Que peut la loi face au phénomène cyber ?

En France, l’explosion mondiale des cas de cyber-attaques dans tous les secteurs a poussé l’état à un fort renforcement des textes visant à réduire un risque concernant désormais tous les acteurs, privés comme publics. A titre d’exemple, la récente Loi de Programmation Militaire (LPM) établit un cadre d’exigences pour les « Organismes d’Importance Vitale », grandes institutions et entreprises du pays.

Ce type d’initiative suppose l’efficacité de la loi face à ce risque. Mais que peut-on en dire en réalité ?

Le "risque" cyber suppose l’action de cybercriminels, pouvant être de types très divers. Comme pour une banque, la loi et ses sanctions dissuadent le petit délinquant, fréquent mais sans grand danger. Logique militaire, si elle impose le secret, elle réduit le risque d’action du malveillant mal informé. Mais elle ne peut empêcher les attaques par des groupes organisés, compétents et disposant de moyens. Or ce sont eux qui sont qui font le véritable risque de cybersécurité justifiant la loi.

En réponse à l’action, une loi comme la LPM peut imposer la mise en place de bonnes pratiques de sécurisation. Avantage, ces mesures éloigneront tout malveillant dont la capacité d’intrusion est inférieure à ce mur de protection. L’analogie doit d’ailleurs être faite avec la menace d’inondation, où les textes poussent leurs exigences de protection à un niveau supposé au-delà du risque évalué.

Mais la tempête Xynthia a démontré que l’acteur public en conformité avec ces textes n’a pas la garantie d’un risque pleinement couvert lors d’une menace d’ampleur exceptionnelle. Il s’agit de cas rendus très rares par les textes, mais dont les conséquences sont d’autant multipliées.

Les groupes organisés de pirates évoqués plus haut, s’ils se focalisent sur les systèmes « vitaux », peuvent-ils passer par-dessus les murs de la loi ? Rien ne permet de l’exclure, s’ils ont le temps ou les moyens, ce qui est le cas des groupes plus ou moins proches d’états ou entités peu fréquentables.

Pour rester efficace, la loi doit donc progresser au moins aussi vite que ce risque. Ce faisant, elle réduirait toujours plus loin la possibilité d’attaque des systèmes vitaux, tout en amplifiant le bilan en cas de piratage réussi. On conçoit aisément le défi ainsi posé à la machine législative dans la durée.

Ainsi, pour la grande majorité des acteurs publics, sans jamais constituer une garantie, la loi éloigne la réalité du "cyber-risque". Mais pour ceux qui lui servent de motif, elle n’est guère qu’une étape.