#1Note préliminaire : Nous ne traiterons pas dans cet article de la Lutte informatique d’influence (L2I) et nous limiterons l’acception de la cyberdéfense aux atteintes et à la défense de la disponibilité, l’intégrité et la confidentialité des systèmes d’information et des données. De nombreuses considérations et recommandations seront toutefois transposables à cette lutte.

À titre professionnel et privé, nous sommes tous connectés et des consommateurs insatiables des services numériques. Nous avons dès lors un besoin primordial d’un environnement numérique fiable, permettant l’épanouissement de nos activités économiques et sociales. Les attaques informatiques criminelles ou étatiques, se multiplient ⁽¹⁾. Certaines ont une portée systémique et de facto stratégique, mais la plupart procèdent d’une activité de nuisance persistante qui érode continuellement la prospérité et la stabilité des Nations ⁽²⁾. Leurs auteurs et commanditaires bénéficient d’une forte liberté de manœuvre et d’une certaine impunité ⁽³⁾.

Nous ne sommes pas condamnés à cet état de fait et nous devons apporter une réponse ferme et collective en imposant des coûts aux attaquants et en rétablissant la crainte du passage à l’acte.

Cet article propose de rappeler succinctement le cadre juridique international et les blocages actuels, avant de considérer les évolutions doctrinales française, britannique et américaine pour répondre aux enjeux de cyberdéfense. Enfin, nous proposerons le renforcement de la posture et de la coopération intergouvernementale pour établir une stratégie intégrale ⁽⁴⁾ dans une approche centrée sur l’adversaire. 

Un cadre juridique international encore complaisamment permissif

Avant d’évoquer les leviers potentiels, il est nécessaire de comprendre le cadre juridique dans lequel ils peuvent ou non être actionnés, en pleine conscience du risque politique associé.

Au sein de l’ONU, les discussions se sont enchaînées depuis 2004 sous différentes formes. Le 12 mars 2021, après de nombreux atermoiements, l’Assemblée générale des Nations unies a adopté le rapport final de l’OEWG (Open-Ended Working Group) ⁽⁵⁾, fixant le cadre international du comportement des États dans le cyberespace. Ce cadre s’appuie sur quatre piliers : l’applicabilité du droit international, la définition non contraignante de 11 normes de comportement, des mesures de confiance et le renforcement des capacités visant à réduire les risques. Les normes promeuvent, entre autres, la coopération interétatique en matière de cybersécurité, la collaboration face à la cybercriminalité, la protection des infrastructures essentielles et le signalement des failles informatiques. Elles incitent les États à ne pas tolérer les activités cybermalveillantes depuis leur territoire et « sanctuarisent » les infrastructures essentielles.

Ce cadre doit maintenant être opérationnalisé. Les différends sont connus ⁽⁶⁾. Ils portent notamment sur le principe de souveraineté et de diligence requise (Due Diligence), mais aussi sur l’acception plus large de la légitime défense.

La violation de souveraineté

S’agissant de la souveraineté, la France considère que toute infrastructure et toute activité hébergée sur son territoire relèvent de son autorité ⁽⁷⁾. Ainsi, elle considère comme une violation de sa souveraineté une action de la part d’un État tiers sur des serveurs informatiques hébergés en France. Cette vision n’est pas partagée ⁽⁸⁾ : certains aux États-Unis considèrent le cyberespace comme un bien commun découplé des réalités géographiques où la notion de souveraineté ne s’appliquerait pas. Cette vision offre un champ de manœuvre plus large pour les opérations cyber. En outre, la qualification d’attaque cyber prête aussi à des divergences. Alors que la France a adopté la définition de l’Union européenne (UE) ⁽⁹⁾, les Américains exonèrent de cette définition le cyber-espionnage ⁽¹⁰⁾ et le pré-positionnement en ne considérant que les dommages causés. Enfin, la France n’exclut pas la possibilité qu’une cyberattaque dénuée d’effets physiques puisse être également qualifiée de recours à la force (selon la potentielle dangerosité de l’activité). Pour contourner ces débats sémantiques, l’Otan utilise l’expression « activité cyber-malveillante » ⁽¹¹⁾ pour qualifier les activités cyber d’origine criminelle ou étatique sous le seuil de l’agression armée.

La Chine, comme la Russie dans une moindre mesure, élargit le principe de souveraineté au champ informationnel pour légitimer sa politique de contrôle des contenus et relativiser les activités cyber-malveillantes, en reprochant à l’Occident la subversion informationnelle ⁽¹²⁾.

Le principe de diligence requise

Le pendant naturel de cette souveraineté revendiquée est la diligence requise. Ce principe procède du droit international et s’applique au cyberespace. Il consiste en une obligation de moyens pour un État de mettre fin à des activités internationalement illicites depuis son territoire à l’encontre d’un autre État. Il est convenu ⁽¹³⁾ que la diligence requise s’applique à des activités provoquant des conséquences graves sans que celles-ci soient explicitement décrites. Ainsi, la France, via l’Agence nationale de la sécurité des systèmes d’information (Anssi), n’a fait l’objet que de rares sollicitations ⁽¹⁴⁾ ne relevant pas véritablement de ce principe au vu de la gravité des conséquences. À ce jour, elle n’aurait pas non plus saisi un autre État origine d’une attaque.

Par ailleurs, la France considère que le non-respect de l’obligation de diligence due par un État ne justifie pas l’emploi de la force ⁽¹⁵⁾ à son encontre. Cette position n’est pas partagée par certains experts du Manuel de Tallinn ⁽¹⁶⁾. Les États-Unis considèrent que si un État est réticent ou impuissant à mettre fin à des attaques à leur encontre par un groupe non étatique, le principe de légitime défense peut s’appliquer par l’emploi de la force contre ce groupe non étatique. Le Manuel de Tallinn rappelle que, dans tous les cas, l’emploi de la force doit rester proportionné et nécessaire.

La légitime défense

Sans conteste, la légitime défense s’applique à une cyberattaque relevant de l’agression armée, et tous conviennent qu’elle peut être préemptive pour empêcher sa survenue imminente. En revanche, sous le seuil de l’agression armée, l’invocation de la légitime défense est contestée. Les États peuvent cependant recourir à des contre-mesures dans le respect du droit international afin de faire cesser la cyberattaque, à condition que celles-ci soient proportionnelles au préjudice subi ou potentiel. La mise en œuvre de contre-mesures exige, enfin, de demander au préalable à l’État d’origine de la cyberattaque de s’acquitter des obligations qui lui incombent (principe de Due Diligence). L’État victime peut, notamment lorsqu’il existe une nécessité à protéger ses droits face à l’urgence et la facilité de dissimulation dans le cyberespace, déroger à l’obligation de notifier l’État responsable de la cyberopération.

