Ce qu’il faut savoir avant d’entâmer une cyber contre-attaque

Alors que la question de la cybercriminalité suscite bon nombre d’interrogations quant aux moyens de riposte au niveau national, quid du droit des entreprises à ce sujet.

Le contexte juridique qui encadre une riposte informatique est celui de la légitime défense décrit dans l’article 122-5 et 122-6 du code pénal.  Selon ces textes, et plus particulièrement l’alinéa 2 de l’article 122-5, pour caractériser la légitime défense des biens, il y a des critères à remplir concernant l’atteinte et l’acte de riposte.

Il faut prouver que l’atteinte portée au Système de traitement automatisé des données (Stad) est illégale et représente une menace. La question de l’illégalité s’appuie sur l’article 323-1 du code pénal qui réprime les atteintes au Stad. Ensuite, pour se prévaloir de légitime défense il faut prouver que l’intégrité des données et le fonctionnement de son système sont menacés. Une procédure facilitée dès lors que l’information est organisée selon sa sensiblilité et/ou criticité.

La riposte

Le législateur exige de l’entreprise qu’elle prouve son obligation de s’en prendre à son agresseur. Trois critères doivent être réunis : la nécessité, la concomitance et la proportionnalité.

La nécessité : Riposter doit être le seul moyen de faire cesser la cyberattaque. Le cadre légal précise que s’il est possible de fuir la défense n’est plus nécessaire. Le critère de nécessité n’est alors plus rempli et la légitime défense est exclue. S’il suffit de débrancher l’ordinateur ou le serveur pour stopper l’hémorragie, le critère de nécessité est remis en question. Reste que si cet évitement est dommageable pour l’entreprise il est possible de considérer que le critère de nécessité se reconstitue.

La proportionnalité : Pour répondre de façon proportionnelle, il faut comprendre l’attaque que l’on a subit. Mais il est difficile d’envisager de riposter de façon proportionnelle lorsqu’il s’agit d’une attaque véhiculée par un botnet. La question des serveurs bulletproof nichés dans des déserts juridiques pose également problème tout comme les serveurs permettant la réalisation de cyberattaques en qui véhiculant et hébergeant à leur insu des milliers de contenus légitimes.

La concomitance : Il faut réagir instantanément. Or pour cela il faut avoir identifié l’auteur de l’attaque et repéré ses faiblesses. Des éléments qui reposent forcément sur une enquête. Dès lors on ne parle plus de riposte dans un cadre de légitime défense, mais de vengeance. Quid de l’idée d’une réponse automatique ? La légitime défense n’interdit pas la préméditation par l’usage de piège automatique. Une tolérance qui n’est cependant valable que si la question de proportionnalité est respectée.

Certaines entreprises vont donc riposter mais dans l’ombre car le cadre légal est très difficile à mettre en œuvre. Et dans les rares cas où les critères exigés seront réunis, il sera peut-être difficile de le prouver.

L’avis de l’expert
Barbara Louis-Sidney, consultante à la Compagnie européenne d’intelligence stratégique (Ceis)

Il apparaît malgré tout important d’avoir recours à des méthodes de classification et de hiérarchisation de l’information, afin de prouver rapidement à quel niveau l’entreprise a été atteinte. Quant au travail d’enquête, s’il ne peut déboucher sur une riposte, il s’avérera au moins utile aux forces de l’ordre. La question de la légitime défense numérique reste donc ouverte. Le juge sera peut-être confronté à cet argument, dans la mesure où certains acteurs recourent déjà à ces pratiques.