La cybersécurité ne s’arrête pas à la responsabilité individuelle

Chaque particulier et chaque organisation est responsable de la protection de ses systèmes informatiques. Ce principe fondamental, qui s’est imposé dès la fin des années 1990 dans le domaine de la cybersécurité, repose sur l’idée d’une responsabilité individuelle basée essentiellement sur le volontariat. Jusqu’à un certain point, cette approche fonctionne bien, mais le niveau de protection qu’elle permet d’atteindre demeure insuffisant pour la société et l’économie dans leur ensemble.

Les effets externes des mesures de cybersécurité

Cette situation s’explique par l’interconnexion étroite existant entre les systèmes techniques, tels que les installations de contrôle industriel, les services en nuages et les plateformes, les réseaux de chaînes d’approvisionnement et les systèmes de paiement numériques. Cette interconnexion génère des effets externes: les décisions individuelles prises en matière de cybersécurité ont des répercussions, positives ou négatives, sur d’autres secteurs.

Un effet externe négatif survient, par exemple, quand une entreprise ne protège pas suffisamment ses systèmes: des cybercriminels peuvent alors exploiter cette faille pour attaquer ses partenaires, sa clientèle ou l’ensemble de la chaîne d’approvisionnement. L’entreprise concernée ne supporte alors qu’une infime partie des dommages, dont la majeure partie touche d’autres acteurs.

À l’inverse, un effet externe positif apparaît quand une entreprise investit massivement dans la cybersécurité, évitant ainsi la propagation de logiciels malveillants ou partageant avec le secteur des informations sur les menaces identifiées. Dans ce cas, même les acteurs qui investissent peu ou pas du tout dans la sécurité informatique bénéficient des mesures mises en place par cette entreprise.

Une défaillance classique du marché

Cette dynamique entraîne une défaillance classique du marché: dans l’ensemble, on investit trop peu dans la cybersécurité. La motivation individuelle est plus faible que ce qui serait souhaitable du point de vue de la société, car une partie des bénéfices tirés de ces investissements profite à d’autres acteurs sans que ces derniers aient besoin d’en supporter les coûts. Ce problème de «passager clandestin» est étroitement lié au sous-approvisionnement en biens publics: tous profitent d’un niveau élevé de cybersécurité et personne ne peut en être exclu. C’est pourquoi les incitations à investir soi-même dans la cybersécurité sont faibles.

En parallèle, la cybermenace grandit. Les attaques s’avèrent de plus en plus payantes, car la surface d’exposition augmente avec la numérisation, les services en nuage et le travail nomade, tandis que la probabilité de démasquer leurs auteurs reste faible. Agissant de manière anonyme et souvent par-delà les frontières nationales, les cybercriminels peuvent réaliser des gains considérables, d’autant plus que les seuils d’accès à la cybercriminalité diminuent considérablement. Des outils d’attaque prêts à l’emploi et des kits de rançongiciels sont proposés sur l’Internet clandestin (darknet) sous la forme de «cybercrime-as-a-service», pendant que des outils automatisés permettent aux malfaiteurs de lancer des attaques efficaces sans avoir besoin de connaissances ou de compétences techniques approfondies dans ce domaine. À cela vient s’ajouter le fait que des acteurs étatiques ou proches de l’État font un usage stratégique des cyberattaques à des fins d’espionnage, de sabotage ou d’exercice du pouvoir géopolitique. Étant donné qu’ils disposent du temps, des ressources et du savoir-faire nécessaires pour mener de telles attaques, les coûts liés à la mise en place de mesures de protection appropriées pour les entreprises et les institutions augmentent, tout comme ceux engendrés par les dommages causés par ces attaques.