Une opérationnalisation encore insuffisante

Les États disposent donc d’un cadre de régulation juridique finalement explicite mais encore insuffisamment opérationnalisé face aux actions sous le seuil de l’emploi de la force et plus particulièrement contre les activités cybermalveillantes relevant souvent de stratégies hybrides menées par nos adversaires et compétiteurs stratégiques. L’UE s’est dotée d’une boîte à outils diplomatiques contre les activités cybermalveillantes allant de déclarations politiques à des sanctions économiques ou diplomatiques ⁽¹⁷⁾.

Des succès récents témoignent d’avancées dans la coopération internationale policière et judiciaire ⁽¹⁸⁾ et permettent de mesurer l’intérêt commun à stabiliser le cyberespace. Cela reste néanmoins limité à la criminalité, pour laquelle le laisser-faire reste encore la norme chez beaucoup, car elle constitue un terreau propice à l’emploi par les États ou leurs proxies de l’arme cyber au service de stratégies hybrides.

Faudra-t-il un événement majeur pour inciter les États à dépasser leur ambivalence ⁽¹⁹⁾ et à s’engager collectivement et résolument dans la réduction des activités de cybermalveillance ? En attendant qu’une volonté partagée se décline véritablement pour mettre fin à ce Far West, les démocraties doivent faire preuve de réalisme et s’outiller pour lutter contre ces menaces.

Différentes stratégies de réponse

En France, « la meilleure défense, c’est la défense »

Ce mantra de Guillaume Poupard, directeur général de l’Anssi ⁽²⁰⁾, illustre le modèle français où il a été décidé de séparer le défensif du renseignement et des capacités offensives, et ainsi de préserver la confiance entre l’Anssi et les différentes parties prenantes (opérateurs, entreprises…). On constate aussi à l’étranger que les organisations à la fois chargées du défensif comme de l’offensif ou du renseignement succombent naturellement au primat de l’offensif. Défendre est plus austère et ingrat par nature. L’Anssi est responsable de la conduite des opérations de la chaîne « Protection » ⁽²¹⁾, sous l’autorité du Secrétariat général de la défense et de la sécurité nationale (SGDSN). Elle coordonne et anime la protection des administrations, prescrit un socle commun de règles de cybersécurité applicable aux Opérateurs d’importance vitale (OIV), et collabore activement avec les opérateurs de communications électroniques et les hébergeurs. Historiquement focalisée sur la protection et sur la réponse aux incidents, elle dispose dorénavant de prérogatives pour mettre en œuvre des moyens de détection au sein des administrations et des OIV. Elle travaille également à proposer des services plus pointus de défense en profondeur. Au sein du ministère des Armées (Minarm), la Lutte informatique défensive (LID) ⁽²²⁾ vient compléter le dispositif de protection par une posture permanente de cyberdéfense qui vise à anticiper, détecter et réagir aux attaques ciblant les réseaux et systèmes du Minarm.

La France privilégie la prévention par le découragement des agressions (résilience, signalement, notification, sanctions), et par un environnement de coopération internationale ⁽²³⁾. En réaction à une attaque, la France active une réponse technique de remédiation et éventuellement un dialogue de désescalade avec l’État d’origine. Elle saisit les instances internationales, et recourt seule ou par l’UE aux mesures de rétorsion (judiciaires, diplomatiques ou économiques) ⁽²⁴⁾. Elle peut également mettre en œuvre des contre-mesures (cyber ou autres) ayant pour but de faire cesser l’attaque. Enfin, elle pourrait recourir à la force (incluant des opérations cyber offensives) pour faire face à une agression armée.

Cyberdeterrence, au-delà de l’objectif de découragement

Les États-Unis et le Royaume-Uni ont théorisé la dissuasion appliquée au cyberespace à travers notamment la Cyberdeterrence Initiative (initiative de cyber dissuasion) ⁽²⁵⁾. Il faut bien comprendre que cette notion de dissuasion n’a rien à voir avec la dissuasion selon l’acception française et que la lire à l’aune de notre représentation de la dissuasion nucléaire mène au malentendu. Une fois cette clarification posée, voyons ce qu’il y a derrière ce concept, plus agressif que le simple objectif de découragement. Ce concept reprend en partie les arguments des débats stratégiques concernant la dissuasion conventionnelle, mais s’installe plus spécifiquement dans la zone grise en dessous du seuil du conflit, en réponse aux stratégies hybrides ⁽²⁶⁾. Il s’agit donc d’imposer un coût suffisant à l’adversaire pour le faire renoncer à son entreprise malveillante par le déni et/ou la crainte de la punition. Cette stratégie vise les États mais s’applique en partie aux acteurs cyber-malveillants non étatiques. Le déni est atteint par la résilience, la défense, voire l’interdiction. La punition peut se concrétiser par une atteinte à la réputation (désignation, attribution), des sanctions ou des représailles. La stratégie nationale cyber britannique ⁽²⁷⁾, récemment publiée, définit cinq priorités, dont les objectifs de détection, perturbation et dissuasion, en ayant recours à une approche intégrée. Ainsi, des campagnes de « dissuasion » seront conduites en recourant à tout le panel des capacités britanniques ouvertes et secrètes. Il s’agira notamment de signaler aux acteurs cybermalveillants la volonté et la capacité des Britanniques à leur imposer des coûts significatifs par des mesures allant des sanctions aux opérations cyber. L’objectif annoncé est bien d’imposer l’idée qu’attaquer le Royaume-Uni est plus dangereux que d’attaquer d’autres pays.

L’approche britannique a évolué. L’impact dissuasif de l’attribution semble remis à sa juste valeur, les Britanniques reconnaissant que les attributions systématiques des dernières années n’ont pas produit d’effets significatifs ⁽²⁸⁾.

L’engagement permanent : défense avancée et pré-positionnement

En 2019, le New York Times a publié plusieurs articles ⁽²⁹⁾ faisant fuiter, sans démenti, le pré-positionnement cyber des Américains dans des réseaux russes de distribution électrique. Il s’agissait clairement d’un signalement stratégique où les autorités américaines signifiaient au Kremlin leur détermination et leur capacité à agir dans le cas d’une ingérence lors des élections présidentielles de 2020. Cette fuite, très probablement orchestrée, était la traduction visible des nouvelles autorisations données aux US CyberCommand par le Congrès en 2018, pour mener « des activités militaires clandestines dans le cyberespace pour dissuader, protéger ou se défendre des attaques ou des cyber-activités malveillantes contre les États-Unis » ⁽³⁰⁾. Cette « annonce » constituait une rupture dans le discours et pourrait être interprétée comme allant à l’encontre de la recherche de stabilisation du cyberespace et du droit international. La réaction russe à cette déclaration n’est pas documentée, mais il est possible de supposer que l’État russe a entrepris une démarche en profondeur pour « purger » ou pour renforcer ses réseaux électriques, tout en comprenant que le message américain signifiait surtout que d’autres infrastructures étaient également exposées. Le processus électoral américain de 2020 ne semble pas avoir fait l’objet d’attaque cyber significative et cet épisode illustre à la fois la Cyber Deterrence Initiative américaine et le concept d’engagement permanent.

