L’enjeu des cyber-sanctions gagne en importance face à la prolifération des attaques informatiques mondiales. Les réponses variées de l’Union européenne et des États-Unis révèlent la complexité de la lutte contre la cybercriminalité et la nécessité d’une coopération internationale renforcée.
La problématique des cyber-sanctions est relativement peu abordée. Elle est pourtant devenue incontournable, devant la difficulté de l’Union européenne à lutter contre des cyberattaques qui impactent sévèrement l’économie. Trouver des moyens d’attribuer le préjudice à un groupe, à des individus, voire à un Etat, afin de les sanctionner, pourrait être une mesure de dissuasion efficace. Dans les faits, quand l’UE semble « prendre son temps », les Etats-Unis répriment.
Rendre les cyberattaques irréalisables et non rentables
Après les débats, les actes ? L’European Union Institute for Security Studies (EUISS) a défini les cyber-sanctions comme un ensemble de mesures économiques et financières. Elles doivent dissuader les agresseurs potentiels ayant recours à des actes de cyber-malveillance à des fins politiques, économiques ou de sécurité.
Mener une attaque exige peu de moyens : les cybercriminels peuvent déployer une attaque depuis l’autre bout du monde, sans recours à d’importants appareils logistiques et sans mettre leur vie en danger… La facilité de mise en œuvre des attaques ne doit cependant pas effacer leur dangerosité : elles peuvent perturber l’accès aux soins dans les hôpitaux, déstabiliser un pays et la confiance envers ses autorités…
Il y a urgence pour les gouvernements et les organisations internationales à trouver des moyens de dissuader le passage à l’acte des hackers. Comment ? Des mesures doivent être prises pour rendre les cyberattaques irréalisables et non rentables : interdire le paiement des ransomwares, cibler le financement des opérations criminelles ou faire en sorte qu’il ne soit pas viable de mener une cyberattaque. Ceci ne lève cependant pas l’obligation pour les entreprises et les individus à rester vigilants et à adopter des technologies éprouvées ; pour améliorer de façon proactive la lutte contre les cyberattaques.
Il serait cependant faux de croire que rien n’est fait à l’échelle des 27 pour éduquer à une meilleure gestion et protection des données. La cybersécurité est un enjeu dont l’UE s’est emparée très tôt : création de l’Agence de l’UE pour la cybersécurité (ENISA) en 2004, renforcée en 2019. En France, dès 2009, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) voyait le jour. Parmi les mesures les plus connues votées par l’Union, nous pourrions citer : G.D.P.R. (Règlement général sur la protection des données), adoptée en 2016 pour la protection des données à caractère personnel. En 2022, le règlement DORA (Digital Operational Resilience Act) est approuvé, en vue de renforcer la sécurité des systèmes d’information du secteur de la finance, entre autres armes cyberdiplomatiques.
U.E. : des sanctions qui ont tardé à venir
Tout cela est bien, mais il y a une difficulté à appliquer les sanctions. Elle tient souvent à l’impossibilité à établir des responsabilités. Qu’il s’agisse d’un hacktiviste soutenu par un pays, d’un cybercriminel ou même d’un membre d’un service de renseignement, ils utilisent les failles de sécurité des systèmes d’information ou profitent du manque de vigilance des individus.
Jusqu’à aujourd’hui, l’Union européenne a eu très peu de cas de cyber-sanctions. Le 30 juillet 2020, l’UE a imposé la première cyber-sanction de son histoire à l’encontre de six personnes et de trois entités de Russie, de Chine et de Corée du Nord. Les trois entités dénommées « WannaCry », « NotPetya » et « Operation Cloud Hopper » ont été accusées d’être au moins impliquées dans une cyber-attaque contre l’OIAC (Organisation pour l’interdiction des armes chimiques).
Le cadre juridique est en place depuis mai 2019, soit un an avant l’application des premières peines. Ces sanctions arrivent à point nommé à la lecture des chiffres du nombre d’attaque menées à la même période. D’après les données du rapport 2020 de l’assureur Hiscox sur la gestion des cyber-risques, 67% des entreprises françaises ont été victimes de cyberattaques en 2019 et 34% en 2020. Les autres pays de l’Union ne sont pas en reste : 61 % des entreprises allemandes ont été la cible de cyberattaques en 2019 contre 41% en 2020. La Belgique est le pays où l’on dénombre le plus de victimes, 71% en 2019 et 49% en 2020.
