[Mise à jour annuelle] L'intersection du droit international et des opérations cybernétiques : une trousse interactive sur le droit cybernétique

The Cyber Law Toolkit is a dynamic interactive web-based resource for legal professionals who work with matters at the intersection of international law and cyber operations. At its heart, the Toolkit currently consists of 19 hypothetical scenarios. Each scenario contains a description of cyber incidents inspired by real-world examples, accompanied by detailed legal analysis. The aim of the analysis is to examine the applicability of international law to the scenarios and the issues they raise. The Toolkit was formally launched on 28 May 2019 in Tallinn, Estonia. Its first general annual update was published on October 2, 2020.

en flag
nl flag
et flag
fi flag
fr flag
de flag
ru flag
es flag

Note de l'éditeur : S'adressant principalement aux praticiens du droit ayant une connaissance pratique du droit international, le Cyber Law Toolkit traite d'un fossé entre le milieu universitaire et la pratique en ce qui concerne le cyberdroit international. Bien qu'il y ait de plus en plus de recherches dans ce domaine du droit international, ses résultats ne sont souvent pas facilement adaptés aux besoins des praticiens du droit qui traitent quotidiennement des cyberincidents. La boîte à outils tente de combler cette lacune en fournissant des solutions pratiques accessibles mais précises à des scénarios fondés sur des exemples concrets de cyberopérations présentant un intérêt pour le droit international. La dernière mise à jour annuelle générale de la trousse a été publiée le 2 octobre 2020.

Extrait du Centre d'excellence coopératif de la cyberdéfense de l'OTAN (CCDCOE de l'OTAN)

La trousse d'outils sur le droit cybernétique

Le Cyber Law Toolkit est une ressource Web interactive dynamique destinée aux professionnels du droit qui travaillent sur des questions à l'intersection du droit international et des cyberopérations. La boîte à outils peut être explorée et utilisée de différentes façons. En son cœur, il se compose actuellement de 19 scénarios hypothétiques. Chaque scénario contient une description des cyberincidents inspirée d'exemples concrets, accompagnée d'une analyse juridique détaillée. L'objectif de l'analyse est d'examiner l'applicabilité du droit international aux scénarios et aux questions qu'ils soulèvent.

Exemples de scénarios actuels

Interférence électorale : À la veille d'une élection majeure dans l'État A, l'État B mène une série de cyberincidents visant à influencer les résultats des élections. À des degrés divers, ces actions ont un impact sur la campagne électorale, l'administration des élections et (éventuellement) sur les résultats des élections. Dans ce scénario, l'analyse examine si l'une quelconque des actions spécifiques, individuellement ou prises ensemble, peut constituer des violations de plusieurs règles du droit international, en particulier l'obligation de respecter la souveraineté d'autres États, l'interdiction d'ingérence dans les affaires intérieures des États, le droit à la vie privée des individus.

Cyber espionnage contre les départements gouvernementaux : Une unité militaire de l'État B mène une opération de cyberespionnage contre le ministère des Affaires étrangères de l'État A et ses organisations subordonnées. Les données obtenues dans le cadre de cette opération sont ensuite publiées sur Internet par l'État B. L'analyse examine si le fonctionnement de l'État B a violé la souveraineté, l'interdiction d'intervention et le droit diplomatique et consulaire.

Cyber opérations contre le réseau électrique : les services de renseignement d'un État compromettent la chaîne d'approvisionnement d'un système de contrôle industriel dans un autre État, donnant ainsi accès à une partie de son réseau électrique. Les opérations subséquentes réduisent le réseau, ce qui entraîne des pannes prolongées. Le scénario examine si de tels incidents peuvent constituer, entre autres, un usage interdit de la force, une intervention dans les affaires intérieures d'un autre État ou une violation de la souveraineté d'un autre État. On se penche en particulier sur la question de savoir s'il existe une obligation autonome de s'abstenir de mener des opérations contre les infrastructures essentielles d'autres États par des moyens cybernétiques.

Non-assistance d'un État à une organisation internationale : Une organisation internationale est victime de cyberattaques dont l'impact aurait pu et aurait dû être évité par l'État hôte. Le scénario examine l'obligation de diligence raisonnable de la part de l'État hôte et la question de savoir si et dans quelles circonstances l'organisation internationale peut recourir à des contre-mesures.