La responsabilité personnelle, un fondement

Le professionnalisme et la puissance des attaques actuelles montrent que les mesures collectives, c’est-à-dire les efforts coordonnés de l’État, des entreprises et des particuliers, sont désormais indispensables. Néanmoins, le principe de base demeure: rien ne fonctionne sans la responsabilité individuelle car elle est la condition préalable à l’efficacité des mesures collectives, la sécurité commune reposant toujours sur la prévention individuelle. Quiconque néglige les mises à jour, utilise des mots de passe faibles ou ignore les mesures de protection élémentaires ne met pas seulement en danger sa propre sécurité, mais permet également aux cybercriminels d’accéder à l’ensemble du réseau.

Jusqu’où va la responsabilité individuelle et quand l’État doit-il intervenir? Il n’existe pas de réponse simple à cette question fondamentale, car la nature des menaces, les possibilités techniques et les incitations économiques évoluent en permanence. Ce qui est aujourd’hui considéré comme une contribution individuelle raisonnable peut s’avérer excessif demain si la complexité des attaques ou le coût des mesures de protection dépassent les moyens des entreprises ou des particuliers. À l’inverse, des mesures de protection qui étaient jusqu’à présent difficiles à mettre en œuvre peuvent être simplifiées grâce à l’apparition de nouvelles technologies, telles que les mises à jour de sécurité automatiques, la détection d’intrusions fondée sur l’intelligence artificielle ou la fourniture centralisée de services en nuage.

L’intervention de l’État en cas de défaillance du marché

Les travaux de recherche et la pratique permettent d’identifier deux principes directeurs en matière de cybersécurité. Premièrement, la responsabilité individuelle se limite aux mesures de protection qui peuvent être mises en œuvre au prix d’un effort technique, organisationnel et financier raisonnable. Il est donc légitime d’attendre des entreprises et des particuliers qu’ils prennent des précautions élémentaires: maintenir leurs systèmes à jour, sécuriser leurs identifiants, effectuer des sauvegardes et former leur personnel. Constituant une bonne hygiène numérique, ces pratiques sont aujourd’hui la norme et font partie intégrante du devoir individuel de diligence numérique.

Deuxièmement, l’État intervient en cas de défaillance du marché. La cybersécurité est un bien public, du moins au niveau national: car une panne d’infrastructures critiques, de services publics ou de prestations numériques relevant du service universel affecte l’ensemble de la société. Il incombe donc à l’État d’assurer un minimum de protection en mettant en place un cadre légal clair, une surveillance et une coordination et, le cas échéant, en intervenant directement.

Les instruments de l’État

Parmi les missions centrales de l’État figure la définition de normes minimales dans le but de renforcer le niveau général de protection et d’éviter que la sécurité ne devienne une option laissée au bon vouloir de chacun. Tout comme la gestion des données sensibles, les secteurs particulièrement exposés (énergie, santé, transports, etc.) nécessitent des prescriptions spécifiques.

L’État doit en outre garantir la transparence. L’obligation de signaler les cyberattaques empêche que des failles de sécurité ne soient passées sous silence par crainte de nuire à la réputation d’une entreprise. Ce n’est qu’en collectant et en analysant systématiquement les informations que l’on peut brosser un tableau fiable de la situation, qui permet aux autorités de réagir rapidement.

Une autre mission de l’État consiste à fournir des ressources communes, telles que des plateformes d’échange d’informations sur les menaces, des systèmes d’alerte précoce soutenus par les pouvoirs publics et des centres d’urgence centralisés. Les traités internationaux jouent également un rôle croissant dans ce domaine, car les cyberrisques ne connaissent pas de frontières et ne peuvent être efficacement combattus qu’à travers une action coordonnée.

La cybersécurité ne peut être garantie exclusivement par des initiatives individuelles ou par la seule réglementation étatique. Elle repose sur la responsabilité individuelle, sans laquelle les mécanismes collectifs sont voués à l’échec. Par conséquent, une double stratégie s’impose: chacun doit s’attacher à respecter les principes fondamentaux de l’hygiène numérique, tandis qu’il incombe à l’État d’établir des règles, de garantir la transparence et de mettre en place les infrastructures appropriées. Seule la combinaison de ces deux stratégies permet d’atteindre un niveau de sécurité suffisant pour faire face aux menaces croissantes.