Cyberattaques - Prévention-Réactions : Rôles des Etats et des acteurs privés (Cyber-Attacks. Prevention-reactions: The Role of States and Private Actors)

Les Cahiers de la Revue Défense Nationale, Paris, 2017

92 Pages Posted: 4 May 2017 Last revised: 1 Jun 2018

See all articles by Karine Bannelier

Karine Bannelier

University Grenoble-Alpes, CESICE, France

Theodore Christakis

University Grenoble-Alpes, CESICE, France; Institut Universitaire de France

Date Written: February 25, 2017

Abstract

The English version of this paper can be found at http://ssrn.com/abstract=2941988.

French Abstract: Le présent livre se propose de conceptualiser et de présenter de façon concise les principales questions que posent, du point de vue du droit international, le rôle des Etats et des acteurs privés dans la prévention et la réaction aux cyberattaques. Il a été préparé dans le cadre de l’initiative française en matière de cyber-sécurité lancée en 2017 par le Secrétaire Général pour la Défense et la Sécurité Nationale (SGDSN) et l’AgenceNationale de la Sécurité des Systèmes d’Information (ANSSI) et a été présenté comme étude préparatoire pour la conférence internationale organisée par le gouvernement français à l’UNESCO les 6 et 7 avril 2017 sur le thème : « Construire la paix et la sécurité internationales de la société numérique – Acteurs publics, acteurs privés : rôles et responsabilités ». Il a reçu le Prix du Livre "Cyberdéfense" du Forum International de Cybersécurité (FIC 2018) présenté aux auteurs le 23 janvier 2018 par Mme Florence Party, Ministre des Armées de la France et M. Juri Luik, Ministre de la Défense de l'Estonie.

Cet ouvrage représente le résultat de recherches conduites par ses auteurs sur les questions relatives à la sécurité de l’espace numérique, la protection des données et de la vie privée. Elle vise à contribuer à la réflexion d’un lecteur averti (expert en droit ou en cybersécurité) tout en souhaitant rester accessible à des non-spécialistes et au grand public afin de dissiper certaines confusions ou erreurs de perception qui pourraient exister à propos du rôle central que le droit international doit avoir dans ce domaine. La sécurité de l’espace numérique, la lutte contre la cyber-criminalité, la gouvernance et la protection des données, sont des enjeux majeurs pour la sécurité internationale et nationale. Alors que les organisations internationales, les Etats et le secteur privé se mobilisent pour adopter de nouvelles normes et codes de conduite dans ce domaine, le droit international existant apporte déjà un grand nombre de réponses pour assurer la coexistence pacifique et la coopération des nations à l’heure du numérique.

La première partie de cette étude met l’accent sur les enjeux de la prévention. Elle examine, entre autres, la question de la protection des infrastructures critiques numériques et le devoir de diligence due (ou de "cyber-diligence") que les Etats doivent exercer à l’égard des acteurs non-étatiques qui opèrent depuis leur territoire (qu’il s’agisse de groupes terroristes, de cybercriminels, d’entreprises ou d’autres acteurs privés). Ce devoir découle directement de l’obligation, pour tout Etat, « de ne pas laisser utiliser son territoire aux fins d'actes contraires aux droits d'autres Etats ». La deuxième partie de cette étude se penche sur les réponses aux cyberattaques qui peuvent être développées dans le respect du droit international. Elle procède à une classification des réactions possibles aux cyberattaques et propose une sorte de « mode d’emploi » pour des Etats victimes d’attaques qui souhaitent réagir dans le cadre de la légalité internationale. Elle met l’accent sur la nécessité de la coopération internationale dans ce domaine et met en garde contre toute « banalisation » de ripostes qui constitueraient des violations du droit international mais qui seraient exceptionnellement « excusées » comme circonstances excluant l’illicéité ou la responsabilité.

La troisième partie de l’étude présente une analyse détaillée des questions relatives au « hack-back » et à la « cyberdéfense active ». Après avoir montré les avantages, les inconvénients et les risques du hack-back, elle examine dans quelle mesure les acteurs privés peuvent déclencher unilatéralement des mesures cyber-offensives en conformité avec le droit et dans quelle mesure les Etats peuvent autoriser le hack-back et/ou s’appuyer sur des acteurs privés pour conduire des contre-attaques. Elle en conclut que les acteurs privés auraient intérêt à investir dans de bonnes pratiques d’hygiène et de sécurité informatiques – plutôt que chercher à acquérir des outils offensifs. Si, malgré tout, ils sont victimes d’une cyberattaque, plutôt que de se lancer dans un hack-back hasardeux et risqué tant sur le plan technique que sur le plan juridique, il serait préférable qu’ils puissent notifier cette attaque à leurs autorités en leur demandant d’agir et qu’ils puissent aussi exercer leurs droits légaux contre l’auteur de la cyberattaque (à supposer que ce dernier puisse être identifié). Les Etats devraient renforcer leurs capacités de réaction afin d’éviter de donner l’impression que l’action gouvernementale est lente, semée d’embuches et n’offre in fine que peu de garanties aux victimes – impression qui ne peut que servir les intérêts de ceux qui prônent le recours à la « justice privée » dans l’espace numérique. Les Etats pourraient, enfin, s’appuyer sur des acteurs privés pour conduire des contre-attaques dans certaines circonstances, mais ceci devrait se faire sous leur contrôle étroit et pourrait engager leur responsabilité internationale. Cette étude exprime les opinions strictement personnelles de ses auteurs dans le cadre de leurs recherches académiques et n’engage qu’eux.

