des informaticiens mais encore et surtout dans plusieurs textes de lois : lois françaises, lois européennes et même dans des législations étrangères. Une bonne cybersécurité, c’est celle qui garantit la confidentialité, l’intégrité, la disponibilité de trois séries d’éléments – c’est le deuxième tiercé – les systèmes, les données et les réseaux.

• La confidentialité, c’est l’idée selon laquelle personne n’a accès au système, aux données et aux réseaux s’il n’y est pas autorisé.
• L’intégrité indique que ce à quoi on a accès n’est pas altéré, modifié sans autorisation.
• Et enfin, la disponibilité c’est tout simplement de pouvoir avoir accès à ces systèmes, à ces données, à ces réseaux – autrement dit, il doit y avoir une continuité du service informatique sur ces trois niveaux, les systèmes, les données et les réseaux.

Ces tiercés gagnants de la cybersécurité représentent l’objet du droit de la cybersécurité : garantir la confidentialité, l’intégrité et la disponibilité des systèmes, des données et des réseaux.

Pour y parvenir, il y a une œuvre en trois parties qui existe, on peut parler d’un triptyque.

1. Un volet de droit privé : le droit de la sécurité des systèmes d’information. C’est un droit qui met en place des méthodes techniques et organisationnelles pour pouvoir assurer la confidentialité l’intégrité et la disponibilité des systèmes, des données et des réseaux. Cela suppose deux séries de mesures : tout d’abord beaucoup de documentation (mesures organisationnelles), on en parlera plus tard dans la semaine ; et ensuite des mesures informatiques (mesures techniques) qui visent à garantir la sécurité sur les trois niveaux qu’on a identifiés, systèmes, données et réseaux.
2. Deuxième volet du triptyque : c’est le droit pénal. Il concerne les infractions qui sont punies par des peines qui peuvent être privatives de liberté, c’est-à-dire de l’emprisonnement ou de la réclusion. Ce droit de la lutte contre la cybercriminalité est celui auquel le public est le plus souvent exposé, celui dont on entend le plus souvent parler. Mais il est difficile et frustrant, parce que comme le dit le général Watin-Augouard – un des grands penseurs de la cybersécurité en France – avec les cyberattaques, les pirates n’ont jamais été aussi proches de leurs victimes et aussi loin de leurs juges. C’est un des gros défis de la lutte contre la cybercriminalité que de parvenir à attraper les cybercriminels.
3. Le troisième volet de ce triptyque est plutôt un volet de droit public, c’est celui de la cyberdéfense nationale. On verra pendant la semaine qu’il s’agit d’un volet qui est à très large spectre puisqu’on peut parler à la fois de mesures extrêmement techniques, précises et impératives comme l’ensemble des mesures qui imposent à des Opérateurs d’Importance Vitale (OIV) c’est-à-dire à des entités sans lesquelles la nation n’existerait pas, d’être en sécurité - c’est un volet de règles impératives – et puis à l’opposé de ce spectre, on a un volet beaucoup plus souple, beaucoup plus en cours d’édification, qui est un ensemble de doctrines, d’accords – de déclarations de haut niveau diplomatique notamment – sur la coopération internationale dans le cyberespace et d’une certaine manière le droit de la conflictualité dans le cyberespace. La cyberdéfense nationale, c’est tout cela en même temps : c’est donc un champ extrêmement vaste mais c’est celui qui est le plus gros rempart contre les cyberattaques qui menacent les intérêts de notre pays.

Trois remarques sur ce triptyque de règles:

