Note de l'éditeur : Le Cyber Law Toolkit est une ressource Web interactive dynamique destinée aux professionnels du droit et aux universitaires travaillant sur des sujets à l'intersection du droit international et des cyberopérations.
La boîte à outils comprend un nombre croissant de scénarios hypothétiques, chacun contenant une description des cyberincidents inspirée d'exemples concrets et accompagnée d'une analyse juridique détaillée. L'objectif de l'analyse est de fournir un examen approfondi de l'applicabilité du droit international à divers scénarios et questions juridiques connexes. La boîte à outils a été lancée en mai 2019 à Tallinn, en Estonie, et est disponible gratuitement.
Le projet Cyber Law Toolkit est actuellement soutenu par les institutions partenaires suivantes : l'Agence nationale tchèque chargée de la cybersécurité et de la sécurité de l'information (NÚKIB), le Comité international de la Croix-Rouge (CICR), le Centre d'excellence coopératif pour la cyberdéfense de l'OTAN (CCDCOE), l'université d'Exeter, United Kingdom, le Naval War College des États-Unis et l'Université de Wuhan, en Chine.
Extrait de la mise à jour annuelle 2022/2023 publié avec autorisation*
La boîte à outils du droit informatique
Le Cyber Law Toolkit, une ressource incontournable pour les professionnels et les universitaires travaillant sur le droit international et les cyberopérations, a initialement présenté sa mise à jour annuelle le 20 octobre 2022. La boîte à outils est mise à jour de manière continue, l'itération actuelle représentant la mise à jour 2022/2023. Les principaux atouts de la boîte à outils sont des scénarios hypothétiques, chacun contenant une description de cyberincidents réalistes inspirée d'exemples concrets et accompagnée d'une analyse juridique détaillée rédigée dans un langage accessible.
La boîte à outils permet de combler le fossé entre le monde universitaire et la pratique en ce qui concerne le droit international de la cybersécurité. Bien que de plus en plus de recherches soient menées dans ce domaine du droit international, leurs résultats ne sont souvent pas facilement adaptables aux besoins des praticiens du droit confrontés à des cyberincidents au quotidien. La boîte à outils tente de combler cette lacune en fournissant des solutions pratiques accessibles mais précises à des scénarios basés sur des exemples concrets de cyberopérations présentant un intérêt pour le droit international.
La boîte à outils s'adresse principalement aux praticiens du droit ayant une connaissance pratique du droit international. Toutefois, le langage utilisé est complet et explicatif et devrait également être généralement accessible aux non-juristes. Chaque concept qui sous-tend l'analyse est expliqué en détail afin de fournir une compréhension complète du scénario pertinent. Bien que le public cible soit composé de personnes ayant une certaine connaissance du droit international et en particulier du droit cybernétique, cela n'empêche pas les personnes ayant un intérêt général dans ce domaine, mais n'ayant aucune expertise pertinente, de lire, d'utiliser et de profiter du contenu de la boîte à outils.
L'analyse de la boîte à outils est axée sur le droit international applicable aux cyberopérations. Depuis 2021, il contient également un aperçu régulièrement mis à jour des positions nationales accessibles au public sur l'application du droit international aux cyberopérations. En revanche, il ne traite pas spécifiquement du droit interne d'un pays en particulier et ne prend pas en compte le point de vue d'un pays ou d'un groupe de pays dans son analyse. En tant que tel, il est applicable à tous les pays du monde.
Pour suivre le rythme des récents développements dans le domaine de la cybersécurité et rester une source pertinente pour les praticiens comme pour les universitaires, la boîte à outils est régulièrement mise à jour sur la base de recherches internes et de contributions externes.
Exemples de scénarios actuels : 28 scénarios hypothétiques
Chaque scénario contient une description des cyberincidents inspirée d'exemples concrets, accompagnée d'une analyse juridique détaillée. L'objectif de l'analyse est d'examiner l'applicabilité du droit international aux scénarios et aux problèmes qu'ils soulèvent.
Scénario 01 : Ingérence électorale
Scénario 02 : Cyberespionnage contre les services gouvernementaux
Scénario 03 : Cyberopération contre le réseau électrique
Scénario 04 : Défaut d'un État d'aider une organisation internationale
Scénario 05 : L'État enquête et répond aux cyberopérations menées contre des acteurs privés sur son territoire
Scénario 06 : Cybercontre-mesures à l'encontre d'un État habilitant
Scénario 07 : fuite d'outils de piratage développés par l'État
Scénario 08 : piratage de l'autorité de certification
Scénario 09 : Cyberespionnage économique
Scénario 10 : Examen juridique des armes cybernétiques
Scénario 11 : Vente d'outils de surveillance au mépris des sanctions internationales
Scénario 12 : Cyberopérations contre des données informatiques
Scénario 13 : Les cyberopérations en tant que déclencheur du droit des conflits armés
Scénario 14 : Campagne contre les ransomwares
Scénario 15 : Cybertromperie pendant un conflit armé
Scénario 16 : Cyberattaques contre des navires en haute mer
Scénario 17 : Réponses collectives aux cyberopérations
Scénario 18 : Statut juridique des cyberopérateurs en période de conflit armé
Scénario 19 : Discours de haine
Scénario 20 : Cyberopérations contre des installations médicales
Scénario 21 : Mauvaise attribution causée par la tromperie
Scénario 22 : Méthodes de guerre cybernétiques
Scénario 23 : Recherche et essais de vaccins
Scénario 24 : Blocage d'Internet
Scénario 25 : Interruption informatique de l'aide humanitaire
Scénario 26 : Licence d'exportation des outils d'intrusion
Scénario 27 : Contester et rediriger les attaques en cours
Scénario 28 : Cyberdommages accidentels extraterritoriaux à des civils
Exemples du monde réel (2007-2022)
Les exemples partagés présentent des informations instructives sur des incidents du monde réel qui ont inspiré l'analyse (et les scénarios) mis en évidence dans le projet Cyber Law Toolkit.