Un an après, l’affaire SolarWinds ⁽³¹⁾ a cependant montré que l’agressivité russe n’était en rien émoussée et que la menace cyber prenait une ampleur toujours plus inquiétante.

Le général Nakasone, l’US Cyber Commander ⁽³²⁾, explique en 2019 pourquoi il est nécessaire de basculer d’une stratégie de réponse et de retenue vers une stratégie d’engagement permanent ⁽³³⁾. Il s’agit d’instaurer un rapport de force permanent pour conquérir la maîtrise du cyberespace, de chercher le contact avec l’adversaire chez soi, mais aussi et surtout chez l’autre. Cette stratégie dépasse ainsi la stratégie de « Cyberdeterrence » qui mettait insuffisamment en lumière le contact au quotidien avec l’adversaire, où qu’il soit.

L’engagement permanent est une affaire d’état d’esprit et de posture opérationnelle. À l’image des attaquants bien nommés les « APT » (Advanced Persistent Threat) qui, sans cesse, effectuent des reconnaissances, s’insèrent dans les systèmes de manière directe ou indirecte, l’US Cyber Command veut marquer l’attaquant dès qu’il bouge et l’empêcher si nécessaire. Le général Nakasone fait l’analogie du changement de posture de la flotte américaine en 1945. On n’obtient pas la supériorité en restant au port mais bien par une présence avancée, au contact des forces adverses et en assurant la liberté de navigation. Il s’agit alors pour l’US Cyber Command de se confronter aux attaques adverses partout où cela est possible. Ainsi, tout en contestant à l’adversaire la liberté de manœuvrer, cela permet à ses cyber-combattants de s’aguerrir en allant épauler les agences civiles ou les entreprises pour remédier à une attaque et donc de se préparer, dès le temps de paix, pour la défense cyber des systèmes militaires engagés et exposés en opération.

L’engagement permanent consiste également en un pré-positionnement dans les infrastructures des attaquants potentiels ou sur des points clés de l’infrastructure Internet pour observer, analyser et éventuellement entraver des attaques en cours ou à venir. Cette défense avancée s’apparente à des opérations de renseignement et de recueil de preuve, mais aussi à la capacité à démanteler des infrastructures d’attaque.

Alors que le discours officiel ne mentionne pas le pré-positionnement dans des systèmes d’information de l’adversaire, annoncé par le New York Times (voir supra), on comprend que ce volet confidentiel est le troisième étage de l’engagement permanent. L’US Cyber Command va façonner l’environnement en se constituant des accès ou en pré-implantant des bombes logiques pour agir contre un adversaire (cyber ou non) dans un objectif de dissuasion par la punition (temps de paix) ou d’appui aux opérations militaires en cas de conflit.

Le général Nakasone considère, à juste titre, que l’aspect cumulatif des activités cyber-malveillantes érode progressivement la puissance des États et qu’il faut lutter énergiquement pour réduire ces menaces. Il justifie ainsi la stratégie d’engagement permanent quitte à bousculer les tenants d’une répartition des rôles entre civils et militaires, et à affaiblir les efforts de régulation par le droit.

Une stratégie de défense centrée sur l’adversaire

Il s’agit bien de s’inscrire dans la réponse aux campagnes hybrides et d’opérationnaliser notre compréhension de ces campagnes en pensant l’adversité. L’art opératif amène à se centrer sur l’adversaire et à envisager, par les travaux de planification, ses modes d’actions probables, ses vulnérabilités et les options de réponse à apporter. La maîtrise des processus de planification constitue une véritable plus-value que le militaire peut apporter aux organisations civiles en charge de cette réponse.

La première étape est de comprendre le commanditaire d’une campagne hybride et les auteurs des attaques. Quelles sont leurs motivations, quels effets cherchent-ils à produire ? Les cybercriminels rechercheront des gains économiques, les activistes chercheront à faire parler d’eux et à nuire à leurs cibles, les États rechercheront des gains politiques indirects par la déstabilisation et l’influence. Chacun évaluera avant d’agir le rapport coût/efficacité ou gains attendus/risques encourus de son mode d’action. C’est sur ces rapports qu’il faut donc agir par anticipation.

Buts de guerre : renseignement et nuisance pour les États, dollars et bitcoins pour les criminels

Comme l’explique Lennart Maschmeyer ⁽³⁴⁾, chercheur au Center for Security Studies de l’École polytechnique fédérale de Zurich (ETH Zurich), spécialisé dans les opérations cyber dans le conflit russo-ukrainien depuis 2014, les cyberattaques étatiques relèvent aujourd’hui plus de la subversion que d’actions décisives. Elles sont secrètes et de nature indirecte. Leur impact stratégique reste limité. En effet, à l’exception de l’opération STUXNET qui a entravé le programme nucléaire iranien, les gains stratégiques des attaquants sont assez peu tangibles. À titre d’exemple, les différentes actions contre les centrales électriques ukrainiennes ont interrompu la production pendant 6 heures en 2016 (Wannacry) et 45 minutes en 2017 (NotPetya) sans affecter notablement la vie des Ukrainiens. En revanche, elles ont suscité des dommages collatéraux coûteux – plusieurs centaines de millions de dollars pour les entreprises Maersk ou Saint-Gobain – et une élévation du sentiment d’insécurité ⁽³⁵⁾.

Les opérations cyber de renseignement ont des succès significatifs qui ont probablement rapporté beaucoup à leurs commanditaires étatiques en matière de renseignements technologiques, économiques et politiques. Enfin les activités de rançongiciel, de détournement ou de vol de monnaie virtuelle nourrissent massivement les cybercriminels ⁽³⁶⁾.

