Hack back : débat sur les pratiques de cyber résilience des entreprises

La multiplication des cyber-attaques ciblant des entreprises et impliquant des Etats fait craindre l’entrée de nos sociétés dans une forme de cyber guerre permanente, dont les contours juridiques restent flous. Toute la difficulté réside en cette nouvelle forme de conflit qui met à égalité acteurs privés tel que des entreprises ou des individus et des Etats. Ce changement de paradigme a fait émerger la notion de « hack back » ou « reverse hacking », c’est-à-dire le développement de mesures de représailles à des attaques informatiques par des acteurs privés. Pourtant, si certains pays semblent tentés par cette pratique pour assurer un certain niveau de résilience, l’Union Européenne et la France s’alignent sur une position contraire, préférant mettre en avant les concepts de cyber diplomatie et de cyber paix. Les RSSI ne sont pour autant pas démunis puisqu’ils ont à leur disposition un ensemble de mesures défensives, voire de défenses actives plus agressives qui entrent bien dans le champ d’action légal.

Les capacités offensives ne sont pas le monopole de l’Etat dans le cyber espace. Le secteur privé possède des outils offensifs (exploits, outils de surveillance, etc.) qui lui permettent de déployer des contre-mesures « agressives » à l’extérieur de son système victime d’une attaque cybernétique. Pourtant, ces pratiques de défense active offensive font débat.

Pratiques de hack back : divergences de point de vue  

En France le droit n’autorise pas les entreprises à répliquer lors d’une cyber attaque, que ce soit pour récupérer les données dérobées ou s’en prendre aux infrastructures système de leurs attaquants. Pourtant, si les autorités françaises se veulent catégoriques et prônent l’interdiction du hack back, le débat aux Etats-Unis est tout autre puisqu’une proposition de loi a d’ores-et-déjà été déposée par un sénateur – Tom Graves – afin que les entités victimes de cyber attaques puissent répliquer elles-mêmes après simple notification au FBI de la fuite repérée. Il s’agirait d’appliquer son droit à l’autodéfense, afin de rassembler des preuves qui devront être remises aux autorités par la suite. Ce projet de loi – The Active Cyber Defense Certainty (ACDC) Act – veut ainsi remettre en cause le Computer Fraud and Abuse Act qui interdit la pratique du reverse hacking aux Etats-Unis. Si c’est la première fois qu’un projet de loi est déposé, le débat, lui, n’est pas nouveau et refait régulièrement surface suite aux cyber-attaques qui trouvent échos dans la sphère médiatique.

Pourtant, secteur privé comme public se confrontent à des limites techniques lorsqu’il est question de contre attaquer à la suite d’une cyber attaque. En effet, la problématique de l’attribution d’une attaque reste dans la majorité des cas impossible. Il est en effet très difficile de déterminer de manière certaine l’origine d’une attaque, et la démarche pour y parvenir demande d’engager du temps et des moyens importants.  De plus, la volonté d’attribution sous-tend bien souvent une volonté de répliquer alors même que toute réplique pourrait s’avérer néfaste pour des utilisateurs innocents dont les machines infectées n’auraient été que les vecteurs d’attaque. De telles pratiques apparaissent ainsi comme des facteurs de déstabilisations alors même que l’objectif recherché est la stabilité et la paix internationale.

Un modèle européen alternatif : l’avènement d’une cyber diplomatie contre les actes offensifs ?

Le hack back (la contre-attaque) n’entre pas dans la définition de la défense active française qui inclue l’anticipation, l’analyse, la détection et la réaction aux intrusions dans les systèmes informatiques sensibles, la prévention des menaces et un partage d’information actif à des fins de communication et de sensibilisation. Face aux pratiques de hack back, la France et l’Europe entendent bien mettre à jour une cyber diplomatie basée sur le droit international en instaurant des normes de comportement à caractères volontaire afin d’assurer la sécurité du cyber espace. C’est dans ce sens que l’ANSSI condamne la pratique du reverse hacking au profit d’une cyber diplomatie active. Une nouvelle fois, l’Europe entend jouer son rôle de juriste du numérique.

La cyber légitime défense doit rester un monopole étatique pour la France et l’Europe

La violence légitime en Europe ne se veut que le fruit de l’Etat, il doit en être de même pour toute activité de force dans le cyber espace. La France s’est d’ailleurs dotée d’un commandement cyber, le CYBERCOM, afin de réunir 2600 combattants numériques d’ici 2019. Elle entend ainsi utiliser les capacités cyber offensives françaises pour « s’introduire dans les systèmes ou les réseaux des ennemis de la France, que ce soit pour y causer des dommages, des interruptions de service ou des neutralisations temporaires ou définitives » selon les propos tenus en décembre 2016 par le ministre de la Défense de l’époque, monsieur Jean-Yves le Drian. La cyber légitime défense active offensive semble aujourd’hui être un concept effectif mais limité à un niveau étatique.

RSSI – un champs des possibles défensifs à améliorer

La question du reverse hacking est intrinsèquement liée à celle de la défense du Système d’Information. Si cette pratique devrait rester illégale dans les années à venir, le RSSI ne manque pas de solutions pour assurer la protection de son entreprise.

Dans un premier temps, avant d’imaginer se positionner en capacité de cyber défense active « vengeresse », le RSSI doit s’assurer des capacités de résilience de son entreprise pour atteindre le bon niveau de réaction face à une cyber attaque et d’assurer le plan de continuité de l’entreprise.

Dans un second temps, le RSSI peut en effet prendre des mesures de cyber défense plus agressive tout en restant dans le champ des possibles légaux. Depuis 2008 le Livre Blanc sur la défense et la sécurité nationale du Ministère de la Défense mentionne et souligne la nécessité de se doter de moyens actifs de cyber défense. Différentes solutions existent pour mettre en place une approche de défense active : améliorer ses capacités de détection en temps réel des tentatives d’intrusion, faire usage de la désinformation, l’entrainement et la simulation régulière de test d’intrusions (white box, black box ou red team) afin d’identifier et cartographier les vulnérabilités du SI.

 

L’expertise au centre de notre stratégie de croissance