La légitime défense numérique : les entreprises françaises doivent-elles s’armer pour maintenir leur pérennité et leur compétitivité ?
Dans un environnement géopolitique et économique marqué par de fortes tensions, le cyberespace est devenu le théâtre d’un champ de bataille invisible. Aujourd’hui, une entreprise sur deux risque la défaillance, c’est-à-dire qu’elle ne peut plus faire face à ses obligations financières dans les six mois suivant une cyberattaque. Tandis que les acteurs malveillants s’industrialisent, s’appuyant sur des outils automatisés et parfois sur des moyens étatiques, les entreprises françaises se retrouvent souvent démunies.
État de la menace d’origine « cyber » en France
La menace d’origine « cyber » en France connaît une progression importante, tant en volume qu’en intensité. En 2023, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a enregistré une hausse de 30 % des attaques par rançongiciel par rapport à l’année précédente. En 2024, cette menace reste à un niveau élevé « avec un nombre d’incidents comparable à l’année passée ». Les très petites entreprises (TPE), petites et moyennes entreprises (PME) et entreprises de taille intermédiaire (ETI) sont devenues les cibles privilégiées des cybercriminels, représentant près de 40 % des attaques par rançongiciel traitées ou rapportées par l’ANSSI. De manière générale, le nombre de cyberattaques traitées par l’ANSSI a augmenté de 15 % entre 2023 et 2024.
Les impacts sur les ETI et PME
Une entreprise doit être pérenne et compétitive. Néanmoins, l’espionnage économique ou les cyberattaques peuvent avoir un impact considérable sur la compétitivité et la réputation d’une entreprise. Ces impacts peuvent se matérialiser par un coût financier, une interruption de l’activité, voire des poursuites juridiques. À noter que le risque de défaillance d’une entreprise augmente de plus de 50 % dans les six mois suivant l’attaque.
Les limites de la cybersécurité passive
Face à une industrialisation croissante des cyberattaques, les barrières de protection courantes sont devenues insuffisantes face aux attaques sophistiquées et/ou ciblées. L’étude menée par SFR Business indique que les pare-feux ou les antivirus constituent des fondations nécessaires, mais restent insuffisants face aux cybermenaces. Environ 60 % des intrusions impliquent encore un comportement humain, rendant les barrières purement techniques contournables.
Les risques de la riposte privée : le « hack-back »
Une proposition de loi américaine de 2019, l’Active Cyber Defense Certainty Act, repose sur l’idée que les entreprises et les particuliers victimes de cyberattaques pourraient utiliser des mesures de défense active, comme le traçage ou la neutralisation des attaquants, sans risque de poursuites pénales. En France, le Secrétariat Général de la Défense et de la Sécurité Nationale a défini le « hack-back » comme des actions cyber offensives en réponse à une attaque. Cependant, cette pratique reste controversée, car l’attaquant apparent n’est que rarement l’attaquant réel, et une riposte pourrait frapper une tierce partie innocente.
La riposte reste une mesure régalienne
La doctrine française maintient une séparation stricte des rôles pour garantir la stabilité du cyberespace. D’un côté, l’ANSSI intervient sur les plans défensif et civil, tandis que le COMCYBER est présent sur les plans offensif, défensif et militaire. Seules les armées sont habilitées à conduire des actions offensives pour défendre les intérêts de la Nation.
De la défense passive à la défense active
La notion de défense active ne doit pas être confondue avec des outils de défense légaux. Les solutions de détection et de réponse, telles que l’Endpoint Detection Response ou les honeypots, sont utiles mais ne relèvent pas de la légitime défense. La défense active, au sens de la légitime défense numérique, renvoie au hack-back, qui est strictement interdit en France par le Code pénal.
Pour maintenir leur pérennité, les entreprises françaises doivent s’équiper de moyens de défense souverains. L’armement numérique de l’entreprise doit reposer sur trois piliers : un pilier technologique avec le déploiement de solutions de détection avancées, un pilier humain en formant et en sensibilisant ses équipes face aux menaces cyber, et un pilier collaboratif en communiquant avec les autorités régaliennes.
Source : SFR Business