1. S’il est pratique de diviser en trois la vision qu’on a d’une matière, la division ne doit pas être artificielle. En fait, ces règles interagissent beaucoup entre elles, ce ne sont pas des silos, ce ne sont pas des tuyaux d’orgue. Par exemple, en matière de cyberdéfense nationale si un dirigeant d’un Opérateur d’Importance Vitale ne respecte pas les règles de cybersécurité qui s’imposent à lui, il peut être sanctionné par le droit pénal par une amende notamment de 150 000 euros qui est donc très dissuasive qui va s’appliquer à lui ou à elle personnellement. On voit que les règles de la cyberdéfense nationale sont parfois sanctionnées par le droit pénal, donc il y a bien un dialogue ou une perméabilité entre les différents ensembles de règles.
2. Deuxième remarque : en droit français, ces règles sont éparpillées « façon puzzle », comme diraient les Tontons Flingueurs, c’est-à-dire qu’on les trouve dans un nombre considérable de lois, de règlements et de codes différents. On trouve des règles du droit de la cybersécurité dans le code de procédure pénale, dans le code des postes et des communications électroniques, on en trouve dans le code monétaire et financier, dans le code du travail, dans le code pénal, dans tout un ensemble de règles sans compter les lois non codifiées, sans compter non plus les législations de l’Union Européenne, des directives et des règlements qui sont de plus en plus nombreuses. Quand on essaie de s’intéresser au droit de la cybersécurité, on a beau avoir trois compartiments plutôt bien délimités, il est extrêmement difficile de rassembler toutes ces règles en un seul endroit pour y avoir accès de manière commode. C’est pour ça qu’il y a un mouvement actuel qui réclame avec de plus en plus d’insistance la création d’un code de la cybersécurité - un code de codes, en quelque sorte, puisqu’il ne s’agirait pas de changer la place actuelle des textes de loi sur la cybersécurité. Il s’agirait de les rassembler dans un outil commode qui tiendrait dans la main, dans lequel on pourrait trouver une sorte de compilation raisonnée de l’ensemble des lois et des règlements qui s’appliquent au droit de la cybersécurité. Or, si on n’a pas cette vision un peu synoptique, cette vision d’ensemble, on n’arrivera pas à pratiquer la cybersécurité de manière aussi commode qu’on a besoin de le faire. NB : transcription de la vidéo tournée en 2019. Depuis, un code de la cybersécurité a été édité chez Dalloz.
3. La troisième remarque est une remarque de fond. Quand on entre dans le droit de la cybersécurité, on a envie de pouvoir protéger toutes et tous. Mais ça n’est pas possible, parce que la conformité aux règles ne garantit pas la cybersécurité. « -Oui, mon entreprise a respecté toutes les règles possibles et imaginables », est-on tenté de dire. Pour autant, elle peut être victime d’une cyberattaque. L’intérêt de respecter les règles de la cybersécurité, c’est de gérer les conséquences d’une cyberattaque en les réduisant au minimum, en réduisant aussi sa responsabilité ainsi que l’impact que cette cyberattaque va avoir sur mon organisation. Donc c’est une gestion du risque cyber que l’on fait grâce au droit, mais ça n’est pas une suppression du risque cyber.

Troisième élément : les risques. Eux aussi viennent par trois. Ils vous menacent, un peu comme une triade et il y en a trois séries.

Il y a un risque opérationnel, un risque juridique et un risque d’image.

Bien sûr l’ensemble de ces risques fait courir un risque commun qui est le risque financier, mais ce n’est pas une quatrième catégorie de risque. Le risque financier, c’est le point commun de ces trois risques.

Le premier risque est opérationnel c’est-à-dire que l’activité peut être bloquée. On le voit dans de très nombreuses cyberattaques : pendant plusieurs semaines l’entreprise qui est victime d’une cyberattaque ne peut tout simplement plus exercer son activité, les logiciels sont bloqués, les ordinateurs ne fonctionnent plus, l’entreprise ne peut plus communiquer à l’intérieur ou à l’extérieur et donc les fournisseurs ne peuvent plus s’organiser. Toute l’activité est bloquée. Il en résulte une perte importante de chiffre d’affaires et puis aussi une perte de la confiance, mais ça c’est plutôt le risque d’image qu’on verra dans un instant.

Le deuxième risque est juridique : quand je suis victime d’une cyberattaque, c’est un peu la double peine. Non seulement je fais l’objet d’une attaque qui cause un blocage dans mon activité, mais en plus de cela, le plus souvent on me le reproche, parce que quand on regarde comment l’attaque s’est produite, on va souvent trouver qu’il y a eu peut-être de mon côté une négligence, quelque chose que je n’ai pas fait, une règle que je n’ai pas bien respectée, un dispositif que je n’ai pas bien mis en place. Et pour cette raison-là, je risque des amendes et des poursuites judiciaires. On le voit aussi très souvent dans les cyberattaques : ce sont les actionnaires qui vont porter plainte en justice contre la gouvernance de l’entreprise en reprochant à cette gouvernance de n’avoir pas mis en place les mesures juridiques et techniques nécessaires pour prévenir et limiter les conséquences d’une cyberattaque.