Les facteurs de coût vus de l’attaquant

En dehors des attaques d’opportunité, une attaque ciblée se déroule en quatre phases, toutes consommatrices de temps en proportion avec les exigences de discrétion, de non-imputabilité et de maîtrise de son action – effets collatéraux et garantie d’efficacité. La phase de reconnaissance vise à identifier l’empreinte numérique ⁽³⁷⁾, les vulnérabilités techniques, les failles organisationnelles et les fragilités humaines. Ensuite, les phases d’accès au système-cible et de latéralisation ⁽³⁸⁾ sont parfois rapides, mais peuvent échouer, être interrompues ou annihilées par des reconfigurations techniques ou des mouvements de la défense. Enfin, la phase d’exploitation vise à exfiltrer des données, ou à modifier ou casser le système-hôte. Toutes ces phases nécessitent des outils ou armes cybernétiques que l’on se procure par un développement interne ou par l’adaptation d’un code malveillant préexistant. L’acquisition d’un code malveillant est aujourd’hui facilitée par le marché mondialisé de la cybercriminalité.

Lorsque l’exigence de discrétion et/ou de contrôle est élevée, l’automatisation des étapes est plus difficile, et le temps de préparation (reconnaissance, arsenalisation) est conséquent.

Un État, un proxy, un groupe cybercriminel investit pour constituer un arsenal diversifié lui donnant l’agilité pour s’adapter aux configurations rencontrées. S’il a identifié une vulnérabilité inédite ⁽³⁹⁾, il cherchera à développer un exploit unique qui passera à travers les dispositifs de détection. Celui-ci constituera un actif précieux qu’il pourra vendre ou réutiliser dans un autre cadre, quitte à le transformer légèrement pour éviter les corrélations. Certains États ou groupes de cybercriminels n’ont pas les compétences techniques pour développer voire opérer des codes malveillants. Ils achètent donc ces armes ou les effets produits par ces armes auprès d’entreprises de sécurité (voir infra) ou de places de marchés du Darkweb, sans en contrôler les effets et sans garantie de longévité.

Enfin, il ne s’agit pas seulement de pénétrer un système, il faut disposer d’une infrastructure d’attaque permettant de commander et contrôler à distance l’attaque en cours et d’exfiltrer discrètement les données pour les exploiter chez soi. Ces infrastructures sont constituées d’une chaîne de serveurs anonymes déployés en différents pays pour brouiller les pistes et retarder les investigations confrontées au cadre juridique et de coopération de chaque pays. Ces serveurs sont achetés sur des places de marché de la cybercriminalité, ou sont loués ou mis en place derrière des activités légitimes. Ils constituent un investissement parfois considérable lorsque l’attaquant recherche la non-imputabilité.

Ces investissements en temps, en finances et en infrastructures constituent par construction un levier d’influence sur les attaquants, car ils chercheront à les préserver.

Les risques encourus

L’attaquant sera particulièrement attentif aux risques auxquels son action l’expose. Il prendra ainsi en compte les aspects judiciaires et financiers si c’est un acteur privé, un individu ou une entreprise. Il choisira préférentiellement des cibles ou chemins d’attaques où les probabilités de remonter vers lui sont minimales. Il étudiera donc les capacités d’investigation des pays traversés, leur législation et leurs usages en matière de coopération.

Enfin, le commanditaire évaluera les risques politiques et réputationnels. Est-il prêt à être désigné, sanctionné par d’autres États ? Il s’inquiétera de la résolution des États victimes à jouer le rapport de force et de leur capacité à mobiliser la communauté internationale. Les États ou proxies veilleront également à mesurer le risque à franchir le seuil qui pourrait appeler une riposte technique ou cinétique de l’État victime.

Un attaquant stratège et prévoyant se préoccupera de maintenir un environnement relativement permissif, l’autorisant à manœuvrer dans le cyberespace. Le franchissement de certains seuils ou l’exaspération grandissante de la communauté internationale pourrait conduire à une transformation technique ou juridique de l’environnement réduisant les opportunités. Il sera donc attentif à ne pas provoquer de telles réactions.

L’attaquant sérieux est doué de raison. Il choisit ses cibles et ses modes d’actions en fonction d’une évaluation [gains - (coût + risques)] positive. L’ambition des Britanniques est de la rendre négative dans le cas d’une attaque envisagée contre le Royaume-Uni ou à tout le moins inférieure à celle envisagée contre une autre cible ⁽⁴⁰⁾. Dans une alliance, il n’est jamais bon d’être le plus vulnérable…

Une stratégie intégrale pour réduire les activités cyber-malveillantes

Nous avons vu la bascule américaine d’une stratégie de réponse à une stratégie d’engagement permanent. Le président Emmanuel Macron milite pour réinstaurer sans naïveté le primat du droit international face à une compétition assumée dans les zones grises ⁽⁴¹⁾. Le chef d’état-major des Armées (Cema), le général Thierry Burkhard, rappelle la nécessité d’être en mesure d’imposer un rapport de force favorable dès le stade de la compétition où se confrontent déjà les intérêts des différents acteurs par le biais de stratégies indirectes ou hybrides ⁽⁴²⁾. Dans ce cadre, le rôle des armées devrait être reconsidéré pour participer activement à la stratégie nationale de puissance dès le temps de paix dans les champs immatériels. Dans ces conditions, voyons comment la France pourrait amener les attaquants à renoncer à leurs activités cyber-malveillantes.

Une résilience étendue

La capacité à maintenir les services essentiels malgré des attaques cyber se construit par l’organisation et l’architecture en prévoyant des redondances et des dispositifs de secours. La résilience cyber se construit également par une capacité à remédier rapidement aux effets d’une agression via des dispositifs de continuité et de reprise d’activités. Cette résilience ne s’improvise pas ; elle se construit dans la durée par une prise de conscience collective et par un cadre normatif contraignant, imposant une architecture robuste et une politique de sauvegarde. L’entraînement des équipes d’intervention et de la direction à gérer une crise constitue également un facteur de résilience. 

Il est important de rappeler que des infrastructures numériques maîtrisées sont le préalable nécessaire à tout effort de sécurité. Cette maîtrise s’obtient notamment par un maintien en condition de sécurité, lui-même dépendant de la qualité des systèmes d’information. L’effort des administrations et des entreprises doit être plus rigoureux dans ce domaine. 

Les éditeurs logiciels doivent être incités à rehausser la qualité de leurs produits et amenés à corriger toute vulnérabilité dans un délai défini. Le dispositif de sécurité et de vérification de leur mise à jour doit être régulièrement qualifié. L’intervention de l’État n’est pas forcément nécessaire, si ce n’est sous l’apport d’une labellisation, car la loi du marché évolue depuis l’affaire SolarWinds. Sous la pression des actionnaires qui attaquent les dirigeants de l’entreprise pour négligence, on peut raisonnablement espérer que le niveau de sécurité s’impose progressivement dans la valeur des logiciels et des services proposés.

