Le 17 mai 2019, le Conseil de l'Union européenne (ci-après : le Conseil) a créé un cadre juridique pour répondre, par des mesures restrictives ciblées, à la tendance croissante des cyberattaques organisées ayant des conséquences import antes et constituant une menace extérieure pour l'Union ou ses États membres.[1]
Par exemple, le Conseil peut désormais imposer une interdiction de voyager [2]dans l'UE ou geler tous les fonds appartenant à des personnes physiques ou morales qui sont impliquées de quelque manière que ce soit dans des cyberattaques ou des tentatives de cyberattaques.[3] Ces mesures devraient avoir un effet dissuasif.
En outre, il convient de faire une distinction avec la responsabilité d’un État membre pour des faits de cyberattaque. L'application de mesures restrictives ciblées ne constitue pas une imposition de responsabilité, qui reste toujours une décision politique souveraine prise sur une base individuelle. Toutefois, chaque État membre est libre de déterminer la responsabilité d'un État tiers en matière de cyberattaques.[4]Le législateur de l'Union souhaite ainsi éviter les difficultés juridiques, techniques et politiques liées à l'attribution d'une cyberattaque à un État.[5]
Par cyberattaque, le règlement du 17 mai 2019 entend l'une des activités suivantes :
- l'accès aux systèmes d'information ;
- perturbation des systèmes d'information ;
- perturbation des données ;
- interception des données.
Les cyberattaques qui constituent une menace externe comprennent celles ; qui ont pour origine ou sont menées par des entités situées en dehors de l'Union, qui utilisent des infrastructures situées en dehors de l'Union, qui sont menées par des personnes physiques ou morales basées ou opérant en dehors de l'Union, ou qui sont menées avec le soutien de personnes physiques ou morales opérant en dehors de l'Union.
Une cyberattaque peut donc constituer une menace pour un État membre si les systèmes d'information qui sont attaqués concernent, par exemple, des infrastructures critiques, ou des services nécessaires au maintien d'activités sociales et/ou économiques essentielles, ou des fonctions critiques de l'État telles que celles liées à la défense et à l'administration et au fonctionnement des institutions.[6]
Avec la cyberattaque de SolarWinds contre le gouvernement fédéral américain, la cyberattaque contre le parlement fédéral allemand en 2015 et la récente cyberattaque contre l'Agence européenne des médicaments de Pfizer et BioNTech, il est clair que la cybersécurité devient de plus en plus pertinente.[7] Déjà le 19 juin 2017, le Conseil adoptait des conclusions sur un cadre pour une réponse diplomatique conjointe aux cyberactivités malveillantes. Le dénommé « Instrumentarium pour la cyberdiplomatie », dans lequel le Conseil s'est dit préoccupé par la capacité et la volonté accrues des États et des acteurs non étatiques d'atteindre leurs objectifs par le biais de cyberattaques malveillantes. À l'époque, le Conseil soulignait déjà la nécessité croissante de protéger l'intégrité et la sécurité de l'Union, de ses États membres et de ses citoyens contre les cybermenaces.[8]
Conclusion
Comme décrit ci-dessus, avec le régime de cyber-punition, le législateur de l'Union choisit de sanctionner les acteurs non étatiques afin d'éviter les difficultés politiques et diplomatiques. Le régime des cyberpénalités exclut explicitement l'attribution de la responsabilité d'une cyberattaque à un État. Après tout, attribuer une cyberattaque à un État peut provoquer des tensions politiques considérables. La question est de savoir si le législateur de l'Union ne crée pas ainsi une fiction juridique. Après tout, la majorité des cyberattaques courantes sont menées à la demande ou avec le soutien des gouvernements, comme Stuxnet[9], Wannacry[10]et NotPetya[11]. En outre, l'apparence d'attribution à un État subsistera lorsque l'Union émettra des cyber-sanctions contre un ressortissant de cet État tiers particulier.[12]
Si vous avez des questions après avoir lu cet article, n'hésitez pas à nous contacter.
Joost Peeters, Studio Legale
Références
[1] Voir le considérant (7) de la DÉCISION (PESC) 2019/797 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l'Union ou ses États membres ; RÈGLEMENT (UE) 2019/796 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l'Union ou ses États membres.
[2] Voir l'article 4 de la DÉCISION (PESC) 2019/797 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l'Union ou ses États membres.
[3] Voir l'article 5 de la DÉCISION (PESC) 2019/797 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l'Union ou ses États membres. Voir l'article 3 du RÈGLEMENT (UE) 2019/796 du Conseil du 17 mai 2019 concernant des mesures restrictives à l'encontre des cyberattaques qui menacent l'Union ou ses États membres.
[4] Voir les considérants (8) et (9) de la DÉCISION (PESC) 2019/797 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l'Union ou ses États membres.
[5] A. VERHELST, M. RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, no. 2, 52.
[6] https://ecer.minbuza.nl/-/een-eu-cybersanctieregime-stap-voor-meer-veiligheid-in-cyberspace
[7] A. VERHELST, M. RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, no. 2, 43.
[8] Voir le considérant (1) de la DÉCISION (PESC) 2019/797 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l'Union ou ses États membres.
[9] Les cyberattaques Stuxnet contre les installations nucléaires iraniennes étaient, selon certaines sources, une opération conjointe américano-israélienne. Voir DUMORTIER, V. PAPAKONSTANTINOU et P. DE HERT, "EU sanctions against cyber-attacks and defence rights : Wanna-Cry ?", European Law Blog 2020, 2 et J. KAMBIC et S. LILES, "Non-State Cyber Power in ONG", Journal of Information Warfare 2014, 57-67.
[10] WannaCry était une épidémie de ransomware qui visait le système d'exploitation Windows dans plusieurs pays. Voir Royaume-Uni, ministère des Affaires étrangères, " Foreign Office Minister condems North Korean actor for WannaCry attacks ", communiqué de presse du 19 décembre 2019, disponible en ligne sur https://gov.uk/government/news/foreign-office-minister-condems-north-korean-actor-for-wannacry-attacks et G. FUSTER L. JASMONTAITE, " Cybersecurity Regulation in the European Union : The Digital, the Critical and Fundamental Rights " in M.CHRISTEN, B.GORDIJN and M.LOI (eds.), The Ethics of cybersecurity, Cham, Springer, 2020, 99-100.
[11] L'attaque NotPetya était une épidémie de ransomware qui visait à nouveau le système d'exploitation Windows. Voir Royaume-Uni, ministère des Affaires étrangères et Centre national de cybersécurité, " Foreign Office Ministers condemns Russia for NotPetya attacks ", communiqué de presse du 15 février 2018 ; B. BLUMBERGS, K. VAN DER MEIJ et L.LINDSTRÖM, " NotPetya and WannaCry Call for a Joint Response from International Community ", NATO Cooperative Cyber Defence Centre of Excellence Paper 2018.
[12] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.52.
0 commentaires