Le troisième risque, c’est un risque d’image. C’est le plus complexe de tous. Il est impossible à quantifier, on n’arrive pas à savoir jusqu’où peut aller la perte d’image quand on est victime d’une cyberattaque. On sait que quand une entreprise respecte très bien les règles du droit de la cybersécurité et qu’elle respecte très bien les règles de la gestion de crise qui ne sont pas des règles juridiques mais des règles de management, des règles de la communication de crise par exemple, non seulement l’entreprise victime parvient à limiter le dommage à l’image, mais en plus elle peut même en faire un avantage concurrentiel. Elle peut même faire en sorte que les clients, les actionnaires, les investisseurs aient encore plus confiance dans la résilience de cette entreprise, parce qu’elle a si bien géré le risque cyber qu’on lui fait encore plus confiance qu’avant la cyberattaque. Mais quand cet effort exigeant n’est pas fourni, le risque d’image est démesuré. Un exemple : en 2014, l’entreprise Yahoo était en pleine opération pour être vendue à un très grand opérateur de télécoms américain qui s’appelle Verizon, qui souhaitait acheter l’entreprise pour un montant de plusieurs milliards de dollars. Or, pendant les opérations de rachat qui durent plusieurs semaines, l’entreprise Yahoo a été attaquée. On a montré par deux fois que plus d’un milliard de comptes mails avaient fuité et que donc les personnes qui avaient un compte yahoo.com ou yahoo.fr ou yahoo point quelque chose n’étaient pas du tout en sécurité sur leur messagerie. Les négociations ont répercuté ce risque d’image, et la réputation de Yahoo a été tellement écornée que le prix de vente de cette entreprise a été baissé de 350 millions de dollars pendant les négociations. C’est vous dire l’importance du risque d’image lorsqu’il y a une cyberattaque qui est mal gérée.

Enfin, après les tiercés, les triptyques et les triades, il reste une trilogie d’enjeux humains, une trilogie parce qu’il y a trois grandes tragédies humaines si l’on peut dire dans la question de la cybersécurité qui intéressent le droit. Et là, ce dont on parle, c’est de la place de l’humain dans la cybersécurité et dans le droit de la cybersécurité.

On peut identifier trois niveaux d’enjeux, le premier est un enjeu individuel. C’est celui qui concerne l’identité numérique. On parle beaucoup de reconnaissance faciale aujourd’hui, d’identification biométrique, palmaire - avec les empreintes digitales - avec des empreintes aussi avec l’iris des yeux, des empreintes de toutes sortes, biométriques en fait qui vont nous permettre d’accéder avec sécurité à certains services. Mais tout cela mérite beaucoup de réflexion parce que l’enjeu de l’identité numérique est un enjeu qui doit être respectueux des droits et libertés de tous. Et en fait, dans l’enjeu individuel sur l’identité numérique, ce dont on est en train de parler, c’est d’un véritable choix de société. Est-ce qu’on veut, comme le dit le général Watin-Augouard, une « liberté sécurisée » par les technologies ? Ou bien est-ce qu’on veut une « liberté surveillée » comme on peut les trouver dans certaines dictatures ou dans certaines démocratures ? Ou bien encore, est-ce qu’on veut une « sécurité surveillée » ? C’est encore le niveau du dessus dans le totalitarisme. La technologie nous fait poser ces questions et ces questions se manifestent au premier chef dans la relation que notre identité entretien avec le numérique.

Le deuxième enjeu, c’est l’enjeu relationnel. Nos conversations sur les moyens numériques peuvent toujours être interceptées, elles transitent d’un point A à un point B avec un paquet d’informations, des données, des octets. Mais la vraie question est : une fois qu’elles sont interceptées, est-ce qu’on peut les lire ? C’est la question du chiffrement des données et des échanges, autrement dit de la confidentialité numérique. C’est une question qui est difficile aussi parce qu’il y a un arbitrage à faire : d’un certain côté on a envie d’être libre de pouvoir échanger sans être écouté - donc de pouvoir chiffrer nos conversations, c’est important - et d’un autre côté, quand ce sont des criminels qui chiffrent leurs conversations et qu’on intercepte leurs conversations, on ne peut pas en lire le contenu donc on peut moins facilement les incriminer. Que faut-il faire ? Ce n’est pas à des experts de donner la réponse, c’est une question de société : il faut que tout le monde s’en saisisse. Il faut qu’il y ait des débats démocratiques à même de trouver le bon équilibre de confidentialité numérique qui permet la liberté sécurisée par les technologies et non pas la liberté surveillée ou la sécurité surveillée par les technologies.

Le troisième enjeu, enfin, c’est un enjeu collectif. On en parle souvent dans différents contextes avec plus ou moins de précision, c’est celui de la souveraineté numérique. C’est un terme que les juristes n’aiment pas beaucoup parce qu’il n’est pas précis. Mais il évoque quelque chose, l’idée selon laquelle nous serions en tant que peuple, maîtres de tous les aspects numériques de notre vie. Or c’est loin d’être le cas aujourd’hui c’est loin d’être le cas à plusieurs niveaux. Au niveau industriel : on ne peut pas aujourd’hui construire des équipements qui soient 100% français dans la plupart des cas. Souvent, on doit faire appel à des composants qui viennent de pays étrangers plus ou moins bienveillants par rapport à notre pays. Parfois même, on pourrait recourir à des technologies françaises mais on ne le fait pas par paresse, ou parce qu’on trouve que les technologies étrangères sont plus ergonomiques, qu’elles sont plus faciles à utiliser. Il y a de véritables questions à se poser sur le fait que collectivement on doit pouvoir garder la maîtrise de nos technologies et de notre relation au numérique et que cette relation collective que nous avons au numérique en tant que peuple ne doit pas faire l’objet d’intrusions et de malveillances étrangères.

