Alors que depuis le 24 février 2022, les forces armées russes ont envahi l’Ukraine au nom de la protection des peuples russophones, la Russie menace également tous ceux qui seraient tentés d’entraver ce processus d’invasion par des représailles.
Par Alexandre Lazarègue, Avocat spécialisé en droit du numérique
Dans les mois précédents l’attaque de l’Ukraine par l’armée russe, des banques et services gouvernementaux du pays de la révolution orange avaient subi des cyber-attaques d’envergure.
En particulier, des attaques dites « en déni de service » ou « DDos » ont pu permettre de rendre inaccessible un serveur afin de provoquer une panne ou un fonctionnement dégradé des services fournit par ces entités.
Des menaces de cyberattaques russes pour les entreprises et institutions européennes et françaises
Assurément, en infligeant des sanctions financières et économiques à la Russie par des mesures d’interdiction, l’Union européenne doit s’attendre à se heurter à ce type d’attaques.
Aussi, les cyberattaques d’industries, d’entreprises, de banques, hôpitaux et administration sont susceptibles de paralyser une région, un pays et de provoquer des incidents aux dommages importants.
Un arsenal législatif européen impose le respect de normes rigoureuses
Depuis les années 2015, l’Union européenne, sensible à ces questions, a mis en place un arsenal législatif visant à contraindre les entreprises et institutions à renforcer leur cybersécurité.
Les législations européennes distinguant les entités en fonction de leur intérêt public, leur assigne une série de mesure de cybersécurité dont le niveau d’exigence dépend du degré d’importance de l’entité concernée. La législation distingue ainsi les Opérateurs d’importance vitale (OIV), les opérateurs de services essentiels (OSE), les fournisseurs de services numériques (FNS) ou encore tout simplement les entreprises, administration et association collectant des données personnelles d’individus dits responsables de traitements (RT).
Chacune de ces entités, à des degrés divers, sont astreintes à une série de mesures techniques et organisationnelles de prévention et de sécurité : journaliser les incidents, lister les systèmes d’information, désigner des responsables qualifiés et indépendants pour s’assurer du respect de ces normes, disposer de cloud en Europe, chiffrer les messages transférés …
Un manque d’investissement et une impréparation à la cyberguerre
Hélas, il n’est pas assuré que ces entités aient été valablement préparées pour répondre à l’ensemble de ces menaces. Les régulières fuites de données dont sont victimes les entreprises et autres institutions telle qu’encore récemment l’APHP, donne la mesure du retard accusé dans notre pays dans le domaine de la cybersécurité.
Désormais la défense de notre pays devra passer par une réflexion plus large sur le rôle de chacun dans le domaine de la cybersécurité, car éviter la guerre c’est se donner les moyens de l’affronter.
Si vous entendez traiter de ce sujet, je suis en mesure de vous éclairer quant à ses problématiques juridiques.
Me Alexandre Lazarègue,
Avocat spécialisé en droit du numérique,
222 Boulevard Saint Germain,
75007 Paris.
