Pourquoi le projet de loi israélien sur la cyber-sécurité pose-t-il problème ?
Rechercher

Pourquoi le projet de loi israélien sur la cyber-sécurité pose-t-il problème ?

Les défenseurs de la vie privée et de la démocratie conviennent qu'une loi est nécessaire, mais pour eux ce projet de loi est un danger pour la démocratie

(Image illustrative d'un hacker ; supershabashnyi, iStock / Getty Images)
(Image illustrative d'un hacker ; supershabashnyi, iStock / Getty Images)

Même si les défenseurs de la vie privée et de la démocratie d’Israël accueillent favorablement une loi sur la cyber-sécurité qui aiderait la nation à repousser les attaques préjudiciables à ses entreprises et à ses infrastructures stratégiques, ils avertissent que le nouveau projet de loi, qui doit maintenant faire l’objet d’amendements, n’est pas bon pour la démocratie.

Le projet donne « un pouvoir trop important sans suffisamment de freins et contrepoids », a déclaré Dan Hay, le chef du comité de protection de la vie privée de l’Association du barreau d’Israël, qui prévoit de soumettre des objections à la loi proposée.

« Le danger est que si vous donnez du pouvoir à un organe, il en abusera. Ce n’est pas sain pour un pays démocratique. Le projet de loi est excessif, et je ne connais aucune loi en Israël qui soit aussi extrême ».

Il a déclaré que la version finale de la loi exigerait un « changement radical ».

La loi, publiée la semaine dernière, donnerait à la cyber-direction nationale d’Israël, l’agence chargée de protéger le cyber-espace national civil d’Israël, l’autorité de recueillir des informations et de confisquer du matériel sans ordonnance judiciaire, afin de déjouer ou de faire face à une cyber-attaque. Les parties intéressées ont jusqu’au 10 juillet pour soumettre leurs commentaires sur la proposition.

Dan Hay, le dirigeant de Dan Hay & Co. Bureaux juridiques, spécialisés dans la protection de la vie privée, les bases de données et le droit de l’informatique (Eran Levi)

Le projet de loi sera probablement modifié à de nombreuses reprises avant d’être soumis au vote. La proposition formalise les processus déjà en place et établit un cadre de ce que la sphère civile et gouvernementale israélienne devrait faire en matière de cyber-sécurité.

La nouvelle loi voit le jour alors que les nations sont aux prises avec la menace croissante que les pirates informatiques font peser sur leurs citoyens et leurs démocraties.

Au cours des dernières années, il y a eu « une augmentation significative des cyber-menaces et de leur gravité », ont écrit les auteurs du projet de loi. « Les cyber-attaques sont de plus en plus sophistiquées et leurs résultats sont plus difficiles et plus complexes à gérer. Par conséquent, le risque d’atteinte à la sécurité personnelle, à l’activité économique et à la sécurité nationale augmente d’une manière qui exige une intervention au niveau national ».

En 2015, l’OCDE a recommandé aux pays de mettre en place une politique de défense de leur sphère numérique contre les attaques et, en 2016, l’Union européenne a adopté une loi, entrée en vigueur en mai 2018, qui oblige tous les pays membres à mettre en place une politique de cyber-sécurité concernant les infrastructures stratégiques et un centre national pour la cyber-sécurité.

Le Forum économique mondial a déclaré plus tôt cette année que les cyber-menaces sont l’un des plus grands risques dans le monde et a recommandé d’accroître l’état de préparation des pays face aux failles dans la cyber-sécurité.

La loi proposée par Israël stipule que les autorités pourront donner des instructions aux organisations sur la façon d’agir en cas de soupçon de piratage ou de violation de données, et que les organisations qui reçoivent des instructions ne peuvent pas révéler les instructions qui leur ont été données. Ce n’est que dans certains cas que l’autorisation d’un tribunal sera nécessaire pour imposer de telles instructions.

Le professeur Yuval Shany de l’université hébraïque de Jérusalem (Crédit : Autorisation)

Yuval Shany, ancien doyen de la Faculté de droit de l’Université hébraïque de Jérusalem et expert en droit international et en droit international des droits de l’homme, qui dirige une équipe d’experts juridiques et techniques pour relever les défis posés par le nouveau monde numérique et la cyber-guerre aux systèmes juridiques du monde entier.

« Il permet aux autorités d’entrer dans des locaux privés sans ordonnance du tribunal et de confisquer le matériel afin de prévenir ou d’arrêter un crime. Ceci est grave parce qu’il s’agit d’une atteinte au droit à la vie privée, tant en ce qui concerne les locaux que le contenu des données contenues dans les équipements.