English Abstract: The present book aims to conceptualize and present, in a concise manner, the main questions raised in the field of international law regarding the role of the States and private actors in the prevention and the reaction to cyber-attacks. It has been prepared within the framework of the French Cybersecurity Initiative launched in 2017 by the Secretary General for National Defense and Security and the French National Cyber-Security Agency (ANSSI) and it will be presented for the International Conference to be held at UNESCO on 6 and 7 April 2017 on the theme: “Building International Peace and Security in a Digital Society – Public Actors, Private Actors: Duties and Responsibilities”. This study strictly expresses the personal opinions of its authors in the framework of their academic research.

This study has been awarded the "Cyberdefense" Book Award of the International Cybersecurity Forum (FIC 2018) presented to the authors on January 23, 2018 by Ms. Florence Party, Minister of the Armed Forces of France and Mr. Juri Luik, Minister of Defense of Estonia.

The point of departure for this book is that the dramatic rise of cyber-attacks involving States and non-State actors could constitute a real threat to international peace and security. In 2013, the members of the UN GGE recognized the application of International Law in the cyberspace. The cyberspace is not a “No Law’s Land”; rather, it can be regulated by International Law, as are virtually all international activities. But the task in this field is infinitely more complex, not only because of the very nature of the cyberspace but also because of the great diversity of the actors involved. These actors include potential perpetrators of cyber-attacks (States, "proxies", private actors supported or tolerated by States, terrorists, cybercriminals, companies conducting espionage or wanting to gain a competitive advantage, individual hackers, patriotic hacker groups, etc.); potential victims of attacks (States, administrations and communities, companies, media, individuals, etc.); those involved in these attacks (eg. the States through which cyber-attacks transit, companies and individuals whose systems are used by the attackers without the knowledge of the owners); and, finally, those to be potentially involved in a response to a cyber-attack (States, private companies acting for their own benefits, private companies undertaking a response on behalf of another company, etc.). This situation creates an impressive number of combinations, which in their respective turns affect the type and appropriateness of a response.

The first part of this book focuses on the issue of prevention and argues that the concept of “cyber-diligence”, which is based on existing international law and the obligation of any State not to allow knowingly its territory to be used for acts contrary to the rights of other States, provides a satisfactory answer to the question of vigilance that States should exercise with regard to cyber-operations developed from their territory by private actors.

The second part of this book, examines those responses to cyber-attacks which can be developed in accordance with international law. It proceeds to a classification of the possible reactions to cyber-attacks, by proposing a kind of “user’s manual” for victim States that wish to react within the limits of international legality. It distinguishes between reactions always permitted and other reactions that are permissible only if it can be established that a State has committed an “internationally wrongful act” by action or omission. It stresses the need for international cooperation in this area, and warns against any “trivialization” of responses that are in principle violations of international law but are “excused” as circumstances precluding wrongfulness or responsibility.

In the third part of this book, we focus on the very important role that the private sector plays in this field, from preventing cyber-attacks and securing digital infrastructures to “active cyber defense” measures, passing through activities such as the attribution of cyber-attacks. Private sector activities in the area of cyber-security raise several issues and controversies, of political, ethical, technical and legal nature. We carry out a detailed study of the problems of “active cyber defense” and “hack-back” from the point of view of both international and comparative law. After analyzing the advantages, disadvantages and risks of hack-back, we answer to the question of whether private actors can unilaterally undertake cyber-offensive measures in accordance with the law, and examine to what extent States can authorize a hack-back operation and/or rely on private actors to conduct counter-attacks. Our conclusion is that private actors would be better off investing in cyber hygiene and the implementation of good safety practices, rather than trying to acquire offensive tools. If, nevertheless, they are victims of a cyber-attack, instead of launching a - technically and legally - hazardous hack-back, it would be better if they notified the State authorities of the attack and asked them to act, and also exercised their legal rights against the perpetrator of the cyber-attack, assuming that the perpetrator can be identified. States should act within the framework of international law (and especially human rights law) to enhance their proactive and reactive capabilities in order to avoid giving the impression that proper legal forms of reaction are either nonexistent or insufficient. Indeed, the impression of inadequate and inefficient government gatekeeping in the field of cyber-security serves the interests of those who call for cyber-vigilantism. States could, if needed, rely on private actors to conduct counter-attacks under certain circumstances, but this should be done under States’ close control, with the risk of triggering their international responsibility.

Note: Downloadable document is available in French.

Keywords: Cybersecurity, Cyber-attacks, Cyberspace, International Law, Human Rights, Use of Force, International Responsibility of States, Non State Actors, State of Necessity, Countermeasures, Hacking, Hack-back, Due diligence, Prevention, Sovereignty, Non intervention, Self-defense

Suggested Citation

Bannelier, Karine and Christakis, Theodore, Cyberattaques - Prévention-Réactions : Rôles des Etats et des acteurs privés (Cyber-Attacks. Prevention-reactions: The Role of States and Private Actors) (February 25, 2017). Les Cahiers de la Revue Défense Nationale, Paris, 2017. Available at SSRN: https://ssrn.com/abstract=2957795

Karine Bannelier

University Grenoble-Alpes, CESICE, France ( email )

Grenoble
France

HOME PAGE: http://cesice.upmf-grenoble.fr/le-centre/karine-bannelier-172644.htm?RH=1265280659893

Theodore Christakis (Contact Author)

University Grenoble-Alpes, CESICE, France ( email )

151 Rue des Universités
BP 47
GRENOBLE, 38040
France

HOME PAGE: http://cesice.upmf-grenoble.fr/le-centre/theodore-christakis-173840.htm?RH=1265280570220

Institut Universitaire de France ( email )

103, bld Saint-Michel
75005 Paris
United States

HOME PAGE: http://cesice.upmf-grenoble.fr/le-centre/theodore-christakis-173840.htm?RH=1265280570220

Register to save articles to
your library

Register

Paper statistics

Downloads
444
rank
62,702
Abstract Views
1,189
PlumX Metrics