cyberattaque ? malware ? vulnérabilité ? quelle responsabilité ? C’est la question qui m’a été posée par le Club Cyber de l’Ecole de Guerre Economique.
Il va falloir faire un peu de technique (et d’histoire) pour remettre le problème dans son contexte, avant de se pencher sur la responsabilité pénale, civile (négligence) et contractuelle que peuvent induire une cyberattaque, un malware et/ou une vulnérabilité.
Cette conférence étant (enfin) organisée en présentiel, celles et ceux qui n’auraient pas pu y assister pourront profiter du replay via l’enregistrement vidéo que l’EGE ne manquera pas de mettre en ligne…
Pour ma part et comme toujours, vous trouverez mes slides en BD ci-dessous, par chapitre, histoire de vous en rendre la consultation plus facile.
cyberattaque malware vulnérabilité : petite introduction
cyberattaque ? malware ? vulnérabilité ? responsabilité pénale ? civile ? contractuelle ? D'abord un peu d'histoire...
Les cyberattaques ont eu le mérite (???) de faire s’écrouler le « mythe » de la sécurité des logiciels, et de manière générale, de l’informatique (on dirait plutôt aujourd’hui « des systèmes d’information »…).
Pourquoi un tel échec ? Car manifestement – comme aiment à le répéter certains professionnels – « la sécurité est un échec »…
Prenons un peu de hauteur et voyons les 3 grandes révolutions industrielles de l’histoire de l’humanité.
La « science informatique » ne s’est développée que depuis la Seconde guerre mondiale, pour décrypter les messages du III° Reich chiffrés avec la machine Enigma.
Petit aperçu (rapide) dans les slides ci-dessous de la chronologie du développement de l’informatique, en corollaire avec l’apparition des premières cyberattaques.
Si vous cherchez une version plus détaillé et en vidéo de cette chronologie, cliquez sur ce lien pour accéder à ma conférence du 11 mars 2021.
cyberattaque : tentative de définition et problématiques techniques et juridiques
Cyberattaque ?
De quoi parle-t-on ?
Existe-t-il une définition légale ? En France ? Dans l’Union Européenne, grand pourvoyeur de législation en la matière ? Vous allez être déçu(e).
Je vous propose une tentative de définition à partir de concepts légaux parfaitement identifiés dans la slide ci-dessous.
Voyons ensuite le déroulement « type » d’une cyberattaque, avant de voir le problème que les cyberattaques posent (i) aux « techniciens », (ii) aux juristes et (iii) aux « politiques ».
Retenez que l’identification des attaquants est quasi impossible !
Ces problématiques sont illustrées dans les slides ci-dessous.
cyberattaque : quelle responsabilité pénale ?
Commençons par envisager quelques incriminations pénales applicables aux cyberattaque. C’est important, pour les juristes, les incriminations pénales (ça permet de faire peur aux clients…).
Bref… Voyons les grandes incriminations des articles 323-1 à 323-3 du Code pénal, avant de nous pencher sur une incrimination classique (l’extorsion) qui se révèle parfaitement adaptée àa la répression des cryptolockers (ransomware ou rançongiciel en Molière dans le texte)
Le problème actuel de cet arsenal pénal ? La répression des délinquants ne fonctionne pas.
Pourquoi ? Parce que, techniquement, ces délinquants sont très très difficilement identifiables.
Et, dans un état de droit comme la France, il est difficile de faire un procès à des personnes que l’on n’a pas réussi à identifier…
Le détail se trouve dans les slides ci-dessous.
malware ? logiciel malveillant ? cryptolocker ? ver ? virus ? cheval de Troie ?
Voyons maintenant un des outils de réalisation d’une cyberattaque : les malware.
Ce terme anglophone regroupe l’ensemble des programmes d’ordinateur utilisés… pour nuire à l’exploitant d’un système d’information.
Comme il n’existe aucune définition légale, ni en France, ni dans l’UE, il sera nécessaire dans un contrat BtoB de prévoir une définition solide…
Vous trouverez cette proposition de clause contractuelle, ainsi que quelques explications relatives aux malware, dans les slides ci-dessous.
vulnérabilité : un vaste problème (technique et juridique)
Vous trouverez dans au moins deux textes légaux français l’utilisation du terme « vulnérabilité« .
Le problème ? Le terme de « vulnérabilité » n’est accompagné d’aucune définition légale qui puisse servir aux juristes.
Alors ? comment fait-on ?
Et bien, il faut allez chercher des éléments techniques dans des définitions techniques, comme celle proposée par l’ANSSI, pour en faire des définitions contractuelles.
Vous trouverez le détail des définitions utilisables et celles que je manipule dans mes contrats dans les slides ci-dessous.
cyberattaque malware vulnérabilité : quelle responsabilité civile ? pour NEGLIGENCE...
Puisque nous sommes d’accord sur les définitions de cyberattaque, de malware et de vulnérabilité, voyons ce qu’est une faute de négligence.
Négligence ? C’est le non-respect de l’état de l’art.
Et qui décide de l’état de l’art ? Les autorités de contrôle (dans un premier temps) puis les tribunaux…
En matière de cyberattaque, de malware et de vulnérabilité, qui sont les autorités de contrôle en France ? La CNIL et l’ANSSI !
Coup de chance (?!?!), nous avons de la jurisprudence française récente en matière de négligence, de cyberattaque et de vulnérabilité.
Vous trouverez les principales décisions de jurisprudence résumées dans les slides ci-dessous.
cyberattaque malware vulnérabilité : quelle responsabilité contractuelle ?
Il est temps de se pencher sur les usages contractuels, c’est-à-dire comment fonctionne le business qui tient compte de cette menace des cyberattaques, des malware et des vulnérabilités.
En d’autre termes : qui va être responsable de quoi dans une relation client / prestataire ?
Il est temps de conclure (provisoirement) sur le sujet.
Et la conclusion dans le slider ci-dessous n’est pas très gaie…