L’Anssi est aujourd’hui le moteur de la montée en gamme de la protection cyber et de la résilience des systèmes d’information français. Elle s’appuie sur, et promeut, un écosystème industriel dynamique et innovant pour accompagner les administrations et les entreprises au travers de la labellisation de solutions de sécurité, la publication de guides de bonnes pratiques et la constitution de relais régionaux ou sectoriels (Computer Emergency Response Team – CERT).

Une défense active

Quelle que soit l’efficacité de la défense périmétrique, force est de constater qu’un attaquant pénétrera un jour le système d’information (exemple récent des attaques par des tiers de confiance de la chaîne d’approvisionnement, type SolarWinds). L’approche technique de protection ne suffit pas. La défense en profondeur s’est imposée depuis quelques années mais doit encore se développer et se structurer. Il faut gêner, retarder, traquer l’intrus potentiel ou en devenir. Cette approche nécessite une logique opérationnelle étayée par l’art opératif s’appuyant sur des outils techniques et par la planification d’actions défensives devançant les objectifs de l’attaquant pour le surprendre et l’expulser. L’intrus doit se sentir en danger et être amené à redoubler de prudence, à temporiser voire à geler sa manœuvre.

Il s’agit de compliquer chaque phase de l’attaque. Ainsi, la réduction de l’empreinte Internet, la détection des recherches relatives au système défendu, compliqueront la reconnaissance de l’attaquant et alerteront le défenseur. La protection renforcée et dynamique des éléments précieux, la mise en place d’un système de détection intelligent identifiant les comportements anormaux, de dispositifs temporaires et mobiles de filtrage accru, de déception ou d’offuscation ⁽⁴³⁾, des reconfigurations ponctuelles, des tests d’intrusion (Pentest), sont autant de sources de stress et d’inhibition pour l’adversaire que des chances de le repérer lors des phases d’accès, de latéralisation et d’exploitation.

Pour mettre en œuvre toutes ces mesures, il faut disposer d’une « tour de contrôle » apte à planifier ces actions de défense active et à en contrôler l’exécution. L’intégration de ces activités nécessite une collaboration poussée entre les cybercombattants et l’opérateur technique du système d’information, responsable de la disponibilité des services numériques. La confiance entre les deux est une des clés du succès et doit faire l’objet d’une démarche volontariste et d’une organisation adaptée.

Ces activités délibérées ont un triple intérêt. Elles obligent à affiner la connaissance du système d’information par une interaction entre chaque métier. Elles permettent également d’élaborer des techniques et procédures de défense et de les tester pour réduire des risques résiduels ou interdire tel ou tel type d’attaque. Enfin, elles constituent un moyen d’entraîner les défenseurs et d’éprouver les capacités techniques de détection, et de réaction.

La diffusion de la politique de lutte informatique défensive (LID) ⁽⁴⁴⁾ du Minarm, la participation à des exercices et les succès rencontrés ⁽⁴⁵⁾ contribuent à diffuser une image de défense efficace. L’organisation et la médiatisation de Bug Bounty ⁽⁴⁶⁾ attestent également à la fois d’une certaine assurance dans sa défense et dans une volonté de renforcement.

Le théâtre cyber est ouvert et nos adversaires attaquent sans cesse les intérêts français. Nous devrions reconsidérer le rôle du militaire dans cette conflictualité permanente en nous inspirant de l’engagement permanent américain. Les militaires maîtrisent l’art opératif et apporteraient de la valeur à l’organisation de la défense des réseaux et systèmes d’information, d’une part. Impliquer les militaires dans la défense des réseaux civils et dans la réponse aux incidents les préparerait à défendre leurs systèmes en situation de conflit par l’expérience régulière de la confrontation à l’attaquant, d’autre part. À cette fin, leur contribution aux côtés de l’Anssi pourrait être renforcée.

Assécher le marché de la cybercriminalité

Le coût d’une attaque passe en partie par la difficulté à trouver une faille et à disposer d’une arme. Ainsi, il est essentiel d’en réduire l’accessibilité. Il faut à la fois durcir les sanctions contre des publications de vulnérabilités sans correctif associé et renforcer la protection des « white hat » (hackers éthiques) qui découvrent des vulnérabilités inédites et préviennent les éditeurs ou les agences de sécurité ⁽⁴⁷⁾. Il faut donc renforcer leur protection juridique et éventuellement organiser leur rétribution de manière à éviter qu’ils publient, sous couvert d’anonymat, leurs découvertes pour des motifs ambivalents de lanceur d’alerte, ou qu’ils se laissent tenter de les vendre au plus offrant. La reconnaissance de cette communauté contribuera à la sécurité de l’écosystème.

Les États doivent coopérer pour assécher le marché des vulnérabilités et des outils d’attaque sur Internet, mais aussi dans les différents salons de la sécurité ayant pignon sur rue. L’exemple révélé à l’été 2021 de NSO Group (société israélienne) qui vend sa solution Pegasus à des États est emblématique. NSO exploite des vulnérabilités de différents systèmes grand public et a vendu aux États une prestation de piratage clé en main sans en contrôler l’usage (contre-terrorisme par exemple). Les mesures prises par les États-Unis à l’encontre de NSO – inscription sur la liste noire par le département du Commerce américain – et les procédures entreprises par plusieurs géants de la Tech ⁽⁴⁸⁾ à l’encontre de l’entreprise visent à interdire la vente de logiciels espions. La lutte contre le marché de la cybercriminalité et contre la prolifération des armes cyber pourrait être renforcée grâce à différents outils : renforcement des sanctions pénales, établissement d’une liste noire par l’UE pour interdire à toute entreprise ou État de l’UE de commercer avec les entités ainsi désignées, coopérations internationales judiciaires et policières. 

Interdire le paiement de rançon semble dorénavant la seule voie pour contenir la flambée du fléau des rançongiciels. Payer ne doit plus être une option ⁽⁴⁹⁾. Les assureurs français sont prêts à se conformer à cette interdiction et il faudrait l’étendre à l’UE, voire au-delà, pour éviter toute distorsion de concurrence. Il faudrait également contrôler les facilités des intermédiaires (plateformes de services de cryptomonnaies) qui constituent en quelque sorte un service externalisé des criminels. Enfin, il reste nécessaire d’accompagner les entités victimes de rançongiciels par des offres de service de renforcement d’urgence comme de sauvegarde sécurisée et éprouvée.

