Dans un environnement géopolitique et économique marqué par de fortes tensions, le cyberespace est devenu le théâtre d’un champ de bataille invisible. Aujourd’hui, une entreprise sur deux risque la défaillance, c’est-à-dire une situation dans laquelle elle ne peut plus faire face à ses obligations financières, dans les six mois suivant une cyberattaque. Tandis que les acteurs malveillants s’industrialisent, s’appuyant sur des outils automatisés et parfois sur des moyens étatiques, les entreprises françaises se retrouvent souvent démunies.
État de la menace d’origine « cyber » en France
La menace d’origine « cyber » en France connaît une progression importante, tant en volume qu’en intensité. En 2023, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a enregistré une hausse de 30 % des attaques par rançongiciel par rapport à l’année précédente. En 2024, cette menace reste à un niveau élevé « avec un nombre d’incidents comparable à l’année passée ». Les très petites entreprises (TPE), petites et moyennes entreprises (PME) et entreprises de taille intermédiaire (ETI) sont devenues les cibles privilégiées des cybercriminels, représentant désormais près de « 40 % des attaques par rançongiciel » traitées ou rapportées par l’ANSSI. De manière générale, le nombre de cyberattaques traitées par l’ANSSI a augmenté de 15 % entre 2023 et 2024.
Les impacts sur les ETI et PME
Une entreprise doit être pérenne et compétitive. Néanmoins, l’espionnage économique (vol de secrets industriels, de savoir-faire…) ou les cyberattaques (vol de données clients) peuvent avoir un impact considérable sur la compétitivité et la réputation d’une entreprise. Ces impacts peuvent se matérialiser par un coût financier, une interruption de l’activité, voire des poursuites juridiques. À noter que le risque de défaillance d’une entreprise augmente de plus de 50 % « dans les six mois suivant l’attaque ».
Les limites de la cybersécurité passive
Face à une industrialisation croissante des cyberattaques, grâce notamment aux ransomware-as-a-service et à l’intelligence artificielle, les barrières de protection courantes sont devenues insuffisantes face aux attaques sophistiquées et/ou ciblées. L’étude menée par SFR Business indique que les pare-feux ou les antivirus « constituent des fondations nécessaires » mais elles « restent insuffisantes face aux cybermenaces […] qui prospèrent malgré une couverture apparente ». Environ 60 % des intrusions impliquent encore un comportement humain rendant les barrières purement techniques contournables. Cette situation peut s’illustrer avec l’analogie du château-fort : la grille du château peut être ouverte de l’intérieur, facilitant l’intrusion malgré la présence d’une douve et d’un mur fortifié.
Les risques de la riposte privée : le « hack-back »
Une proposition de loi américaine datant de 2019, l’Active Cyber Defense Certainty Act, repose sur le postulat que les entreprises et les particuliers, victimes de cyberattaques, pourraient utiliser des mesures de défense active, comme le traçage ou la neutralisation des attaquants, sans risque de poursuites pénales, à condition de notifier préalablement le Federal Bureau of Investigation (FBI) et de respecter certaines limites. Ici, la notion de défense active fait référence au « hack-back ».
En opposition à l’adoption d’une posture défensive passive, le Secrétariat Général de la Défense et de la Sécurité Nationale a défini en 2018 le « hack-back » comme le fait « pour un acteur privé de mener des actions cyber offensives en réponse à une attaque dont il serait victime […] pour récupérer les données subtilisées, détruire le système des attaquants, voire dérober les moyens dont ils disposent ». La France pourrait-elle s’inspirer de cette proposition de loi ?
Cette pratique reste controversée pour plusieurs raisons. En effet, l’attaquant apparent n’est que rarement l’attaquant réel. Les pirates utilisent souvent des botnets, réseaux de machines infectées appartenant à des victimes innocentes, pour masquer leur origine. En conséquence, une riposte serait susceptible de frapper une tierce partie innocente. De plus, cela reviendrait à laisser des entités privées/non étatiques attribuer des cyberattaques. Or, en France, l’attribution officielle d’une cyberattaque à un État étranger relève exclusivement des autorités gouvernementales. Si des acteurs privés (entreprises en cybersécurité ou des chercheurs) peuvent identifier des groupes malveillants selon leurs modes opératoires, seul le Président de la République peut désigner publiquement un pays comme commanditaire. À ce jour, seulement une attribution explicite a été faite par la France : elle a condamné « le recours par le service de renseignement militaire russe (GRU) au mode opératoire d’attaque APT28, à l’origine de plusieurs cyber-attaques contre des intérêts français ». À noter qu’une action offensive privée pourrait engager la responsabilité de l’État hôte et provoquer une escalade de tension entre nations.
La riposte reste une mesure régalienne
La doctrine française maintient une séparation stricte des rôles pour garantir la stabilité du cyberespace. D’un côté, l’ANSSI intervient sur les plans défensif et civil. Cette entité assure la prévention, la protection et la détection au profit des administrations et des acteurs critiques. Par conséquent, son action est curative et préventive, sans vocation pour l’action offensive. D’un autre côté, le COMCYBER est présent sur les plans offensif, défensif et militaire. Seules les armées sont habilitées à conduire une Lutte Informatique Offensive (LIO) et une Lutte Informatique Défensive (LID) pour défendre les intérêts de la Nation et agir sur les théâtres d’opérations. La riposte légitime dans le cyberespace repose donc sur l’État.