Que comprennent ces sanctions ? L’interdiction de pénétrer sur le territoire de l’UE et un gel des avoirs. Le dernier cas en date concerne la société informatique russe NTC Vulkan, au centre des « Vulkan Files ». Le 23 juin dernier, elle a été ajoutée à la liste des entités sanctionnées pour avoir développé des programmes de cyberattaques et des campagnes de désinformation à grande échelle. Si les cyber-sanctions sont relativement nouvelles pour l’UE, elles sont courantes dans d’autres pays, comme les Etats-Unis.
Les Etats-Unis ouvrent la marche des sanctions cyber-diplomatiques
Les États-Unis ont régulièrement condamné les cybercriminels depuis 2012. La condamnation la plus connue, rendue en mai 2023, concerne un hacker russe accusé de multiples attaques par ransomware contre des infrastructures critiques du pays. En février 2023, les États-Unis et le Royaume-Uni ont créé la toute première sanction conjointe pour cybercrime à l’encontre d’un groupe de hackers russe. Cette mesure a concerné sept personnes ayant utilisé les ransomwares Conti et Ryuk et le cheval de Troie bancaire Trickbot, pour cibler plusieurs personnes et entreprises. En octobre 2020, le département du Trésor américain (soit l’équivalent du ministère de l’Économie en France) a annoncé des sanctions à l’encontre d’un institut de recherche du gouvernement russe associé à un système de logiciels malveillants. Des cyber-sanctions ont été imposées au Central Scientific Research Institute of Chemistry and Mechanics (TsNIIKhM) accusé d’être à l’origine de l’arrêt d’une raffinerie de pétrole en Arabie saoudite. Cet arrêt des activités a été déclenché par des hackers en août 2017 à l’aide du logiciel malveillant Triton ; utilisé pour contrôler les systèmes de sécurité de la raffinerie. En 2019, ce même département a imposé des sanctions similaires à des groupes de cybercriminels nord-coréens accusés d’être soutenus par l’État (Lazarus Group, Bluenoroff et Andariel).
Plusieurs organes existent aux Etats-Unis pour appuyer le déploiement des sanctions : le Cyber related sanctions program est la base de référence pour imposer les sanctions mises en place en 2017. L’Executive Order (E.O.) 13694 des États-Unis se concentre sur les dommages spécifiques causés par des actes de cyber-malveillance de grande envergure.
Il charge le secrétaire du Trésor, en consultation avec le Procureur général et le Secrétaire d’État, d’imposer des sanctions aux personnes qu’il ou elle juge responsables ou complices d’activités conduisant à de tels dommages. Agissant en vertu d’une autorité déléguée, l’Office of Foreign Assets Control (OFAC) du département du Trésor travaille en coordination avec d’autres agences gouvernementales américaines. Il a pour objectif d’identifier les personnes et les entités dont le comportement répond aux critères définis. Dans ce contexte, « Cyber enabled » (ou cyber-activité), signifie que des ordinateurs ou d’autres dispositifs électroniques ont été impliqués dans les dommages créés.
A ce stade de notre analyse, nous comprenons qu’à mesure que les États chercheront des moyens de lutte pour préserver la cybersécurité nationale, de nouveaux outils législatifs permettront de mettre un frein à l’activité des pirates informatiques.
Le Cyber Resilience Act, annoncé en septembre 2022 par la Commission européenne, par exemple, répond à cette même ambition. Il permettra de renforcer la sécurité des matériels et logiciels commercialisés dans l’Union. Il obligera donc entreprises et fournisseurs, à ne pas compter sur les seuls appareils législatifs en place, pour adopter une posture de sécurité proactive. Nous sommes la bonne voie pour l’adoption de cyber-sanctions et de leurs applications. Mais ces mesures ne seront rien si les entreprises n’intègrent pas des outils informatiques réellement efficaces et sans une éducation des individus à la cybersécurité.
____________________________
Par Andy Norton, European Cyber Risk officer, Armis