Une sur cinq. C’est le nombre d’entreprises canadiennes ayant été touchées par des cyberattaques* en 2017, selon une enquête de Statistique Canada [1], parmi lesquelles BMO, CIBC et Air Canada. L’essor spectaculaire des attaques informatiques envers le secteur privé a mis en lumière l’échec des gouvernements à le protéger, poussant celui-ci à décider de se défendre par lui-même [2]. Venant appuyer cette mesure, la loi Active Cyber Defense Certainty(amendement au Titre 18Crimes and Criminal Proceduresdu Code des États-Unis), proposée en mars 2017 au Congrès américain par le représentant de l’État de Géorgie Tom Graves, a légitimé la pratique du hack-back* (ou corporate hacking*). Ainsi, les entreprises et les particuliers américains ont désormais le droit de riposter cybernétiquement par leurs propres moyens à une intrusion persistante et non autorisée dans leurs systèmes informatiques [3], d’atténuer ses effets et de prévenir sa répétition. Au Canada, la question de la cyber-riposte est en cours de discussion en vertu du projet de loi C-59 [4]. Outre-Atlantique, cette nouvelle pratique des entreprises privées inquiète, laissant entrevoir une utilisation sauvage du cyberespace*.
 

Légitimer la défense privée

En quelques années, le cyberespace est devenu un lieu de confrontation pour une pluralité d’acteurs (États, entreprises et individus) dont les activités déstabilisatrices constituent une préoccupation majeure pour l’ensemble de la communauté internationale. Travaillant en étroite collaboration avec le secteur privé, les États (France, États-Unis, Canada, etc.) en viennent parfois à employer des entreprises afin qu’elles servent d’« intermédiaires », des proxies*, pour engager des activités malveillantes à l’encontre de pays concurrents ou ennemis. À côté de ce phénomène préoccupant, les entreprises prennent parfois l’initiative de riposter par elles-mêmes à des cyberattaques dirigées contre elles. C’est ce qu’on appelle la « cyber-riposte ».

Actuellement, en droit international, seuls les États possèdent le monopole de la légitime défense active*, ce qui signifie qu’il est illicite pour les entreprises de se faire justice par elles-mêmes. En revanche, il ne leur est pas interdit de se protéger. Seule la défense passive leur est autorisée, par exemple : installer un pare-feu*, mettre au point des honeypots*, scanner régulièrement leurs systèmes informatiques, le tout dans un but de surveillance et de dissuasion face aux cyberattaques.

Permettre aux entreprises de répondre à des attaques informatiques dirigées contre elles risquerait d’engendrer une escalade de la violence. Certains comme Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)* en France, s’inquiètent grandement des intentions belliqueuses des entreprises voulant contre-attaquer, qualifiant cette pratique d’« abomination [5] ». Pour lui, la cyber-riposte mènera à « des délires qui coûteront extrêmement cher si on n’y met pas un point d’arrêt immédiatement [6] ». La question est aujourd’hui délicate pour le secteur privé, qui reste très discret sur le sujet. D’ailleurs, le service de messagerie ProtonMail, qui annonçait avoir attaqué un site de hameçonnage* en août 2017 [7], a rapidement retiré son message devant l’interrogation des internautes face à cette pratique.
 

Attribuer les cyberattaques

Si les cyberattaques sont aujourd’hui largement utilisées tant par les États que par les entreprises privées, c’est en raison de leurs particularités faisant d’elles un outil éminemment stratégique. Non seulement peu coûteuses et discrètes, elles ont surtout pour caractéristique d’être anonymes, et donc difficilement attribuables. Là est toute la difficulté de la cyber-riposte : car avant d’estimer avoir le droit de se faire justice soi-même, encore faut-il être certain de l’identité de son assaillant numérique. Dans ce contexte, le droit à la riposte pourrait rapidement se transformer en un jeu dans lequel toutes les frappes sont permises dès lors qu’un acteur jugerait avoir été attaqué par untel ou untel. Guillaume Poupard [8] explique qu’aux niveaux des États, en croisant les différentes sources mises à disposition, il est possible d’arriver à avoir une bonne idée de qui est le cyberattaquant sans pour autant être très précis sur son identité. Cependant, envisager la possibilité pour les entreprises de désigner immédiatement leur assaillant pour ensuite répliquer relève de l’utopie. Par manque de ressources, les organisations pourraient très bien se faire leurrer par des personnes malveillantes qui, en faisant croire que l’attaque vient d’une autre direction (l’objectif serait de provoquer la contre-attaque), déclencheraient une réaction en chaîne.

Pourtant, certaines entreprises se sont spécialisées dans le domaine de l’attribution, offrant leurs services à des clients publics ou privés. C’est ainsi que des sociétés de cybersécurité comme Novetta ou CrowdStrike ont été particulièrement actives dans ce domaine, accusant des gouvernements étrangers (Chine, Russie, etc.) de se cacher derrière certaines cyberattaques d’envergure comme des vols de propriété intellectuelle ou du cyberespionnage industriel*.Comme le souligne Karine Bannelier-Christakis, professeure à la Faculté de droit de l’Université de Grenoble en France, ce rôle croissant des entreprises privées en matière d’attribution des cyberattaques soulève plusieurs questions politiques et juridiques. En effet, « pour la première fois peut-être dans l’histoire du droit international, l’imputation d’un fait à l’État […] est assumée principalement par des acteurs privés en lieu et place des acteurs publics traditionnels, à savoir les États victimes [9] ». En passant par le biais de l’attribution privée, les États se cachent derrière les entreprises pour ne pas avoir à subir d’éventuelles représailles. Or, « ce partenariat occulte et informel en matière d’attribution est […] fragile et même dangereux [10] ». Pourquoi ? Tout simplement parce que les motivations des sociétés du secteur privé spécialisées dans le domaine de la cybersécurité ne sont pas nécessairement les mêmes que celles d’un État, qui doit protéger sa sécurité nationale, ainsi que ses personnes morales et physiques.
 

