Aux États-Unis, un projet de loi entend légaliser la pratique du hack-back. Le principe en est simple. Face à une agression physique, les victimes ont le droit de répliquer pour se défendre. C’est la légitime défense. Mais qu’en est-il des agressions virtuelles ? Une entreprise peut-elle lancer une cyberattaque pour répliquer face à des hackers ? Le projet de loi américain entend légaliser cette pratique de hack-back et certains, en France, réclament déjà une loi identique. Antivirus, pare-feu, formation des collaborateurs et des collaboratrices… les entreprises font actuellement tout pour défendre leur système d’information (SI) face aux cybermenaces grandissantes. Selon le spécialiste Wipro, en 2019 qui a interrogé les entreprises du monde entier, les budgets dédiés à la cybersécurité peuvent atteindre 10 % des dépenses informatiques globales des entreprises, alors que celles-ci doivent déjà payer de multiples licences, des serveurs, des hébergements, une masse salariale… 39 % des entreprises auraient même déjà souscrit une assurance pour affronter les conséquences des cyberattaques. Mais toutes ces solutions restent défensives. Et si les organisations pouvaient contre-attaquer ? Et si elles pouvaient réduire la menace en lançant à leur tour des attaques ciblées contre les hackers ? C’est tout le principe du hack-back, une sorte de légitime défense 2.0. Le même pouvoir que l’État ? Actuellement cette pratique est interdite en France. Seul l’État se réserve le droit de lancer des cyberattaques contre les hackers ou les pays hostiles. Pourtant, certains demandent que les entreprises jouissent également de ce droit. L’argument avancé ? L’État concentre sa force de frappe contre les États adverses, et contre les tentatives de hacking des opérateurs d’importance vitale (OIV) comme les entreprises de l’énergie, des transports, des télécommunications, etc. Toutes les autres sont comme abandonnées face aux menaces, comme le rappellent l’avocat Francis Teitgen et l’ancien bâtonnier Nicolas Ludmann, dans une récente lettre ouverte. Les États-Unis, premier pays du hack-back ? Outre-Atlantique, l’argument a convaincu le représentant au Congrès Tom Grave. Ce dernier a déposé une proposition de loi dès 2017, et une seconde en 2019, suite à l’échec de la première. Toujours en cours d’examen, le texte prévoit notamment de dépénaliser les intrusions dans des systèmes informatiques en réponse à des attaques. En revanche, il n’envisage pas de légaliser les actions destructrices (suppression de données ou destruction de matériel à distance), même en légitime défense. L’idée du représentant : autoriser les entreprises à s’introduire dans les systèmes des hackers pour stopper l’attaque, et récupérer les données dérobées. De nombreuses incertitudes Si la technique a de quoi séduire, elle n’en pose pas moins d’innombrables questions. La revue du MIT pointe ainsi de nombreux problèmes de taille pour généraliser le hack-back. Par exemple, le fait que les entreprises manquent cruellement de compétences pointues en cybersécurité. Détecter une attaque relève quelquefois du parcours du combattant. Sans parler d’identifier son origine. Selon une étude du spécialiste Wavestone, 35 % des entreprises ne détectent les cyberattaques dont elles font l’objet que 6 à 9 mois après ! Certaines attaques ont même été identifiées 6 ans après leurs débuts. Dans ces conditions, le hack-back apparaît plus que hasardeux. Autre enjeu : « riposter suppose d’avoir une attribution sans faille », explique Navpreet Jatana, un responsable de la sécurité des systèmes d’information cité dans le MagIT. Ce qui est loin d’être le cas aujourd’hui. Car, en plus de l’efficacité des hackers pour couvrir leurs traces, le réseau Internet lui-même n’a pas été conçu pour tracer les échanges. Contrairement au réseau téléphonique traditionnel qui visait à mettre en contact des numéros et personnes identifiés, le web est une zone d’échanges ouverts, libres et anonymes. Mais, pour le MIT, le premier risque est d’ordre géopolitique. Sachant que les principales cyberattaques d’aujourd’hui proviennent de la Corée du Nord, de la Russie et de l’Iran, que pourrait-il se passer si une entreprise privée ripostait face à ces États ? Le risque pour la paix mondiale serait bien trop grand à prendre. C’est d’ailleurs la raison pour laquelle, en France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) reste fermement opposée à la pratique du hack-back. Facebook Twitter LinkedIn
L’analyse de données, un levier sous-exploité pour la sécurité des entreprises Technologie & Systèmes 25 mars 2025 Au cœur des enjeux sécuritaires actuels, l’exploitation intelligente des données collectées représente un potentiel considérable, mais largement inexploité. Les entreprises modernes disposent d’une grande richesse d’informations générée par leurs différents systèmes de sécurité, mais rares sont celles qui en tirent pleinement parti. Comment transformer ces données brutes en véritable levier…
L’importance de la maintenance des équipements de sécurité électronique Technologie & Systèmes 25 février 2025 Caméras de surveillance, alarmes, systèmes de contrôle d’accès électronique…Dans le domaine de la sécurité, posséder des équipements de pointe est une chose, mais les maintenir en parfait état de fonctionnement en est une autre, tout aussi cruciale. La maintenance régulière et rigoureuse des dispositifs de sécurité électronique est trop souvent…
Les techniques d’investigation au service de la sécurité des entreprises Métiers & Formations 11 février 2025 Dans un monde économique de plus en plus complexe et interconnecté, les entreprises sont contraintes de sans cesse renforcer leurs dispositifs de sécurité. Les menaces à leur encontre se sont multipliées et sophistiquées, mettant en péril leurs actifs, leur réputation et parfois même leur pérennité. Face à ces défis, les…