La définition de la cybersécurité qui est donnée par l’ANSSI révèle quelques-uns des aspects que nous avons évoqués en droit de la cybersécurité jusqu’à présent.

L’ANSSI nous dit ceci : « C’est l’état recherché pour un système d’information qui lui permet de résister à des événements issus du cyberespace, susceptibles de compromettre – voilà notre tiercé – la disponibilité, l’intégrité ou la confidentialité des données qui sont stockées et traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ». Ce qui est intéressant, c’est la phrase d’après : « La cybersécurité fait appel à des techniques de sécurité des systèmes d’information – le droit de la SSI, dont nous avons parlé – et s’appuie sur la lutte contre la cybercriminalité – deuxième ensemble de règles, deuxième volet du triptyque – et s’appuie sur une cyberdéfense » (sous-entendu ici une cyberdéfense nationale), c’est le troisième volet du triptyque dont on a parlé.

On le voit, notre conception technique de la cybersécurité prend en compte les enjeux juridiques et politiques que nous avons évoqués, puisque dans cette définition qui, au départ, était une définition technique, on retrouve en fait les aspects juridiques et politiques dont nous avons parlé.

Notons qu'il y a d’autres manières de définir la cybersécurité. L’Union Internationale des Télécoms (UIT) qui est une organisation internationale basée à Genève propose un texte extrêmement long et technique. Sa définition de la cybersécurité est écrite par des ingénieurs et pour des ingénieurs.

Les définitions de la cybersécurité peuvent couvrir un très large spectre : elles peuvent être soit très technique, soit être davantage politiques – c’est l’autre extrémité du spectre, comme c’est le cas pour la définition de la cybersécurité dans la loi vietnamienne de 2018. Les Vietnamiens nous disent que la cybersécurité s’entend, dans la présente loi, comme l’assurance que les activités dans le cyberespace ne porteront aucun préjudice à la sécurité nationale à l’ordre public et à la sécurité publique et aux droits et libertés légitimes des organismes de l’État, des organisations et des individus. La cybersécurité vietnamienne est donc d’abord au service de l’État vietnamien et un peu moins des individus, même si les individus apparaissent à la fin de la définition. Mais c’est une définition qui est très peu technique, on ne nous explique pas quels sont les procédés de la cybersécurité, on nous dit simplement quelles sont ses fins politiques.

La définition française est entre les deux extrêmes technique et politique puisque quand on reprend la définition de l’ANSSI, on voit bien qu’on a une voie médiane qui paraît peut-être plus équilibrée, qui prend davantage en considération l’ensemble des préoccupations de la cybersécurité.

Pour conclure : le droit de la cybersécurité est un droit de la prévention et de la réaction aux cyberattaques. Dans ce droit de la cybersécurité, il y a un échelon national qui est important ; mais de plus en plus, il y a deux autres échelons qui sont à construire : l’échelon européen, qui s’enrichit surtout depuis dix ans, qui produit énormément de directives et de règlements sont directement applicables en droit interne français ; et puis il y a un échelon international à construire, qui concerne la coopération entre les États et aussi entre les entreprises, un droit qui garantisse que les opérations sur le cyberespace ne sont pas systématiquement hostiles, un droit qui permette finalement d’atteindre une cyber paix même si on en est actuellement très loin.

Dernier aspect de ce thème : nous avons en Europe une culture juridique forte. Souvent, nous faisons l’objet de moqueries : on dit souvent que quand il y a une innovation, les Américains en sont à l’origine, ils la brevettent ; les Chinois la copient ; et les Européens la régulent. C’est vrai mais c’est bien! Parce que la régulation, chez nous, c’est une manière d’entrer dans notre culture humaniste pour pouvoir faire en sorte que quand on a une innovation technologique, qu’elle soit compatible avec les valeurs humanistes qui sont les nôtres et qui sont des valeurs de paix. Donc même si la réalité des choses fait qu’on doit affronter une conflictualité, ça n’empêche pas qu’on ait un objectif par la régulation de tendre de plus en plus vers une paix compatible avec des valeurs humaines et qu’on n’essaye pas de transformer notre société en une société de machines, qui sont systématiquement hostiles dans le cyberespace.

◁ Précédent | ⌂ Sommaire | Suivant ▷