Les points juridiques à résoudre

Pour trouver un fondement juridique à la lutte contre les cyberattaques, il faut s’appuyer sur la loi Godfrain de... 1988. À cette époque, Internet n’existait pas encore ! Cela n’a pas empêché cette loi, reprise dans le nouveau code pénal de 1994, d’être largement utilisée par les juges pour lutter contre toutes les intrusions, qu’il s’agisse du Web, de la téléphonie mobile ou du réseau des cartes bancaires. Elle définit l’intrusion comme le “fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données”.

Dans un contexte international

Cet arsenal juridique paraît aujourd’hui bien dérisoire face à la haute technicité des cyberattaques, qui proviennent souvent de pays étrangers, et donc de systèmes juridiques différents. « Les intrusions sont toujours liées au monde réel : elles passent par des serveurs installés dans un ou plusieurs pays, observe Me Vincent Corlau, avocat spécialisé en cybersécurité, et professeur à l’Insa de Rennes. Le problème, c’est que si le serveur est aux États-Unis et l’attaquant en Afghanistan, le vieux système juridique ne permet pas d’apporter une réponse efficace. L’État afghan peut dire que c’est son droit qui s’applique, puisque l’auteur de l’attaque est sur son sol. Mais les États-Unis peuvent aussi revendiquer l’application de leur législation, puisque les données attaquées sont sur un serveur américain. Dès qu’on sort d’une zone juridiquement homogène, on a donc un conflit de lois et de juridictions. » Or, la plupart des attaques actuelles viennent de Chine, de Corée ou des États-Unis. Face à l’impossibilité d’obtenir une réponse judiciaire, faudrait-il avoir recours à la “légitime défense informatique” ? Si les outils existent pour arrêter une intrusion, leur base juridique est aujourd’hui inexistante. Seuls des traités de coopération judiciaire pourraient permettre aux autorités d’un pays d’intervenir sur un serveur hostile hébergé dans un pays tiers. La loi de programmation militaire sur la cybersécurité des Opérateurs d’importance vitale (OIV), actuellement en discussion au Parlement, ne fournit une solution juridique qu’aux cyberattaques... franco-françaises. « Une sorte de guide pour une ligne Maginot cybernétique », commente Me Corlau.

Le respect de la vie privée

Le droit pourrait en revanche réussir à résoudre un autre enjeu de la cybersécurité : le respect de la vie privée. Si la législation exige le collectage de certaines données sur les utilisateurs pour assurer la protection des infrastructures, elle impose aussi certaines limites. « Le responsable du système d’informations a l’obligation de respecter la vie privée des utilisateurs mais également celle de l’attaquant, qui conserve ses libertés fondamentales, note Guillaume Piolle, chercheur à Supélec(1). Cet équilibre est-il bien mesuré et justifié ? Les informaticiens, les juristes et les sociologues remettent de plus en plus en question cette opposition entre “sécurité” et “vie privée” et recherchent d’autres moyens d’articuler les deux notions, de manière à assurer un niveau de sécurité satisfaisant pour la société ou le système informatique sans faire de compromis sur la vie privée des individus. » Il participe, avec des juristes, des informaticiens et des sociologues, à plusieurs projets pluridisciplinaires sur cette question.