Aux États-Unis, un projet de loi entend légaliser la pratique du hack-back. Le principe en est simple. Face à une agression physique, les victimes ont le droit de répliquer pour se défendre. C’est la légitime défense. Mais qu’en est-il des agressions virtuelles ? Une entreprise peut-elle lancer une cyberattaque pour répliquer face à des hackers ? Le projet de loi américain entend légaliser cette pratique de hack-back et certains, en France, réclament déjà une loi identique. Antivirus, pare-feu, formation des collaborateurs et des collaboratrices… les entreprises font actuellement tout pour défendre leur système d’information (SI) face aux cybermenaces grandissantes. Selon le spécialiste Wipro, en 2019 qui a interrogé les entreprises du monde entier, les budgets dédiés à la cybersécurité peuvent atteindre 10 % des dépenses informatiques globales des entreprises, alors que celles-ci doivent déjà payer de multiples licences, des serveurs, des hébergements, une masse salariale… 39 % des entreprises auraient même déjà souscrit une assurance pour affronter les conséquences des cyberattaques. Mais toutes ces solutions restent défensives. Et si les organisations pouvaient contre-attaquer ? Et si elles pouvaient réduire la menace en lançant à leur tour des attaques ciblées contre les hackers ? C’est tout le principe du hack-back, une sorte de légitime défense 2.0. Le même pouvoir que l’État ? Actuellement cette pratique est interdite en France. Seul l’État se réserve le droit de lancer des cyberattaques contre les hackers ou les pays hostiles. Pourtant, certains demandent que les entreprises jouissent également de ce droit. L’argument avancé ? L’État concentre sa force de frappe contre les États adverses, et contre les tentatives de hacking des opérateurs d’importance vitale (OIV) comme les entreprises de l’énergie, des transports, des télécommunications, etc. Toutes les autres sont comme abandonnées face aux menaces, comme le rappellent l’avocat Francis Teitgen et l’ancien bâtonnier Nicolas Ludmann, dans une récente lettre ouverte. Les États-Unis, premier pays du hack-back ? Outre-Atlantique, l’argument a convaincu le représentant au Congrès Tom Grave. Ce dernier a déposé une proposition de loi dès 2017, et une seconde en 2019, suite à l’échec de la première. Toujours en cours d’examen, le texte prévoit notamment de dépénaliser les intrusions dans des systèmes informatiques en réponse à des attaques. En revanche, il n’envisage pas de légaliser les actions destructrices (suppression de données ou destruction de matériel à distance), même en légitime défense. L’idée du représentant : autoriser les entreprises à s’introduire dans les systèmes des hackers pour stopper l’attaque, et récupérer les données dérobées. De nombreuses incertitudes Si la technique a de quoi séduire, elle n’en pose pas moins d’innombrables questions. La revue du MIT pointe ainsi de nombreux problèmes de taille pour généraliser le hack-back. Par exemple, le fait que les entreprises manquent cruellement de compétences pointues en cybersécurité. Détecter une attaque relève quelquefois du parcours du combattant. Sans parler d’identifier son origine. Selon une étude du spécialiste Wavestone, 35 % des entreprises ne détectent les cyberattaques dont elles font l’objet que 6 à 9 mois après ! Certaines attaques ont même été identifiées 6 ans après leurs débuts. Dans ces conditions, le hack-back apparaît plus que hasardeux. Autre enjeu : « riposter suppose d’avoir une attribution sans faille », explique Navpreet Jatana, un responsable de la sécurité des systèmes d’information cité dans le MagIT. Ce qui est loin d’être le cas aujourd’hui. Car, en plus de l’efficacité des hackers pour couvrir leurs traces, le réseau Internet lui-même n’a pas été conçu pour tracer les échanges. Contrairement au réseau téléphonique traditionnel qui visait à mettre en contact des numéros et personnes identifiés, le web est une zone d’échanges ouverts, libres et anonymes. Mais, pour le MIT, le premier risque est d’ordre géopolitique. Sachant que les principales cyberattaques d’aujourd’hui proviennent de la Corée du Nord, de la Russie et de l’Iran, que pourrait-il se passer si une entreprise privée ripostait face à ces États ? Le risque pour la paix mondiale serait bien trop grand à prendre. C’est d’ailleurs la raison pour laquelle, en France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) reste fermement opposée à la pratique du hack-back. Facebook Twitter LinkedIn
Comment concilier cybersécurité et sobriété numérique ? Technologie & Systèmes 13 février 2024 Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…
Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ? Technologie & Systèmes 30 janvier 2024 Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…
La cybersécurité des infrastructures critiques, un enjeu d’importance nationale Technologie & Systèmes 23 janvier 2024 Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…