Cyberguerre mondiale : soyons prêts !

L’invasion russe en Ukraine ne se limite pas aux combats physiques. Une cyberguerre, dite également guerre cybernétique, se déroule en parallèle, d’une nature inédite. Depuis le 23 février 2022, soit la veille du déclenchement de l’opération militaire russe en Ukraine, des cyberattaques de natures diverses ont été constatées. Une partie de l’écosystème cybercriminel russophone s’est positionné dans le conflit en cours, le groupe cybercriminel Conti apportant par exemple son soutien au gouvernement russe. Des logiciels malveillants ont notamment assiégé les sites Web et les ordinateurs ukrainiens. L’Ukraine, qui en comparaison fait figure de novice dans le cyberespace, est devenu le premier pays à riposter, en lançant publiquement un appel à la création d’une armée internationale informatique, c’est-à-dire des cyberguerriers justiciers. Des centaines de milliers de spécialistes des technologies sur son sol et en dehors de ses frontières ont pris part à des opérations de piratage et d’attaques, pour cibler des infrastructures critiques russes. Le groupe de pirates informatiques Anonymous s’est déclaré officiellement en cyberguerre contre le gouvernement russe et a revendiqué la fermeture du site Web du Kremlin et le brouillage des chaînes de diffusion officielles. La Fédération de Russie a également annoncé qu’elle préparait activement sa déconnexion de l’Internet mondial, ce qui laisse augurer de la montée en puissance des attaques sur le réseau.

Les experts qui assurent la surveillance des cybermenaces, tant pour les pouvoirs publics que pour les entreprises privées, craignent que le pire soit encore à venir, et que la France ne soit victime de dommages collatéraux liés à des offensives des deux pays. La cybercriminalité est susceptible de paralyser des rouages essentiels du fonctionnement des entreprises et peut mettre en jeu leur survie, ainsi que celles de leurs clients, fournisseurs ou sous-traitants ou, s’agissant des hôpitaux, de leurs patients. « Ces cyberattaques ont des impacts limités pour le moment. Elles peuvent toutefois affecter par rebond des entités françaises. L’ANSSI recommande donc d’anticiper cette situation et de s’y préparer. Les entreprises françaises ayant des filiales en Ukraine ou en Russie sont évidemment particulièrement exposées à ce risque et doivent donc se montrer vigilantes », a déclaré l’Agence nationale de la sécurité des systèmes d’information sur son site internet.

Prévenir les cyberattaques

Face à d’éventuels dommages collatéraux en France, l’ANSSI a préconisé, le 26 février dernier, dans un document intitulé « Mesures cyber préventives prioritaires, tensions
internationales actuelles », la mise en oeuvre de 5 mesures préventives prioritaires, permettant de limiter la probabilité d’une cyberattaque, ainsi que ses potentiels effets.

Elle recommande d’abord de renforcer l’authentification des comptes particulièrement exposés, notamment ceux des administrateurs ayant accès à l’ensemble des ressources critiques du système d’information et ceux des personnes exposées de l’entité (personnel de direction, cadres dirigeants, etc.). Elle préconise aussi la mise en place d’un système de supervision des événements journalisés, permettant de détecter une éventuelle compromission et de réagir le plus tôt possible ; de sauvegarder hors-ligne l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques ; d’établir une liste priorisée des services numériques critiques de l’entité pour la continuité d’activité de l’entreprise en cas d’incident ; et enfin de s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque.

Les fonctions support comme la téléphonie, la messagerie mais aussi les applications métier peuvent être mises hors d’usage. Il s’agit alors de passer en fonctionnement dégradé et dans certains cas, cela signifie revenir au papier et au crayon. l’attaque cause en général une interruption d’activité partielle et, dans les cas les plus graves, une interruption totale. Définir des points de contact d’urgence, y compris chez les prestataires de services numériques et s’assurer d’avoir les numéros en version papier semble donc particulièrement utile. Au-delà, il s’agit pour les organisations de définir un plan de réponse aux cyberattaques associé au dispositif de gestion de crise – quand il existe – visant à assurer la continuité d’activité, puis son retour à un état nominal. La mise en oeuvre d’un plan de continuité informatique doit permettre à l’organisation de continuer à fonctionner quand survient une altération plus ou moins sévère du système d’information. Le plan de reprise informatique vise, quant à lui, à remettre en service les systèmes d’information qui ont dysfonctionné. Il doit notamment prévoir la restauration des systèmes et des données.