L'État enquête sur les cyberopérations contre des acteurs privés sur son territoire et y réagit : ce scénario examine une série de cyberopérations malveillantes provenant du territoire d'un État et visant des entités privées sur le territoire d'un autre État. Au cours de l'enquête, et après n'avoir pas reçu la coopération de l'État présumé, l'État victime choisit de pénétrer les réseaux de l'État soupçonné d'infraction sans son consentement. L'État victime découvre par la suite que le personnel militaire de l'État auteur de l'infraction présumée a participé à certaines des cyberopérations malveillantes. Ce scénario analyse les règles de la responsabilité de l'État, y compris l'attribution et le degré de responsabilité de l'État d'origine, les obligations internationales qui ont pu être violées et la capacité de l'État victime de justifier sa réponse en vertu du droit des contre-mesures.

Contre-mesures cybernétiques contre l'État habilitant : Un pays dont on croit qu'il possède des capacités cybernétiques hautement développées ne parvient pas à aider d'autres États à lutter contre les cyberattaques émanant de son territoire. Après une nouvelle cyberopération malveillante sur le territoire de l'ancien État a fait de nombreuses victimes à l'étranger, ledit État fait l'objet d'une attaque DDoS à grande échelle. Le scénario tient compte de l'obligation internationale de diligence raisonnable dans le contexte cybernétique et de la capacité des États de prendre des contre-mesures en cas de violation de cette obligation.

Fuite d'outils de piratage développés par l'État : Ce scénario concerne la fuite d'outils de piratage développés par l'État, l'incapacité d'un État à informer les sociétés de logiciels des vulnérabilités de leurs produits, et la réaffectation des outils de piratage à des fins criminelles. L'analyse juridique de ce scénario examine l'obligation de diligence raisonnable, l'obligation de respecter la souveraineté et l'interdiction d'intervention.

Hack de l'autorité de certification : Le scénario analyse une cyberopération par rapport à une autorité de certification qui fournit des services à des entités privées et publiques, avec des indications que l'opération a été commandée ou exploitée par un État. Quelles sont les obligations en matière de droits de l'homme dans le cyberespace ? Quelles autres obligations internationales ont pu être violées ?

Cyber espionnage économique : Les entités privées deviennent la cible d'un cyberespionnage économique par un État ou pour le compte d'un État. Dans quelles circonstances le cyberespionnage peut-il être attribué à l'État et celui-ci doit être tenu responsable en vertu du droit international ? Quelles mesures, le cas échéant, l'État victime peut - il prendre légalement en réponse ?

Examen des armes cybernétiques : L'État A développe de nouveaux logiciels malveillants capables de détruire physiquement l'équipement militaire ennemi. Toutefois, si elle est libérée, elle devrait également entraîner une perturbation temporaire de l'utilisation de la cyberinfrastructure civile par laquelle elle pourrait se propager afin d'atteindre son objectif. Ce scénario tient compte de l'obligation des États de procéder à un examen des armes en ce qui concerne les cybercapacités de ce type potentiellement déjà en temps de paix, bien avant qu'elles ne soient effectivement déployées en temps de conflit armé. En particulier, il examine si ces logiciels malveillants constituent une arme qui est intrinsèquement aveugle et donc interdite par le droit international humanitaire.

Vente d'outils de surveillance au mépris des sanctions internationales : En dépit d'un embargo international, un État acquiert et utilise des exploits mis au point par une entité privée pour poursuivre ses objectifs politiques. Dans ce scénario, l'analyse examine si l'utilisation de ces exploits viole les obligations de l'État agissant en matière de droits de l'homme ou la souveraineté d'autres États. Il examine également quels États sont responsables de la violation de l'embargo et si la Convention sur la cybercriminalité a une incidence sur la question.

Cyber opérations contre les données informatiques : Dans le contexte d'un conflit armé, un belligérant mène une série de cyberopérations contre les ensembles de données associés à l'autre belligérant. Il s'agit notamment de données utilisées à des fins militaires, d'ensembles de données civils essentiels et de données servant la propagande ennemie. L'analyse de ce scénario examine la licéité des cyberopérations visant à corrompre ou à supprimer divers types d'ensembles de données en vertu du droit des conflits armés. Elle se concentre en particulier sur la question de savoir si les données sont qualifiées d' « objet » aux fins du droit des conflits armés et si, en tant que telles, elles entrent dans la définition d'un objectif militaire.

