28 octobre 2021

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#355 cyberattaque et cyber sécurité 2/2 [cours Master 2 pro 2021]

#355 cyberattaque et cyber sécurité 2/2 [cours Master 2 pro 2021]

#355 cyberattaque et cyber sécurité 2/2 [cours Master 2 pro 2021]

Il me parait impensable de faire l’impasse sur les notions de cyberattaque et de cyber sécurité lorsque l’on est étudiant(e), en 2021, en M2 Pro Droit du Numérique à Paris II Panthéon-Assas.

La première partie de cette étude historico-technico-juridique des cyber attaques est accessible depuis ce lien.

Seconde partie de cette étude : la matinée du 28 octobre 2021 sera consacrée à une analyse plus juridique de ce que sont les cyber attaques, et la manière dont notre droit appréhende :

– la responsabilité pénale des auteurs (les attaquants);

– la jurisprudence en matière de responsabilité civile pour négligence des attaqués;

– enfin, la responsabilité contractuelle (qui doit être responsable de quoi dans les contrats BtoB).

cyberattaque : petite définition pratique en 1 slide (car il n'existe pas de définition légale en droit français...)

cyber attaque et cyber sécurité #11 DEFINITION civile et militaire + SYNTHESE © Ledieu-Avocats technique droit numérique

cyberattaque et cyber sécurité : déroulement type d'un cyber attaque et "EFR"

Soyons pratiques, et voyons comment il est possible de synthétiser le déroulement d’une cyberattaque à partir des concepts d’intrusion dans un système d’information, et d’exploitation d’un malware ou d’une vulnérabilité

EFR ? cet acronyme désigne l’Effet Final Recherché par les cyber attaquants. 

Nous profiterons de ce survol des EFR pour envisager les premières incriminations pénales susceptibles de s’appliquer à un cyber attaquant ( pour autant, bien sûr, que l’on puisse l’identifier…). 

cyberattaque et cyber sécurité : l'impossible identification des attaquants ???

C’est un problème tout à fait spécifique aux attaques menées via les réseaux de communications électroniques : comment identifier, dans la vraie vie, la ou les personnes qui se situent derrière le clavier qui commande l’attaque ? 

Nous profiterons des quelques slides en BD que vous trouverez ci-dessous pour faire un petit rappel sur la distinction entre les notions d’authentification et d’identification, particulièrement importantes en matière informatique. 

cyberattaque et cyber sécurité : légitime défense et hack-back ?

Si l’on évoque des cyber attaques, il faut évoquer aussi les cyber ripostes.

Or, les techniques de riposte permettant de faire cesser une cyber attaque posent aujourd’hui, et pas qu’en France, un véritable problème juridique. 

Voyons en une seule slide le concept en droit pénal de légitime défense visant à protéger des « biens » (un système d’information ? un site web ? etc.).

Malheureusement, dans la matière qui nous intéresse ici, aucune jurisprudence ne permet de comprendre les limites de ce qu’un attaqué peut faire, ou pas, pour faire cesser une cyber attaque. 

Il est cependant très éclairant, pour les juristes, de se pencher sur ce que les professionnels du numérique appellent le « hack-back » et de connaître la position officielle de la République française, et de l’ANSSI (qui est, je vous le rappelle, un service de l’Etat rattaché au SGDSN, donc directement au Premier ministre).

Si, par extraordinaire (comme diraient mes excellents confrères lorsqu’ils plaident désespérément devant un juge qui ne semble pas convaincu par leur plaidoirie…), vous souhaitiez creuser les aspects techniques et juridiques du hack-back, cliquez sur ce lien pour accéder à ma présentation complète ou sur cet autre lien pour aller sur la page web d’un épisode tout à fait intéressant du podcast NoLimitSecu sur ce sujet précis. 

cyberattaque et cyber sécurité : la priorisation des actions en réponse

Ici encore, en une petite dizaine de slides, voyons quelles devraient être les actions à mener en priorité par une entreprise / collectivité territoriale / etc. qui viendraient à découvrir qu’elle fait l’objet d’une cyber attaque.

Je vous le dis tout de suite, la première chose à faire n’est certainement pas d’appeler son avocat…

Pour une réponse plus structurée à cette question, allez consulter les quelques images en BD dans le slider ci-dessous.

Sinon passez au chapitre suivant…  

cyberattaque et cyber sécurité : faisons un peu de droit (quelques définitions légales)

Maintenant que vous savez tout ça, remettons dignement nos casquettes de juristes et commençons par tenter une qualification juridique des différents éléments composant une cyberattaque ou impactant le cyber attaqué

A tout seigneur, tout honneur, commençons par déterminer ce que sont d’abord un « réseau de communications électroniques » et un « système d’information« .

Vous verrez, cette définition légale du S.I. qui provient de la loi de transposition du 26 février 2018 de la directive NIS de 2016, est fort utile en matière contractuelle

cyberattaque et cyber sécurité : une définition légale de la (cyber) sécurité

Poursuivons notre effort de qualification juridique et voyons maintenant la définition légale – essentielle – de ce qu’est la « sécurité » d’un système d’information

Là encore, cette définition très claire, bien qu’un peu technique, est tout à fait utilisable en matière contractuelle

cyberattaque et responsabilité pénale

Commençons par un rappel des principes de responsabilité pénale et des règles de répartition de cette responsabilité entre employeur et employé(e)s.

Chers CTO / DSI / RSSI, quelques slides récapitulatives sur le sujet devraient vous intéresser au premier chef…

Voyons ensuite les principales incriminations pénales applicables aux attaquants.