2022
Blocage d'Internet au Kazakhstan (2022)
Opération Predatory Sparrow contre un fabricant d'acier iranien (2022)
Attaque Viasat KA-SAT (2022)
Attaque du logiciel malveillant HermeticWiper (2022)
Cyberopérations contre les systèmes gouvernementaux en Ukraine (janvier 2022)
2021
Attaque par ransomware Colonial Pipeline (2021)
Violation de données de l'ONU (2021)
Attaque de ransomware dans les hôpitaux de Waikato (2021)
Attaque par ransomware pour le Health Service Executive en Irlande (2021)
Attaque du rançongiciel Kaseya VSA (2021)
Violation de données dans Microsoft Exchange Server (2021)
Révélations du projet Pegasus (2021)
2020
Attaque par ransomware dans un hôpital allemand (2020)
Hack du siège de l'Union africaine (2020)
Attaque par ransomware à l'hôpital universitaire de Brno (2020)
Google met fin à une opération antiterroriste active (2020)
Vents solaires (2020)
Modification et fuite des données sur les vaccins Pfizer/BioNTech (2020)
Attaque des installations hydrauliques en Israël (2020)
Attaques de l'APT32 contre le gouvernement chinois (2020)
2019
Cyberingérence contre des navires dans le golfe Persique et le golfe d'Oman (2019)
Panne d'Internet en Iran (2019)
Attaque israélienne contre le cybersiège du Hamas à Gaza (2019)
L'Internet souverain de la Russie (à partir de 2019)
Attaque par ransomware au Springhill Medical Center (2019)
Attaque par ransomware de la municipalité du Texas (2019)
2018
Hack du siège de l'Union africaine (2018)
Destroyer olympique (2018)
Incidents liés au ransomware SamSam (2018)
2017
Surveillance éthiopienne des journalistes à l'étranger (2017)
Fuite sur l'élection présidentielle française (2017)
Discours de haine en Inde (depuis 2017)
Opération Cloudhopper (2017)
Pas Petya (2017)
Triton (2017)
WannaCry (2017)
Acte d'accusation de Wu Yingzhuo, Dong Hao et Xia Lei (2017)
2016
Surveillance des groupes de la société civile/Ahmed Mansoor (2016)
Fuite de courrier électronique DNC (2016)
Industroyer — Crash Override (2016)
Opération Glowing Symphony (2016)
The Shadow Brokers publie les vulnérabilités de la NSA (2016)
2015
Bundestag Hack (2015)
Violation de données du Bureau de la gestion du personnel (2015)
Cyberattaque sur le réseau électrique en Ukraine (2015)
Le piratage de l'équipe de piratage (2015)
2014
Piratage présumé de missiles Patriot (2014-2015)
Unité 61398 inculpations de la PLA chinoise (2014)
Attentat de Sony Pictures Entertainment (2014)
Usine sidérurgique en Allemagne (2014)
Ingérence des élections parlementaires ukrainiennes (2014)
2012
Shampooing (2012)
2011
Panne d'Internet dans le Caucase (2011)
La « guerre des réseaux sociaux » en Syrie (depuis 2011)
DigiNotar (2011)
2010
Discours de haine au Myanmar (depuis le début des années 2010)
Stuxnet (2010)
Violation de la chaîne d'approvisionnement de SuperMicro (depuis 2010)
2008
Conflit entre la Géorgie et la Russie (2008)
Panne d'Internet au Bangladesh (2008)
2007
Cyberattaques contre l'Estonie (2007)
Opération Orchard/Outside the Box (2007)
Positions nationales de certains pays
Un aperçu des positions nationales sur le droit international dans le cyberespace pour les pays figurant sur la liste.
Australie (2020)
Brésil (2021)
Canada (2022)
Chine (2021)
République tchèque (2020)
Estonie (2019 et 2021)
Finlande (2020)
France (2019)
Allemagne (2021)
Iran (2020)
Israël (2020)
Italie (2021)
Japon (2021)
Kazakhstan (2021)
Kenya (2021)
Pays-Bas (2019)
Nouvelle-Zélande (2020)
Norvège (2021)
Roumanie (2021)
Russie (2021)
Singapour (2021)
Suède (2022)
Suisse (2021)
Royaume-Uni (2018, 2021 et 2022)
États-Unis (2012, 2016, 2020 et 2021)
Accédez à la boîte à outils complète via le Centre d'excellence pour la cyberdéfense coopérative de l'OTAN.
Référence : Droit international de la cybersécurité : boîte à outils interactive. Cyberlaw.ccdcoe.org. (2022). Consulté le 24 octobre 2022, de
* Publié avec autorisation via Creative Commons (CC BY-SA 4.0).
Lectures supplémentaires
Définition de la cyberdécouverte ? Une définition et un cadre
Coûts et pertes ? Étude de NetDiligence sur les cybersinistres
Source : ComplexDiscovery