Les cyberopérations comme déclencheur du droit des conflits armés : deux États et un acteur non étatique participent à une confrontation armée comportant une combinaison d'opérations cyber et cinétique. L'État extérieur fournit diverses formes d'appui financier et militaire au groupe non étatique dans sa lutte contre l'État territorial. Dans ce scénario, l'analyse examine si l'un des incidents pertinents déclenche l'application du droit des conflits armés et examine si la situation qui en résulterait serait considérée comme un conflit armé international ou non international.

Campagne de rançongiciels : Les administrations municipales et les prestataires de soins de santé d'un État sont victimes d'une campagne de rançongiciels lancée par un groupe non étatique dans un second État. La campagne de ransomware désactive les services municipaux et de soins de santé dans le premier État. Le scénario examine comment la campagne de rançongiciels peut être classée en droit international. Il examine d'abord si la campagne est une violation d'une obligation internationale imputable à un État. Il examine ensuite les réponses juridiques qui pourraient être mises à la disposition de l'État victime.

Cybertromperie pendant un conflit armé : Deux États sont impliqués dans un conflit armé. Afin de faciliter le lancement d'une offensive militaire majeure, l'un des États se livre à plusieurs opérations de cybertromperie contre l'autre État. L'analyse de ce scénario vise à déterminer si les opérations sont conformes aux règles pertinentes du droit international humanitaire, y compris l'interdiction de la perfidie et l'interdiction de l'utilisation abusive d'emblèmes, de signes et de signaux internationalement reconnus.

Cyber attaques contre des navires en haute mer : Ce scénario examine une série de cyberopérations contre des navires marchands et des navires de guerre en haute mer du point de vue du droit international public. Il analyse en particulier les questions relatives à la juridiction et à la liberté de navigation en haute mer, ainsi que la question de savoir si les cyberopérations constituaient un recours interdit à la force.

Réponses collectives aux opérations cybernétiques : Un État est victime d'un large éventail d'opérations cybernétiques et demande de l'aide à ses alliés. Plus précisément, l'État veut que ses alliés attribuent collectivement et publiquement les cyberopérations à l'État auteur, qu'ils appliquent des interdictions de voyager et des gels d'avoirs à l'encontre des auteurs individuels et qu'ils prennent des contre-mesures collectives contre l'État responsable pour l'amener à mettre fin à la cybernétique opérations. Le scénario explore la légalité de ces réponses collectives aux cyberopérations du point de vue du droit international.

Statut juridique des cyberopérateurs pendant un conflit armé : Pendant un conflit armé classique, un État déploie trois groupes de personnes pour ses cyberopérations contre un État ennemi. Un quatrième groupe, civil, rejoint le combat et lance des cyberopérations contre le même ennemi. Le scénario analyse la légalité du ciblage létal de ces quatre types différents de cyberopérateurs. Il se concentre en particulier sur le statut et les fonctions du personnel concerné.

Discours de haine : L'État A utilise une plate-forme de médias sociaux dont le siège est situé dans l'État B pour inciter à la haine raciale et religieuse contre une minorité ethnique et religieuse sur son propre territoire. Les violences qui en résultent dégénèrent en un conflit armé non international impliquant des cyberopérations entre l'État A et des membres de la minorité ethnique et religieuse qui s'organisent en un groupe d'opposition armé. Le scénario analyse si les incidents constituaient des violations du droit international, y compris du droit international des droits de l'homme, du droit international humanitaire et du droit pénal international.

De plus, la boîte à outils partage plus de vingt incidents réels qui ont inspiré l'analyse (et les scénarios) présentés dans le projet. Ces exemples sont les suivants :

Attaque de rançongiciels de l'hôpital universitaire de Brno (2020)

Attaque de rançongiciels de la municipalité du Texas (2019)

Hack du siège de l'Union africaine (2018)

Incidents de ransomware SamSam (2018)

Fuite à l'élection présidentielle française (2017)

WannaCry (2017)

NotPetya (2017)

Opération Cloudhopper (2017)

Discours de haine en Inde (2017)

Surveillance éthiopienne des journalistes à l'étranger (2017)

Wu Yingzhuo, Dong Hao et Xia Lei acte d'accusation (2017)

Triton (2017)

Fuite de courrier électronique DNC (2016)

The Shadow Brokers publiant les vulnérabilités de la NSA (2016)

L'équipe de piratage Hack (2015)

Cyberattaque du réseau électrique en Ukraine (2015)

Bundestag Hack (2015)

Violation des données du Bureau de la gestion du personnel (2015)

Interférence des élections parlementaires ukrainiennes (2014)

Unité chinoise de l'APL 61398 actes d'accusation (2014)