Réduire le potentiel agressif

Une fois un mode d’attaque détecté, plusieurs leviers permettent d’en réduire l’efficacité. La publication de sa signature permet à chacun de calibrer son système de détection pour le gêner. Des efforts sont encore indispensables pour accélérer cette diffusion vers tous les acteurs et la mise à disposition de patch de sécurité. En France, la mise en place de CERT régionaux ou sectoriels favorisera la dissémination des marqueurs d’attaque et permettra à chacun de fermer les bonnes portes. L’attaquant perd ainsi l’assurance de pouvoir réutiliser cette capacité à l’encontre d’autres cibles et cela renchérit le coût de son investissement. Ces échanges d’informations appellent une politique volontariste, des ressources humaines dédiées et une interopérabilité des systèmes d’information, à l’instar de ce qui se pratique dans le monde du renseignement.

Les attaquants utilisent des infrastructures pour diriger leurs attaques. Elles sont en général camouflées parmi d’autres activités légitimes et parfois suffisamment sophistiquées pour se reconfigurer très rapidement. Les surveiller pour renseigner est précieux et, sous couvert d’une analyse comparée perte/bénéfice, les démanteler entrave véritablement l’attaquant. La coopération avec les acteurs privés d’hébergement est le moyen le plus efficace d’y parvenir dès lors que ceux-ci sont réactifs et responsables. La coopération policière ou judiciaire a montré également son efficacité contre des activités criminelles s’inscrivant dans la durée. Recourir régulièrement au principe de Due Diligence contre des attaques majeures serait probablement laborieux, mais devrait être efficace dans la durée en fluidifiant des canaux de coopération entre agences nationales.

Enfin, prendre le contrôle de ces infrastructures offre de nombreux avantages : remonter vers les acteurs physiques, saisir les outils d’attaque, identifier et prévenir les autres victimes, et priver l’attaquant de ces gains par la saisie des rançons versées en cryptomonnaies. Ainsi, les services américains ont publiquement reconnu leur action contre REvil ⁽⁵⁰⁾. À plusieurs reprises, les alliés se sont mutuellement informés d’attaques passées ou en cours à leur encontre, et identifiées après l’analyse de l’activité des infrastructures d’attaque. Certaines sociétés privées de cybersécurité agissent également de cette manière. Le risque politique encouru par un État qui procède à ces « contre-mesures » est faible au regard du gain attendu.

Quel que soit le cadre juridique de ces actions (action judiciaire ⁽⁵¹⁾, coopération, consentement, action clandestine), la France ne doit pas se priver de ce levier de prise de contrôle et éventuellement de démantèlement dès lors que les infrastructures visées participent à des activités malveillantes. C’est à ce titre que l’État peut justifier l’interdiction aux acteurs privés d’entreprendre ces actions.

Sanctionner

Côté français, le Code pénal sanctionne les délits d’intrusion ou d’altération du fonctionnement d’un système d’information par des peines pouvant aller jusqu’à 7 ans d’emprisonnement et des amendes de plusieurs centaines de milliers d’euros. La coopération judiciaire internationale se construit progressivement ⁽⁵²⁾ et a déjà connu quelques succès qui ne masquent pas une relative impunité générale pour les cybercriminels, rarement identifiés.

Le régime des sanctions de l’UE porté par la boîte à outils cyber-diplomatique a permis de sanctionner déjà plusieurs commanditaires et acteurs de cyberattaques contre les intérêts des États-membres ⁽⁵³⁾. Ces sanctions prennent la forme de restrictions en termes de visas, de gel des avoirs et d’interdiction aux personnes et entités de l’UE de mettre des fonds à disposition des groupes listés par l’UE.

Comme nous l’avons vu avec l’affaire Pegasus, l’interdiction de commercer avec les entreprises proposant des services de cyber-espionnage sans en limiter les cas d’usage, hébergeant des infrastructures d’attaque ou facilitant le paiement de rançons pourrait constituer un paquet supplémentaire de sanctions affaiblissant l’écosystème des attaquants. L’UE pourrait, en cela, imiter les États-Unis.

Il n’est pas envisageable à ce stade de parvenir à une résolution de l’ONU sanctionnant un État pour une cyber agression ou des activités cybermalveillantes déstabilisatrices. Les sanctions internationales, bien que modestes et concernant les acteurs privés, doivent s’intensifier pour inhiber les individus de prendre part à ces activités.

Signaler et rendre les coups

Lorsqu’un État n’est pas « directement » impliqué mais que sa passivité parfois bienveillante autorise la commission d’activités cyber-malveillantes ou des cyber-attaques depuis son territoire, outre l’invocation du principe de diligence requise, l’activation d’une campagne informationnelle internationale, directe ou indirecte, l’appelant à assumer ses responsabilités constitue un premier échelon de signalement. Cette étape peut en effet ménager l’État en question sans que personne ne soit dupe de sa réelle responsabilité.

L’attribution à cet État constitue un pas supplémentaire pour dénoncer un comportement déstabilisateur. Même si son efficacité est relative, il est cependant probable que procéder à une attribution privée ou publique, seul ou de manière coordonnée avec des alliés, pèsera dans le rapport de force et pourra amener l’État commanditaire ou bienveillant à temporiser, modérer, voire arrêter les activités cyber-malveillantes venant de son territoire.

Au-delà de l’action visant à faire cesser une attaque, l’État peut mener des actions de « représailles » à l’encontre de l’entité d’origine (service de renseignement par exemple) ou de ses dirigeants. Cela n’est pas nécessairement cantonné au domaine cyber, puisque décorrélé dans le temps de l’attaque initiale. Cependant, respecter la symétrie des formes limite l’extension de la confrontation à d’autres champs et réduit donc le risque d’escalade horizontale. L’intérêt de représailles cyber réside dans la nature même de cet environnement – difficilement attribuable, dommages relatifs parfois réversibles – et permet surtout de graduer la réponse par le choix de l’effet produit. Il constitue également un message : « je suis en mesure de te faire plus mal encore ».

C’est ainsi que les signaux de présence cyber dans les infrastructures de l’État voyou peuvent constituer un avertissement pour l’amener à changer de comportement. Il faut pour cela être crédible dans la posture défensive et accepter le risque d’escalade en frappant une première fois, quitte à prendre des coups en retour. L’expérience doit être suffisamment douloureuse pour l’État voyou, afin de le décourager de s’en prendre à nos intérêts la fois suivante selon le principe du « Qui s’y frotte, s’y pique ». Ce type de friction relève bien évidemment du dialogue stratégique entre États, loin des projecteurs et non exposé au regard du droit international. Il s’agit bien d’investir la phase de compétition en identifiant les vulnérabilités de nos compétiteurs et de constituer un ensemble d’options pour être en mesure au moment opportun de leur adresser le signal de notre résolution en les « piquant » en cas de comportement inadapté. Cela ne s’improvise pas, cela se prépare, et l’évaluation de l’efficacité de ces piqûres est indispensable pour ajuster les suivantes.