On notera également avec intérêt que la CNIL vient de rejoindre le GIP Action contre la cybermalveillance (GIP ALCYMA), groupement d’intérêt public qui, depuis 2015, permet à des acteurs publics et privés de mettre en commun des moyens financiers et/ou opérationnels pour agir contre la cybermalveillance au sens large, sous toutes
ses formes et manifestations, quels que soient les supports (ordinateurs, réseaux sociaux, tablettes, etc.) et le public (particuliers, entreprises, associations, administrations),
tant qu’il y a une victime, hors du périmètre d’intervention de l’ANSSI (opérateurs d’importance vitale, opérateurs de services essentiels). Le 9 mars, a été publié, sur le site Cybermalveillance.gouv.fr : « À ce stade du conflit, aucune cyberattaque directe ayant pu avoir des impacts significatifs sur la population française n’a été recensée sur [notre] périmètre. Cette situation est toutefois susceptible d’évoluer dans la durée. Des actions de représailles aux sanctions et positions défendues par la communauté internationale ne peuvent être exclues, tout comme une dégradation et une escalade des hostilités ». Un état des lieux des cybermenaces potentielles et des principales mesures de cybersécurité à mettre en oeuvre pour y faire face a ensuite été dressé.

Souscrire rapidement une assurance cyber

Face au risque grandissant de cyberattaque, certaines sociétés ont déjà assuré une partie de leur risque de ransomware en souscrivant une assurance. Une souscription qui pourrait s’avérer bien utile dans le contexte actuel. Le ransomware représente en effet la menace la plus régulièrement observée en 2020, et celle aux plus forts impacts sur la production, la réputation et les finances des victimes, selon un rapport de l’Institut Montaigne publié le 15 mars 2021.

Mais, malgré la proposition de couverture par certains acteurs du marché, l’assurance cyber est encore trop faiblement développée en Europe. Elle ne représente que 5 à 9 % de ce marché, soit un montant maximum de 255 M€ de primes, contre 85 à 90 % pour le marché américain. « Je pense que les entreprises devraient s’intéresser de près au sujet de la cyberassurance. Même si tout n’est pas parfait, ces assurances ont le mérite de permettre à des entreprises qui ne sont pas équipées, de pouvoir bénéficier, le jour J, d’équipes compétentes notamment en termes de sécurité, qu’il s’agisse d’audits de sécurité ou d’opérations de forensic, lançait Éric Barbry, associé du cabinet Racine, en 20201. Nombre de ces assurances proposent une intervention coup de poing sur les premières 72 heures d’une attaque dont tout le monde sait qu’elles sont les plus critiques. Mais attention, une assurance cyber ne protège pas contre les cyberattaques ! Il est important, dans tous les cas, de mettre en oeuvre une politique de sécurité adaptée au risque de l’entreprise ».