Coûts et risques énormes

Selon un rapport du Forum économique mondial, le démantèlement d’un seul fournisseur de cloud pourrait causer des dommages économiques de 50 à 120 milliards de dollars – une perte qui se situe quelque part entre l’ouragan Sandy et l’ouragan Katrina. Et bien qu’il ne s’agisse pas exactement de la même chose, le coût économique annuel de la cyber-criminalité est aujourd’hui estimé à 1 000 milliards de dollars.

Le nombre de dispositifs interconnectés dans le monde devrait passer de 8,4 milliards aujourd’hui à quelque 20 milliards en 2020, selon le Forum économique mondial. « L’utilisation accrue de l’intelligence artificielle dans les processus d’affaires augmente également l’exposition aux cyber-risques, selon le rapport.

Photo d’illustration d’un hacker en action (BeeBright, iStock by Getty Images)

« Les cyber-attaques peuvent paralyser des hôpitaux, voler des détails de comptes dans des banques et frapper des infrastructures stratégiques comme le réseau d’électricité », a déclaré le Dr Tehilla Shwartz Altshuler, chercheuse principale à l’Institut israélien pour la démocratie qui étudie l’impact de la technologie sur la démocratie.

« Nous devons adopter des mesures de cyber-sécurité », a-t-elle souligné, ajoutant qu’il est essentiel de créer un organisme de lutte contre les cyber-attaques et de légiférer pour réglementer le travail de la Direction nationale de la cyber-sécurité.

Selon Shwartz Altshuler, la direction fonctionne de manière plus étroite que la nouvelle loi ne le permet, et a fait preuve de « retenue ». « Ils savent qu’il y a certaines choses qu’ils ne peuvent pas faire sans une loi. »

La nouvelle loi permettrait à Israël d’actualiser sa législation afin de l’adapter à l’évolution de la situation sur le terrain, a-t-elle dit. Mais il y a des signaux d’alarme dans le projet de loi, a-t-elle averti, qui imposent une réécriture.

L’un des aspects les plus inquiétants de la loi, a-t-elle expliqué, est qu’elle permettrait à la direction de surveiller tout le trafic Internet. « C’est considérable et dangereux », a-t-elle expliqué. L’agence de sécurité israélienne Shin Bet le fait probablement déjà avec les Palestiniens pour déjouer les attaques terroristes. Mais il n’y a jamais eu une telle surveillance des citoyens israéliens, a-t-elle ajouté.

« Ils peuvent dire qu’ils ne regarderont pas les informations privées », a-t-elle poursuivi, mais « nous ne savons pas ce qui se passera à l’avenir. La capacité de suivre le trafic Internet est très dangereuse. »

Tehilla Shwartz Altshuler, chercheur à l’Institut israélien pour la démocratie. (Autorisation)

En outre, a-t-elle dit, la proposition n’oblige pas l’autorité à informer le public d’une violation. Lors d’événements de piratage, il est souvent important de préserver le secret pour contrer efficacement l’attaque, a-t-elle dit. Mais aucun organisme commercial ou gouvernemental ne voudra jamais admettre qu’ils ont été piratés et que des données importantes ont été divulguées. « Ainsi, la pression exercée sur la direction par les politiciens et les entreprises pour qu’ils ne publient pas l’information sera très forte. »

En outre, la loi ne définit pas ce qu’il faut faire avec les données qui ont été collectées par la direction, a-t-elle dit.

« Auront-ils le droit de transmettre l’information à la police ? », a-t-elle demandé. Si c’est le cas, les gens ne révéleront pas qu’ils ont été piratés, de peur que leurs données ne soient transférées à des destinataires inconnus.

Un autre élément préoccupant de la loi est la définition d’une cyber-attaque. La question est très claire quand l’attaque vise l’infrastructure. Mais que faire si l’attaque est intangible, comme un tweet, ou de fausses nouvelles qui visent la manipulation à des fins politiques ? Techniquement, c’est aussi une cyber-attaque, car elle utilise la cyber-sphère pour « nuire à un processus démocratique ».

Et si la direction intervient, elle sera accusée de motivation politique, d’une manière ou d’une autre, a-t-elle dit.

La loi donne également à la direction le pouvoir d’outrepasser les régulateurs existants, a-t-elle dit, lui permettant de donner des ordres directs aux régulateurs sur la façon de fonctionner et d’agir en ce qui concerne la cyber-sphère.

En savoir plus sur :
C’est vous qui le dites...