Une communication consubstantielle à la stratégie intégrale cyber

Faire renoncer les criminels ou les États à saper nos fondations par des attaques cyber suppose une approche intégrale : résilience, assèchement du marché de la cybercriminalité, défense, coopération, sanctions et signalement. Tout cela vise à modifier le calcul de l’attaquant ; il doit être convaincu que nous attaquer lui coûtera, qu’il trouvera de la résistance, qu’il risque d’échouer ou de perdre ses investissements et qu’il risque de prendre des coups. Il y a donc une manœuvre de communication stratégique à organiser. Toutes nos actions doivent être traduites en modalités de communication (parfois indirectes) et, parce que la finalité est de convaincre le futur attaquant de renoncer à s’en prendre aux intérêts français, nous devons également concevoir nos actions à cette fin de signalement. Les publications relatives aux doctrines de LID, de Lutte informatique offensive (LIO) ou d’applicabilité du droit international comme la publicité autour d’un succès à un exercice international, de sanctions judiciaires ou d’opérations de démantèlement d’infrastructures participent de cette stratégie. Le faire-savoir doit être orchestré et son impact mesuré. Les perceptions de la dangerosité d’attaquer la France pourraient être régulièrement évaluées.

Éléments de bibliographie

Burton Joe, « Cyber Deterrence: a Comprehensive Approach », The Nato Cooperative Cyber Defence Centre of Excellence (CCDCOE), avril 2018 (https://ccdcoe.org/uploads/2018/10/BURTON_Cyber_Deterrence_paper_April2018.pdf).
Ministère des Armées, Droit international appliqué aux opérations dans le cyberespace, septembre 2019, 20 pages (https://www.justsecurity.org/).
Ross Cameron, « Is it time to forget about cyber deterrence? », Air&Space Power journal, printemps 2021, p. 69-73 (https://www.airuniversity.af.edu/).
Salamon Yann, Cybersécurité, Cyber défense : enjeux stratégiques, Ellipses, mars 2021, 334 pages.
Schmitt Michael N. (dir.), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, 2 février 2017, 638 pages.
Secrétariat général de la défense et de la sécurité nationale (SGDSN), Revue stratégique de cyberdéfense, 12 février 2018, 167 pages (http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf).