Saisi par la Direction générale du Trésor, le Haut comité juridique de la place financière de Paris a constitué un groupe de travail, présidé par Pierre Minor, associé du cabinet d’avocats Coat Haut de Sigy de Roux, chargé d’examiner le caractère complexe des questions juridiques soulevées par le sujet de l’assurance des risques cyber. Il en ressort que le développement en Europe, et plus particulièrement en France, de l’assurance cyber se heurte, d’une part, à des difficultés de structuration, tant au niveau de l’offre que de la demande et, d’autre part, au manque de clarté du cadre juridique national. Les freins juridiques – y compris l’absence de norme – constituent les principaux facteurs de restriction du développement du marché. À cet égard, est soulignée la nécessité tant pour les organisations internationales et régionales que pour les États de revoir leurs normes, ou de les développer, afin que ces limitations au développement du marché soient levées. La plupart des études de marché démontrent aussi que les entreprises sous-estiment l’impact des incidents cyber sur leurs activités et, soit elles trouvent le surcoût de ce type d’assurance exagéré par rapport à leurs contrats traditionnels, soit elles n’identifient pas clairement le contenu des offres proposées. Une récente étude, réalisée par le cabinet Day One et l’association Com’SG sur la numérisation des cabinets d’avocats révèle d’ailleurs que seulement la moitié de ces derniers (52 %) ont souscrit une cyberassurance (Cf. LJA n° 1528). Des propos nuancés par Bernard Lamon, fondateur du cabinet Nouveau Monde Avocats : « Depuis l’entrée en vigueur du RGPD, et plus particulièrement depuis un an ou deux grâce à l’essor du télétravail des salariés, les opérateurs économiques ont pris conscience de la réalité du risque cyber. Les sociétés ne se demandent plus si elles seront impactées par une cyberattaque, mais à quel moment elles le seront. Malheureusement, entre le moment de la prise de conscience, celui du déblocage du budget, puis de la mise en oeuvre des bons outils, le délai est encore trop long ». Il ajoute : « À l’heure actuelle, le risque cyber est encore peu couvert par les assureurs en raison de son absence d’aléa et de sa prise en charge coûteuse en cas de réalisation d’un dommage. La plupart des sociétés n’arrivent pas à s’assurer pour ces raisons, alors qu’elles seraient désireuses de se protéger de cybermenaces ».

Trois questions demeuraient à ce jour sans réponse : les sanctions administratives notamment pécuniaires peuvent-elles faire l’objet d’une couverture assurantielle ? Le paiement des rançons et leurs indemnisations par des assurances sont-elles licites ? Le risque de cyberguerre est-il en droit positif français un cas d’exclusion légal de l’assurance ? Le rapport du HCJP prend position sur ces trois sujets. Il répond d’abord de façon négative à la première question, s’agissant des sanctions administratives de nature pécuniaire, mais laisse entrevoir une possibilité d’assurer des mesures correctrices imposées par l’autorité compétente. Dans un second temps, le rapport ne préconise pas d’interdire l’assurabilité du remboursement des rançons en cas de cyberattaque mais propose certains axes d’amélioration (mesures d’ordre opérationnel, réglementaire et de sensibilisation à l’égard des acteurs) destinés à lutter au mieux contre les attaques par ransomware. Enfin, sur la dernière question, le rapport conclut à la nécessité de clarifier la définition légale du risque de guerre pour y intégrer le risque de guerre cybernétique. Il mentionne d’abord le caractère daté de la jurisprudence lié à l’article L. 121-8 du code des assurances – relatif à l’exclusion, sauf convention contraire, des pertes et dommages occasionnés par la guerre -, avant d’ajouter que l’interprétation de cet article permet difficilement de mesurer aujourd’hui la portée de cette exclusion légale en cas de cyberguerre. Dès lors, le rapport souligne qu’une clarification des limites de l’assurabilité en raison de l’ampleur des dommages susceptibles d’être générés par un acte de cyberguerre serait opportune.

Cette clarification devrait entrainer une modification de l’article L. 121-8 du code des assurances, avec pour objectif d’inscrire l’exclusion dans la contemporanéité du droit et des relations internationales, en ajoutant au concept de guerre étrangère, celui de conflit armé international. Une définition de la notion de guerre étrangère devrait compléter l’article L. 121-8 pour une compréhension claire de la part des assurés selon le HCJP. Elle serait rédigée selon une acception large incluant le conflit armé international quels que soient les moyens utilisés (militaires ou cybernétiques) et les auteurs, dès lors qu’un État a opéré un contrôle sur l’action en cause ou les individus impliqués. Mais n’est-il pas déjà trop tard ?