Attaque Sony Pictures Entertainment (2014)

Usine d'acier en Allemagne (2014)

Shamoon (2012)

DigiNotar (2011)

Stuxnet (2010)

Conflit entre la Géorgie et la Russie (2008)

Cyber attaques contre l'Estonie (2007)

À propos de la trousse et du projet sur le cyberdroit

Le Toolkit a été officiellement lancé le 28 mai 2019 à Tallinn, en Estonie, et le projet est géré par un consortium de cinq institutions partenaires : Agence nationale tchèque de cybersécurité et de l'information (NCISA), Comité international de la Croix-Rouge (CICR), Centre d'excellence coopératif de la cyberdéfense de l'OTAN (CCDCOE de l'OTAN)), l'Université d'Exeter et l'Université de Wuhan. L'équipe du projet est composée de M. Kubo Mačák (Exeter), rédacteur en chef, de M. Tomáš Minárik (NCISA), rédacteur en chef, et de Mme Taťána Jančárková (CCDCOE de l'OTAN), rédactrice en chef des scénarios. Les scénarios individuels et la trousse d'outils ont été examinés par une équipe de plus de 30 experts externes et évaluateurs par les pairs. La trousse à outils est une ressource interactive qui est continuellement développée et mise à jour. Sa première mise à jour annuelle générale est publiée le 2 octobre 2020.

Pour en savoir plus sur la boîte à outils et le projet, consultez Cyber Law Toolkit

Lecture supplémentaire

De la détection proactive aux examens de violation de données : découverte et extraction de données sensibles avec Ascema

Nouveautés du NIST : Intégration de la cybersécurité et de la gestion des risques d'entreprise (ERM)

Source : ComplexDiscovery

Fusions, acquisitions et investissements de découverte électronique en 2020

Since beginning to track the number of publicly highlighted merger, acquisition,...

La relativité acquiert VerQu

According to Relativity CEO Mike Gamson, "It's imperative that the legal...

Fusions, acquisitions et investissements eDiscovery au quatrième trimestre 2020

From Nuix and DISCO to Exterro and AccessData, the following findings,...

DISCO clôt un cycle de financement de 100 millions de dollars

According to DISCO CEO Kiwi Camara, “Legaltech is booming now, and...

Une nouvelle ère dans l'e-Discovery ? Encadrer la croissance du marché à travers l'objectif de six époques

There are many excellent resources for considering chronological and historiographical approaches...

Un mashup de taille de marché électronique : 2020-2025 Présentation mondiale des logiciels et des services

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Réinitialiser la ligne de base ? Ajustements de taille de marché eDiscovery pour 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

À la maison ou à l'extérieur ? Considérations relatives à la taille du marché et à la tarification des collections eDis

One of the key home (onsite) or away (remote) decisions that...

Cinq grandes lectures sur eDiscovery pour janvier 2021

From eDiscovery business confidence and operational metrics to merger and acquisition...

Cinq excellentes lectures sur eDiscovery pour décembre 2020

May the peace and joy of the holiday season be with...

Cinq grandes lectures sur eDiscovery pour novembre 2020

From market sizing and cyber law to industry investments and customer...

Cinq grandes lectures sur la découverte électronique pour octobre 2020

From business confidence and captive ALSPs to digital republics and mass...

Seulement une question de temps ? HayStackID lance un nouveau service pour la découverte et l'examen des violations de données

According to HaystackID's Chief Innovation Officer and President of Global Investigations,...

C'est un Match ! Se concentrer sur le coût total de la révision eDiscovery avec ReviewRight Match

As a leader in remote legal document review, HaystackID provides clients...

De la détection proactive aux examens de violation de données : découverte et extraction de données sensibles avec Ascema

A steady rise in the number of sensitive data discovery requirements...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Pas si exceptionnel ? Mesures opérationnelles de découverte électronique à l'hiver 2021

In the winter of 2021, eDiscovery Business Confidence Survey more...

Résultats du sondage sur la confiance des entreprises de découverte électronique de l'hiver 2021

This is the twenty-first quarterly eDiscovery Business Confidence Survey conducted by...

High Cinq ? Vue d'ensemble de cinq enquêtes semestrielles sur la tarification de la découverte électronique

As we are in the midst of a pandemic that has...

Équilibrer la pertinence et la réalité ? Résultats de l'enquête sur les prix de la découverte électronique de l'hiver

Based on the complexity of data and legal discovery, it is...