⁽¹⁾ Agence nationale de la sécurité des systèmes d’information (Anssi), Rapport d’activité 2021
(https://www.ssi.gouv.fr/uploads/anssi_rapport_activite_2021_fr.pdf).
⁽²⁾ Nakasone Paul, « A Cyber Force for Persistent Operations », JFQ 92, 1^er trimestre 2019, p. 10-14 (http://cs.brown.edu/).
⁽³⁾ Billois Gérôme, Lahoud Marwan, « Cybercrime : briser la rentabilié », Institut Montaigne, 16 mars 2021 (https://www.institutmontaigne.org/).
⁽⁴⁾ Jaminet François-Régis, « La France et les opérations sous le seuil : pour le retour d’une stratégie intégrale », Faire face à la recomposition du monde. Regards du CHEM, Cahiers de la RDN, 2021, p. 73-85 (https://www.defnat.com/).
⁽⁵⁾ Bureau des Affaires de désarmement, « Open-ended Working Group », ONU (https://www.un.org/).
⁽⁶⁾ Delerue François, Analyse du manuel de Tallinn 2.0 sur le droit international applicable aux cyber opérations, CEIS, novembre 2017 (http://francoisdelerue.eu/).
⁽⁷⁾ Ministère des Armées (Minarm), Droit international appliqué aux opérations dans le cyberespace (Rapport), septembre 2019, 20 pages (http://www.sgdsn.gouv.fr/).
⁽⁸⁾ Delerue François, op. cit.
⁽⁹⁾ L’Union européenne définit une cyberattaque comme toute pénétration illégitime ou altération d’un système d’information. 
⁽¹⁰⁾ Pour rappel, l’espionnage n’est pas une activité illicite selon le droit international. 
⁽¹¹⁾ En février 2019, les Alliés ont adopté un manuel décrivant une série d’outils visant à renforcer l’aptitude de l’Otan à répondre aux activités de cyber-malveillance majeurs. Cette boîte à outils s’inscrit dans la nouvelle politique de cyberdéfense globale entérinée au sommet de l’Otan à Bruxelles en 2021.
⁽¹²⁾ Salamon Yann, Cybersécurité, Cyber défense : enjeux stratégiques, Ellipses, mars 2021, 334 pages.
⁽¹³⁾ Schmitt Michael N. (dir.), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, 2 février 2017, 638 pages.
⁽¹⁴⁾ Ces sollicitations sont alors instruites a minima par l’information de l’hébergeur ou par une mise en relation des services judiciaires compétents.
⁽¹⁵⁾ Une cyberattaque relève de l’emploi de la force lorsque les effets produits sont comparables à celui-ci dans le champ physique. L’emploi de la force par un État peut être considéré comme une agression armée selon les effets produits et nécessairement s’il y a des dommages physiques ou économiques considérables, ou des pertes humaines substantielles, qui étaient raisonnablement prévisibles. L’aspect cumulatif de plusieurs attaques peut être également envisagé. 
⁽¹⁶⁾ Delerue François, op. cit. et Minarm, op. cit.
⁽¹⁷⁾ Conseil de l’Union européenne, « Cyberattaques : l’UE est prête à réagir par une série de mesures, y compris des sanctions », communiqué de presse, 19 juin 2017 (https://ccdcoe.org/).
⁽¹⁸⁾ Adam Louis, « Retadup : le coup de main d’Avast pour démanteler le botnet », ZDNet, 28 août 2019 (https://www.airuniversity.af.edu/) rapportant le démantèlement d’un botnet de 850 000 machines zombies par la Gendarmerie nationale et le FBI en juillet 2019 ; et Adam Louis, « REvil, la Russie annonce des arrestations pour le groupe de ransomwares », ZDNet, 14 janvier 2022 (https://www.justsecurity.org/), rapportant l’interpellation du groupe cybercriminels REvil par la Russie après démantèlement des infrastructures d’attaque et à la demande des autorités américaines.
⁽¹⁹⁾ Douzet Frédérick, « Les actions offensives dans le cyberespace sont permanentes », Le Monde, 23 juillet 2018.
⁽²⁰⁾ Anssi, « La meilleure défense, c’est la défense ! », Papiers numériques, 2020, 58 pages, p. 32 (https://www.ssi.gouv.fr/). 
⁽²¹⁾ Secrétariat général de la défense et de la sécurité nationale (SGDSN), Revue stratégique de cyberdéfense, 12 février 2018, 167 pages (http://www.sgdsn.gouv.fr/). 
⁽²²⁾ Minarm, Commandement de la cyberdéfense (ComCyber), Politique ministérielle de lutte informatique défensive, 2019, 9 pages (https://www.defense.gouv.fr/).
⁽²³⁾ SGDSN, op. cit.
⁽²⁴⁾ Conseil de l’Union européenne, op. cit.
⁽²⁵⁾ Ashley Ford Christopher, « Responding to modern Cyber Threats With Diplomacy and Deterrence », US Department of State, 19 octobre 2020 (https://2017-2021.state.gov/responding-to-modern-cyber-threats-with-diplomacy-and-deterrence/index.html).
⁽²⁶⁾ Multinational Capability Development Campaign (MCDC), Countering Hybrid Warfare Project, mars 2019, 92 pages (https://assets.publishing.service.gov.uk/).
⁽²⁷⁾ Gouvernement du Royaume-Uni, Cyber Strategy 2022, 15 décembre 2021, 129 pages (https://www.gov.uk/).
⁽²⁸⁾ Ibidem.
⁽²⁹⁾ Sanger David E. et Perlroth Nicole, « US escalates Online Attacks on Russia Power grids », The New York Times, 15 juin 2019 (https://www.nytimes.com/).
⁽³⁰⁾ John S. McCain National Defense Authorization Act for Fiscal year 2019, Public Law 115-232, 13 août 2018, 789 pages (https://www.congress.gov/).
⁽³¹⁾ ManensFrançois, « L’affaire SolarWinds, “bien plus qu’un simple incident d’espionnage” pour la Maison-Blanche », Numerama, 19 février 2021 (https://www.numerama.com/).
⁽³²⁾ Le commandant du US Cyber Command est aussi directeur de la NSA (National Security Agency), en charge notamment des activités clandestines de renseignement cyber. 
⁽³³⁾ Nakasone Paul, op. cit.
⁽³⁴⁾ Maschmeyer Lennart, « The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations », International Security, n° 46 (2), automne 2021, 25 octobre 2021 (https://doi.org/10.1162/isec_a_00418).
⁽³⁵⁾ Seibt Sébastien, « L’Ukraine au cœur d’une cyberattaque mondiale », France 24, 27 juin 2017 (https://www.france24.com/).
⁽³⁶⁾ La cybercriminalité gagnerait 1 500 milliards de dollars par an et causerait plus de 5 000 milliards de dollars de perte à l’économie. Voir le Thales Cyber Threat handbook 2020.
⁽³⁷⁾ Empreinte Internet : quelles sont les portes d’entrée, quels sont les matériels informatiques, les logiciels utilisés et leurs versions, les mécanismes de mise à jour, l’identité des administrateurs…
⁽³⁸⁾ Déplacement à l’intérieur du système cible pour se cacher, créer de nouveaux accès ou rebondir vers un autre sous-système.
⁽³⁹⁾ Une Day Zero Vulnerability est une faille logicielle inconnue des éditeurs logiciels et des systèmes de sécurité.
⁽⁴⁰⁾ Gouvernement du Royaume-Uni, op. cit.
⁽⁴¹⁾ Macron Emmanuel, « Discours du président de la République sur la stratégie de défense et de dissuasion devant les stagiaires de la 27^e promotion de l’École de Guerre », École militaire, 7 février 2020 (https://www.elysee.fr/).
⁽⁴²⁾ Burkhard Thierry, Vision stratégique du chef d’état-major des armées, octobre 2021 (https://www.defense.gouv.fr/). 
⁽⁴³⁾ Il s’agit de rendre peu lisible ou compréhensible l’architecture ou les règles du système d’information. 
⁽⁴⁴⁾ Minarm, « Politique ministérielle de lutte informatique défensive », Instruction n° 101000/ARM/CAB, Bulletin
officiel des armées, 24 décmbre 2018 (https://www.legifrance.gouv.fr/download/pdf/circ?id=44356).
⁽⁴⁵⁾ « France Wins Cyber Defence Exercise Locked Shields 2019 », The Nato Cooperative Cyber Defence Centre of Excellence (CCDCOE) (https://ccdcoe.org/).
⁽⁴⁶⁾ Bug Bounty : appel à la communauté des hackers pour rechercher des failles dans la défense du système protégé.
⁽⁴⁷⁾ Loi 2016-1321 du 7 octobre 2016 « Pour une République numérique ». Elle permet à l’Anssi de préserver l’anonymat d’un white hat (https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000033202746/).
⁽⁴⁸⁾  Facebook a été rejoint par Google, Microsoft, LinkedIn, Cisco, VMWare et d’autres dans son procès contre NSO pour avoir exploité une vulnérabilité de WhatsApp, vendue à ses clients étatiques. Amazon et d’autres ont mis fin aux services de Cloud fournis à NSO, lui permettant de déployer ses prestations. Voir : Cimpanu Catalin, « Microsoft, Google et Cisco soutiennent la plainte de Facebook contre NSO Group », ZDnet, 22 décembre 2020 (https://www.zdnet.fr/).
⁽⁴⁹⁾ Hiscox Assurances, « Cyber-résilience : ne jouez pas l’avenir de votre entreprise aux dés », Rapport Hiscox 2021 sur la gestion des cyber-risques, avril 2021, 20 pages (https://www.hiscox.fr/). 16 % des entreprises françaises ont été confrontées à une attaque par rançongiciel et 58 % d’entre elles ont payé.
⁽⁵⁰⁾ Barbier Bernard, Gergorin Jean-Louis et Guillaud Édouard, « Il faut se demander si la France peut continuer à se passer d’une forte coordination stratégique de la cybersécurité auprès du Président », Le Monde, 14 janvier 2022. Ils citent l’action coordonnée de l’US COMCYBER, du FBI et du Secret Service, ayant démantelé les infrastructures du groupe REvil.
⁽⁵¹⁾ Minarm, op. cit.
⁽⁵²⁾ EC3 (Centre européen de lutte contre la cybercriminalité, hébergé chez Europol à La Haye), Interpol, convention de Budapest.
⁽⁵³⁾ Le 30 juillet 2020, le Conseil de l’Union européenne a imposé des mesures restrictives – interdiction de pénétrer sur le territoire de l’UE et gel des avoirs – à l’encontre de 6 personnes et 3 entités responsables de diverses cyberattaques (WannaCry et Notpetya notamment). Voir Conseil de l’UE, « L’UE impose les toutes premières sanctions à la suite de cyberattaques », communiqué de presse, 30 juillet 2020 (https://www.consilium.europa.eu/).