Le déluge de cyberattaques qui balaie le monde amène les gouvernements et les entreprises à réfléchir à de nouvelles façons de protéger leurs systèmes numériques, et les secrets d'entreprise et d'État qui y sont stockés. Pendant longtemps, Les experts en cybersécurité ont érigé des pare-feu pour empêcher le trafic indésirable et ont mis en place des cibles leurres sur leurs réseaux pour distraire les pirates qui y pénètrent. Ils ont également parcouru Internet à la recherche d'indices sur ce que pourraient faire les cybercriminels pour mieux se protéger et protéger leurs clients.

Maintenant, bien que, de nombreux dirigeants et officiels commencent à penser à intensifier leurs activités défensives, en prenant des mesures plus actives. Une option extrême dans ce domaine de la défense active est parfois appelée "piratage" dans les systèmes d'un adversaire pour obtenir des indices sur ce qu'il fait, arrêter l'attaque ou même supprimer des données ou endommager les ordinateurs d'un attaquant.

J'ai fait des recherches sur les avantages et les inconvénients de diverses options de défense active avec Danuvasin Charoen de l'Institut national thaïlandais d'administration du développement et Kalea Miao, un boursier Cox de premier cycle à la Kelley School of Business de l'Université d'Indiana. Nous avons trouvé un nombre et une variété surprenants d'entreprises - et de pays - explorant diverses manières d'être plus proactives dans leurs pratiques de cybersécurité, souvent avec peu de fanfare.

Être actif

À la surface, il peut sembler que le proverbe a raison :« La meilleure défense est une bonne attaque. Les dégâts des cyberattaques peuvent être énormes :en mai 2017, un seul incident, la cyberattaque WannaCry, touché des centaines de milliers de systèmes dans le monde et causé plus de 4 milliards de dollars US de perte de productivité et de coûts de récupération de données. Un mois plus tard, une autre attaque, appelé NotPetya, a coûté 300 millions de dollars au géant mondial du transport maritime Maersk et a réduit l'entreprise à s'appuyer sur le système de messagerie WhatsApp appartenant à Facebook pour les communications officielles de l'entreprise.

Face à cette ampleur de perte, certaines entreprises veulent intensifier leurs défenses. Les entreprises dotées de systèmes technologiques sophistiqués savent ce qui est nécessaire pour protéger leurs clients, réseaux et secrets commerciaux précieux. Ils ont également probablement des employés ayant les compétences nécessaires pour traquer les pirates et pénétrer les propres systèmes des attaquants. Mais l'éthique et les implications de justifier une cyberattaque comme défensive deviennent très rapidement très compliquées.

C'est souvent pas clair, par exemple, qui est exactement derrière une attaque - une incertitude qui peut durer des jours, des mois voire des années. Alors, qui devrait cibler le hack-back ? Et si une entreprise américaine privée croyait être attaquée par une entreprise appartenant au gouvernement chinois ? S'il est piraté, serait-ce un acte de guerre entre les pays ? Que devrait-il se passer pour réparer les relations d'entreprise et internationales si l'entreprise avait tort et que son agresseur était ailleurs ? Les entreprises ne devraient pas être habilitées à déclencher des cyberconflits mondiaux qui pourraient avoir des conséquences désastreuses, mais en ligne et hors ligne.

Bien sûr, il est également important de penser à ce qui pourrait arriver si d'autres pays permettaient à leurs entreprises de se retourner contre les efforts du gouvernement américain ou des entreprises. En conséquence, davantage d'entreprises américaines pourraient être victimes de cyberattaques, et pourrait trouver peu de recours juridiques.

S'engager avec la loi

À l'heure actuelle, le piratage est illégal, aux États-Unis et dans de nombreux pays du monde. Aux Etats-Unis., le Computer Fraud and Abuse Act criminalise l'accès à un autre ordinateur sans autorisation. Chaque membre du G-7, y compris les États-Unis, ainsi que la Thaïlande et l'Australie, a interdit le piratage. En 2018, plus de 50 pays – mais pas les États-Unis – ont signé un accord interdisant aux entreprises privées basées dans leur pays de pirater.

Cependant, les partisans des tactiques défensives actives poussent fort leur message. La plate-forme présidentielle de 2016 du Parti républicain promettait de garantir que "les utilisateurs ont le droit de se défendre contre les pirates comme ils l'entendent". En mars 2018, la législature de l'État de Géorgie a adopté un projet de loi autorisant « des mesures de défense active conçues pour empêcher ou détecter les accès informatiques non autorisés ». Deux mois après, alors-Gouv. Nathan Deal a mis son veto, à la demande des entreprises technologiques préoccupées par ses "implications en matière de sécurité nationale et autres ramifications potentielles".

Si c'était devenu loi, Le projet de loi de la Géorgie aurait encore probablement enfreint la loi fédérale. Cependant, Les législateurs de Washington ont également proposé de laisser les entreprises s'engager dans certains types de défense active. En 2017, le représentant des États-Unis Tom Graves, un républicain de Géorgie, a proposé l'Active Cyber ​​Defence Certainty Act, qui permettrait aux entreprises de s'engager dans certaines mesures de défense active, y compris la surveillance des agresseurs potentiels, à condition que l'entreprise ait d'abord informé le FBI et que l'action ne menaçait pas "la santé ou la sécurité publiques". Le projet de loi est mort et n'a pas encore été réintroduit; il est peu probable que cela aille loin dans la nouvelle maison démocrate.

La défense active reste illégale aux États-Unis et dans une grande partie du monde. Mais les interdictions ne sont pas appliquées au pays ou à l'étranger.

Devenir mondial

Tous les pays n'ont pas interdit le piratage. Singapour, par exemple, a permis aux entreprises locales de s'engager dans des mesures de défense actives afin de prévenir, détecter, ou contrer des menaces spécifiques à ses infrastructures critiques, y compris le secteur financier. D'autres nations, comme la France, ne souhaitent pas voir le secteur privé au premier plan, mais sont toujours désireux de garder la défense active comme une option pour les gouvernements.

Plus les pays autorisent la défense active, plus tout le monde – aux États-Unis et dans le monde – est susceptible de devenir une victime d'une cyberattaque. Au lieu de décourager les attaques, la défense active agressive augmente la possibilité que les lumières s'éteignent, ou des machines à voter américaines renvoyant des résultats inexacts.

Les organisations peuvent et doivent être encouragées à prendre des mesures de défense passives, comme la collecte de renseignements sur les attaquants potentiels et le signalement des intrusions. Mais à mon avis, ils devraient être découragés - sinon empêchés - d'agir de manière agressive, en raison du risque de déstabilisation des relations d'affaires et internationales. Si la quête de la cyber-paix dégénère en une bataille d'autodéfense numérique, l'insécurité mondiale sera plus grande, pas moins.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.