De la défense passive à la défense active
La notion de défense active ne doit pas être confondue avec des outils de défense légaux. En effet, les solutions de détection et de réponse telles qu’un Endpoint Detection Response (EDR) ou encore des honeypots sont utiles mais ne relèvent pas de la légitime défense. Ces moyens de défense se limitent à des actions licites de cloisonnement réseau ou à l’envoi d’alertes au sein du périmètre de l’entreprise. La défense active, au sens de la légitime défense numérique, renvoie au hack-back. Pour rappel, le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN) définit le hack-back comme le droit pour une victime de mener des actions offensives contre l’infrastructure de son attaquant pour faire cesser l’attaque. Dans le cas d’une attaque par déni de service (DoS ou DDoS), cela consisterait à faire tomber l’infrastructure de l’attaque ou perturber les communications entre les botnets. Pour un ransomware, l’objectif serait de récupérer la clé de chiffrement et les données exfiltrées. Or, cette pratique est strictement interdite en France par le Code pénal. Pourrait-on invoquer la légitime défense pour justifier un hack-back ?
Le Code pénal indique que la légitime défense peut être employée pour repousser une attaque injustifiée contre soi-même ou autrui sous trois conditions cumulatives : l’attaque doit être actuelle ou imminente, la riposte doit être nécessaire et proportionnée à l’attaque subie. Toutefois, cette disposition ne s’applique qu’aux personnes physiques. Si celle-ci était transposée aux cyberattaques, cela soulèverait des questions sur les trois conditions préalablement citées. Par exemple, comment pourrait-on caractériser le moment précis de la cyberattaque alors que l’attaquant peut rester plusieurs semaines voire plusieurs mois dans les systèmes sans se faire repérer. Ou encore, comment s’assurer qu’une contre-attaque ne générerait pas des dommages collatéraux sur d’autres systèmes tiers ? Ces obstacles rendent l’application de la légitime défense au cyberespace juridiquement impraticable. C’est pourquoi la France maintient l’interdiction stricte de toute intrusion informatique, même en réponse à une attaque.
Au-delà de l’aspect juridique, la pratique du hack-back soulève des risques majeurs de dérive. Cette pratique pourrait être instrumentalisée dans une logique d’intelligence économique offensive pour discréditer un concurrent. Par exemple, une entreprise pourrait révéler que des machines informatiques de son concurrent principal ont servi à une cyberattaque. Une entreprise pourrait également s’appuyer sur le réseau d’une entreprise d’un pays pour mener une attaque contre une cible d’un autre pays, puis invoquer le hack-back pour justifier une riposte numérique. Un espionnage économique pourrait aussi être déguisé. En effet, une entreprise victime d’une cyberattaque, réelle ou simulée, pourrait réaliser un hack-back sur le système d’information de l’attaquant. Sauf qu’au lieu de se limiter à neutraliser l’attaque, l’entreprise pourrait exfiltrer des données stratégiques. Par ailleurs, une entreprise pourrait monter une opération offensive contre un concurrent lors d’un appel d’offres sur un marché cible pour le décrédibiliser en public et l’écarter de l’appel d’offres vis-à-vis de ses failles de sécurité. En outre, la pratique du hack-back pourrait potentiellement se généraliser au niveau des institutions régaliennes d’un pays envers un autre pays, déclenchant ainsi un processus d’escalade important sur la sphère internationale.
Enfin, ces opérations nécessiteraient des compétences importantes et/ou un budget significatif. Certains géants disposent des moyens pour mener de telles opérations. Par exemple, la société américaine Nvidia aurait riposté après avoir été victime d’une attaque par ransomware menée par le groupe LAPSU$, en chiffrant les données volées directement sur le serveur des attaquants. De plus, la société américaine Sony se serait défendue contre la publication illégitime de ses films en inondant les canaux de publication avec de faux fichiers qui imitaient la signature des films volés. Toutefois, ces cas restent exceptionnels. Pour les PME et ETI, ces complexités techniques et budgétaires nécessiteraient le recours à des acteurs privés, livrant ainsi le cyberespace à un véritable désordre. Par conséquent, la doctrine française maintient une séparation stricte entre les acteurs privés, qui doivent se défendre, et les autorités régaliennes qui peuvent mener des actions offensives. Cette approche préserve la stabilité du cyberespace et évite une escalade entre acteurs privés.
Pour maintenir leur pérennité, les entreprises françaises doivent s’équiper de moyens de défense souverains. L’armement numérique de l’entreprise doit reposer sur trois piliers. Un pilier technologique avec le déploiement de solutions de détection avancées en privilégiant des solutions européennes pour garantir la souveraineté. Un pilier humain en formant et en sensibilisant ses équipes face aux menaces cyber. Enfin, un pilier collaboratif en communicant avec les autorités régaliennes et en participant à des exercices de gestion de crise.
Nino CARATY
Club cyber de l’AEGE
Pour aller plus loin :