Nous placerons en tête de gondoles les articles 323-1 à 323-3-1 du Code pénal qui répriment tout accès / maintien frauduleux dans un système d’information (pardon : « dans un Système de Traitement Automatisé de Données« …).

Vous allez peut-être découvrir dans les slides ci-dessous que d’autres incriminations sont tout à fait envisageables…

Je vous rappelle que si une « action » constitue un délit pénal, cette action constitue donc une faute civile.

Et contractuellement, il n’est pas possible de limiter sa responsabilité en cas de faute civile

cyberattaque et cyber sécurité en droit civil : bug et maintenance ?

Pour bien maitriser techniquement et juridiquement le problème posé par les cyber attaques, commençons par la base : le logiciel

Il est couramment admis dans l’industrie du logiciel qu’un « programme d’ordinateur » n’est jamais exempt de « défauts » (bug, erreur, etc.). 

De manière traditionnelle, les éditeurs de logiciel proposaient systématiquement à leurs clients des prestations de maintenance. 

La maintenance logicielle ? De l’art et de la manière pour un éditeur de se faire payer la réparation des « défauts de fabrication » de leurs « produits« . 

Bien évidemment, il n’existe aucune définition légale de ce qu’est un « bug » logiciel. 

Nous allons voir dans les slides ci-dessous comment qualifier juridiquement le « bug » de fonctionnement d’un logiciel, et comment, en pratique, un éditeur corrige ses logiciels. 

cyberattaque et cyber sécurité : malware ? (approche juridique)

Logiciel malveillant ? Ver ? Virus ? Cheval de Troie

Ces termes, pas toujours heureux, regroupent une seule et même réalité : les malwares

Voyons en quelques slides comment distinguer un logiciel « légitime » d’un malware. 

Profitons-en pour voir comment il est possible de poser une définition contractuelle simple qui pourra être utilisée aussi bien dans un contrat de licence « on premises » (installation d’un logiciel dans le système d’information d’un client utilisateur) que dans un contrat de service logiciel (Software as a Service).

cyberattaque et cyber sécurité : aperçu détaillé sur les cryptolockers (merci l'ANSSI)

Aujourd’hui, la menace, ce sont les cryptolockers, les ransomware… les « rançongiciels » (en Molière dans le texte)/

Vous trouverez dans les slides ci-dessous, un résumé de la littérature (récente) de l’ANSSI :

« ÉTAT DE LA MENACE RANÇONGICIEL À L’ENCONTRE DES ENTREPRISES ET INSTITUTIONS« 

v3 du 29 janvier 2020

v4.3 du 6 octobre 2021

cyberattaque et cyber sécurité : la responsabilité civile pour négligence des attaqués (histoire d'une double peine...)

Ne vous y trompez pas, même si les notions de malware et de vulnérabilité sont, pour les juristes, assez nouvelles, nous disposons déjà en France d’une série de jurisprudence qui entre en voie de condamnation à l’égard d’entreprises cyber attaquées :

C’est ici que nous évoquerons la notion d’état de l’art, qui précise le niveau de sécurité imposé par les autorités de contrôle…

cyberattaque et cyber sécurité : comment organiser la responsabilité contractuelle en matière de malware et de vulnérabilité ?

Puisque vous maîtrisez maintenant la notion de « bug » et celle de « malware », terminons (en apothéose) avec les « vulnérabilités« . 

Premier problème : il n’existe aucune définition légale de ce qu’est une vulnérabilité, alors pourtant qu’au moins deux textes légaux en France utilisent expressément ce terme. 

Une fois encore il appartiendra au rédacteur de stipulations contractuelles de faire l’effort de comprendre la technique, afin de pouvoir organiser dans le contrat une définition « efficace » qui permette de décrire un régime de responsabilité entre l’éditeur / prestataire et son client. 

cyberattaque et cyber sécurité : le droit du mot de passe et de l'authentification en ligne ? oui, ça existe !

La France est le pays de l’Union Européenne dont la législation, et surtout la jurisprudence, sont les plus avancées en matière de sécurité des systèmes d’information

C’est ainsi qu’il existe un véritable « droit du mot de passe et de l’authentification en ligne ». 

Voyons rapidement les « recommandations » 2012 de l’ANSSI, et, plus en détail, d’abord les délibérations de la CNIL de 2017, et, enfin les jurisprudences de 2018 (décision MED-2018-041 du 8 octobre 2018), de 2020 (délibération SAN-2020-003 du 28 juillet 2020) et de 2021 (délibération SAN-2021-008 du 14 juin 2021). 

cyberattaque et cyber sécurité : (pour terminer, s'il nous reste un peu de temps...) on parle d'hygiène numérique ?

« Il vaut mieux prévenir que guérir » (décidément je suis très citation ces jours-ci…).

Cet adage, comme en beaucoup de matières, s’applique tout à fait à un certain nombre de techniques, très basiques pour la plupart, qui devraient permettre à tout utilisateur d’un système d’information de se prémunir de la très grande majorité des cyber attaques susceptibles de l’affecter. 

Car, nous l’avons vu, le droit pénal ne permet pas d’apporter une réponse satisfaisante à la lutte aujourd’hui nécessaire contre les cyber attaques. 

Alors, soyons une fois de plus  concrets, et voyons les règles de base de cette « hygiène cyber«  qui semble si difficile à adopter, après des années de clics sans retenue sur toute sorte de liens http ou de pièces jointes aux emails. 

cyberattaque et cyber sécurité : conclusion ?

Le générique des (magnifiques) BD servant d'illustration à cette présentation : MERCI aux éditions Delcourt / Soleil !!!

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