Répondre de ses cyberactes

En droit international, l’État est responsable des faits illicites commis par ses agents* [11]. Toute autre entité (citoyens, entreprises privées, etc.) installée sur son sol et agissant pour son propre compte engage quant à elle sa responsabilité individuelle. Cependant, si un lien de subordination entre l’État et l’entreprise privée est démontré et est susceptible de justifier l’action de cette dernière, l’État sera alors jugé responsable des actes qu’elle a commis (article 8 du projet de la Commission du droit international sur la responsabilité internationale des États [12] adopté en 2001). Il en ira de même si l’entreprise est habilitée par le droit de cet État à exercer des prérogatives de puissance publique*, pour autant que cette personne ou entité agisse en cette qualité [13], et que son acte soit ainsi considéré comme un fait de l’État par le droit international. L’État peut également être responsable des actes commis par des entreprises s’il reconnaît les actions de ces dernières comme étant les siennes [14].

Cependant, aucun État ne revendiquerait une cyberaction commise par lui-même ou une entreprise privée. Ce serait prendre le risque d’une riposte contre ses infrastructures vitales (électricité, communications, transports, finances, etc.), mais également de se faire pointer du doigt par la communauté internationale, avec éventuellement le risque d’une sanction.

Or, comment cela se passe-t-il si l’entreprise prend l’initiative d’agir en répondant directement à une cyberattaque ? L’État peut-il être tenu responsable d’un acte commis par une entreprise et qu’il n’a pas orchestré ? Après tout, la « cyber-riposte sauvage » permettrait au secteur privé d’agir directement, sans avoir ni à consulter l’État, ni à lui demander son autorisation et son soutien. L’entreprise serait un lonesome cow-boyse faisant justice seule dans ce O.K. Corral numérique*. Ces actes seraient commis de façon spontanée, automatique, sans réelle réflexion sur les conséquences que cette réponse informatique pourrait engendrer. L’inconvénient pourrait d’ailleurs être un retour de manivelle. En effet, si des géants comme Google ou Microsoft venaient à se faire attaquer par de petites entreprises, le risque serait pour ces dernières de se faire écraser par la contre-offensive de ces grands groupes. Dans cette situation, il est impossible d’attribuer à l’État les cyberactes offensifs que la société privée a décidé seule de perpétrer. Sa responsabilité ne peut être engagée que dans la mesure où il n’a pas pris les mesures nécessaires et exigées par les circonstances pour empêcher les actions transfrontalières* commises par l’entreprise. Autrement dit, l’État est considéré comme responsable des agissements de l’entreprise s’il manque à ses obligations de diligence.
 

Sécuriser le cyberespace 

Les risques que la cyber-riposte fait courir au maintien de la paix et de la sécurité internationales ne sont pas anodins, et justifient que la communauté internationale s’y attarde. Dans son rapport de 2015, le Groupe d’experts gouvernementaux des Nations Unies sur la cybersécurité (GGE) [15] exprimait déjà son inquiétude face à des tendances préoccupantes marquées par une hausse spectaculaire du nombre d’actes de malveillance dirigés notamment contre les infrastructures vitales des États. Considéré par certains auteurs comme un espace de non-droit, le cyberespace peut être régulé par le droit international, comme le sont pratiquement toutes les activités internationales. Le droit international permet de dissuader les États d’agir de façon contraire à ce qui est accepté sur la scène internationale, voire de les sanctionner en cas de non-respect des règles établies, agissant ainsi comme rempart face à la menace cybernétique. Pour autant, le rôle des acteurs privés dans le cyberespace constitue un bouleversement radical du paysage du droit international et des relations entre les acteurs publics et privés.

Le net déséquilibre au profit des États qui existait jusqu’alors sur la scène internationale se voit remis en cause par les grandes entreprises du numérique (Google, Microsoft, Facebook, etc.), dorénavant tout aussi puissantes que ces derniers – voire davantage [16]. Comme le droit international ne les touche pas directement, il est souhaitable de les intégrer dans une forme de corporate partnership board* afin qu’elles travaillent avec les États et les décideurs pour trouver des solutions efficaces aux nombreux défis actuels et futurs posés par la sécurité du numérique. Déjà en 2015, Microsoft proposait la création d’un organe informel à l’image du G20, un ICT20 – c’est-à-dire un organe qui réunirait les 20 plus grandes entreprises des technologies de l’information et des communications (TIC) [17]. En se basant sur cette idée, la création d’un organe international souple, multipartite, permettant aux grandes sociétés des TIC de participer aux prises de décision étatiques est envisagée. Le but serait de favoriser une utilisation plus responsable de l’espace numérique, de proposer un encadrement juridique mieux à même d’intégrer ses particularités et les difficultés techniques qui l’entourent ; et enfin, d’aider à la construction d’un monde plus sûr [18].

Ainsi, le cyberespace a induit l’intégration de nouvelles variables qui éprouvent la capacité du droit international existant à pouvoir l’encadrer. Par son biais sont apparus sur la scène internationale de nouveaux acteurs, qui voient dans les cyberarmes des outils de puissance non négligeables leur permettant de se passer des États – voire de rivaliser avec eux. Dans ce Far-West numérique, où des entreprises visent à asseoir leur autorité, la question demeure : qui jouera le rôle du shérif entre l’Organisation des Nations Unies (ONU), l’Union internationale des télécommunications (UIT), ou un potentiel nouvel organe spécialisé sur ces questions ?

—  Laura Baudin, étudiante au programme de doctorat en droit à l'Université de Montréal