Un employé de la société multinationale européenne de services et de conseil en technologies de l'information Atos est photographié au centre de cybersécurité de l'entreprise pour les Jeux Olympiques de 2024 à Madrid, le 24 avril 2023. Photo : PIERRE-PHILIPPE MARCOU / AFP.
La menace de cyberattaques s'est étendue toujours plus ces dernières années, notamment en raison du développement considérable de technologies numériques innovantes et convergentes dans le secteur des TIC ("Information and Communication Technology") accessibles au grand public et facilement accessibles aux groupes criminels et à d'autres sujets désireux d'agir pour des objectifs différents et très souvent malveillants. Les conséquences en termes de perte ou de vol de données ou d'interruption des services véhiculés sur les réseaux publics et privés sont connues de tous. Les attaques les plus répandues sont en général imputables à l'utilisation de ransomwares (paiement d'une rançon, souvent en bitcoins) afin de récupérer vos données ou vos CD/DDOS (incapacitation d’utilisation de services distribués*) ou de véritables bombardements de demandes d'accès à un site institutionnel jusqu'à ce que celui-ci plante et le rende inutilisable. Ce dernier type de cyberattaque est souvent mené à des fins idéologiques ou politiques (au sens large).
De nombreuses autres menaces et types d’attaques impliquent des combinaisons ou des actions synergiques avec des moyens de guerre traditionnels (ou cinétiques). Pensez, par exemple, aux attaques éventuelles contre des systèmes de pilotage automatique ou aux stratégies consistant à arrêter le logiciel d'un avion ennemi avant de lancer une attaque armée avec des avions militaires... D’ailleurs, une distinction est faite, notamment dans le domaine doctrinal, entre une cyberattaque (donc de cybersécurité) en temps de paix, et une cyberattaque en temps de guerre.
La cybersécurité du point de la vue de la République italienne et de sa constitution : un exemple qui pourrait inspirer d’autres pays proches comme la république française
En Italie, la cybersécurité est l'un des domaines qui relève, par nature, de la sécurité de la République, conformément à l'art. 117 de la Constitution : « la sécurité de l'État » et « l'ordre et la sûreté publics », en tant que « sujets » du pouvoir législatif exclusif de l'État (art. 117, paragraphe 2, lettres d et h, Constitution). De ce point de vue, il convient de mentionner quelques évolutions législatives et administratives qui ont conduit ces derniers temps à l'adoption d'une discipline spécifique, de plus en plus complexe et articulée, en la matière (pensez avant tout à la mise en place du périmètre national de cybersécurité) et à la mise en place de l’Agence Nationale de Cybersécurité. L'art. 1 du décret-loi du 21 septembre 2019, n. 105 converti en loi du 18 novembre 2019, n. 133 précise que « afin d'assurer un niveau élevé de sécurité des réseaux, systèmes d'information et services d'information des administrations publiques, organismes et opérateurs nationaux, publics et privés, dont dépend l'exercice d'une fonction essentielle de l'État, ou le fourniture d'un service essentiel au maintien d'activités civiles, sociales ou économiques fondamentales pour les intérêts de l'État et dont le dysfonctionnement, l'interruption, même partielle, ou l'utilisation inappropriée, pourrait entraîner un préjudice à la sécurité nationale, le périmètre est établi au niveau national. La cybersécurité". Les interventions susmentionnées du législateur et les choix organisationnels étaient ancrés aux compétences et au professionnalisme dans le domaine de « l'information pour la sécurité » déjà présents et opérationnels dans notre système juridique. Il convient notamment de noter les pouvoirs spéciaux attribués au Premier ministre dans le secteur de la cybersécurité. Une grande importance est accordée dans ce contexte à la protection de ce que l'on appelle infrastructures critiques des différents pays (transports, réseaux énergétiques...).
L'adoption d'interventions réglementaires ultérieures a défini de manière toujours plus spécifique les attributions et les responsabilités au sein de divers organismes et a créé des organismes destinés à fonctionner en étroite coordination avec leurs homologues d'autres pays de l'Union européenne. Dans une perspective d’intégration communautaire, l’initiative législative des institutions de l’Union et les orientations stratégiques adoptées d’un commun accord (à partir de la stratégie de l’Union européenne pour la cybersécurité de 2013) sont pertinentes. Pensez par exemple au mécanisme d'alerte qui utilise le réseau CSIRT (Computer Security Incident Response Team**) à des fins de prévention, de partage d'informations et de réponse en cas d'incidents ou d'attaques informatiques. L'évolution assez rapide de la discipline de l'Union européenne qui a conduit à la révision de la directive NIS de 2016 en seulement cinq ans (passée par la loi sur la cybersécurité en 2019) est symptomatique de l'importance pour l'Union d'adopter rapidement des normes et des structures adéquates pour faire face la menace informatique de plus en plus fréquente. La dimension nationale et européenne nécessite la dimension internationale au sein de laquelle les États débattent depuis plusieurs années, dans le cadre des Nations Unies, des questions liées à l'évolution des TIC et, plus récemment, à la cybersécurité. Les résultats produits ces dernières années par deux groupes de travail (Groupe d'experts gouvernementaux et Groupe de travail à composition non limitée) témoignent non seulement des différences entre certains pays mais aussi de l'intérêt commun en matière de cybersécurité. Dans ce contexte, il n’a cependant pas été possible jusqu’à présent d’adopter un quelconque instrument conventionnel mais uniquement des règles de comportement responsable des États dans le cyberespace. Parallèlement, l’OSCE et l’OTAN poursuivent le même objectif : rapprocher les positions des États et adopter des normes pouvant s’appliquer à un grand nombre de pays.
La cybersécurité est également un domaine dans lequel les individus, citoyens et entreprises, et les plateformes numériques jouent un rôle fondamental, dont l'apport réglementaire est primordial, comme le démontre une série d'initiatives caractérisées par une participation active aux côtés des États. A terme, l’objectif commun est aussi de créer une culture de cybersécurité et de promouvoir de nouveaux comportements plus attentifs à la protection des systèmes et réseaux informatiques. Cet objectif s'inspire de la nouvelle « Stratégie nationale de cybersécurité 2022-2026 », préparée par le gouvernement italien avec la contribution de l'Agence nationale de cybersécurité (ACN) et la coordination de l'Autorité déléguée pour la sécurité de la République. Les nombreuses mesures de mise en œuvre se concentrent, entre autres, sur la nécessité d'une meilleure formation aux problèmes de cybersécurité et sur la nécessité de susciter et former de nouveaux professionnels (également transversaux) qui sachent s'adapter à leur temps et transformer les défis en opportunités.
* DDOS : « Serveur d'attaque par refus de service distribuable » qui consiste à couper les cibles ou les infrastructures environnantes dans un flot de trafic Internet.
** Le CSIRT, « Cyber Incident Response Team (« Equipe de réponse aux incidents de sécurité informatique »), est aussi parfois appelée ou encore CIRC (Computer Incident Response Center ou Capability. Il s’agit d’un groupe d'individus généralement composé d'analystes de sécurité organisés pour développer, recommander et coordonner des actions d'atténuation immédiates pour le confinement, l'éradication et la récupération en réaction à des d'incidents de sécurité informatique.