Projet de loi Hack Back

L'Active Cyber Defense Certainty Act (ACDC), également connu sous le nom de « Hack Back », a été présenté pour la première fois à la Chambre des représentants des États-Unis en 2017. Ce projet de loi a été examiné depuis et, s'il est adopté, modifierait la loi sur la fraude et les abus informatiques. Ce projet de loi offrirait une protection aux entreprises victimes de fraude si elles adoptaient des mesures de réponse plus agressives en cas d'incident, par rapport à la stratégie traditionnelle de « détection et signalement » largement utilisée aujourd'hui.

Quels types de piratage informatique sont évoqués dans ce projet de loi ?

Ce projet de loi décrit trois activités qui définissent ce qu'une entreprise peut et doit faire lorsqu'elle est attaquée. Il s'agit spécifiquement de : 

1. Établir l’attribution de l’activité criminelle, qui serait ensuite partagée avec les forces de l’ordre et d’autres agences gouvernementales compétentes ;
2. Pour perturber toute activité non autorisée continue contre le réseau du défenseur ; et
3. Surveiller le comportement d’un attaquant pour aider au développement de futures techniques de prévention des intrusions ou de cyberdéfense.

Quelles actions sont interdites dans le projet de loi ACDC proposé ?

Il existe de nombreuses actions interdites décrites dans l'ACDC, notamment :

1. détruire les données de quelqu'un d'autre ;
2. causant des pertes physiques ou financières ;
3. créant des menaces pour la santé publique; et
4. effectuer des reconnaissances inutiles sur le système de piratage car il pourrait ne pas appartenir au pirate mais être un intermédiaire, et plus encore.

Les défis liés à toute législation sur le piratage informatique

Le plus gros problème avec ce projet de loi du point de vue de CyberHoot est la difficulté d’attribuer une attaque à une seule entité, à un groupe de pirates informatiques ou à un État-nation.  Faux drapeaux abondent dans le monde du piratage informatique menant à attribution Les erreurs. Le risque d'escalade néfaste des cyberattaques, lié à des attributions imparfaites, est encore plus grand en ligne que dans le monde réel. Cette législation sera certainement débattue pendant longtemps sans aboutir à une résolution claire.

Qu'est-ce que cela signifie pour les entreprises?

Les entreprises doivent simplement être conscientes de ce projet de loi et de ses implications potentielles. Il est peu probable qu'il soit adopté ; il est donc difficile de s'y préparer. Le meilleur conseil que l'on puisse donner aux entreprises est de mettre en place des politiques, des programmes, des formations et des outils appropriés pour sécuriser et protéger leurs données. Le langage ambigu de la loi ACDC présente un risque important : les entreprises risquent de se tirer une balle dans le pied en outrepassant accidentellement leurs limites légales lors d'un piratage. Dans ce cas, outrepasser ses droits légaux pourrait entraîner des accusations de fraude, des poursuites judiciaires et des procédures judiciaires coûteuses.

Le point de vue de CyberHoot sur cette législation :

Étant donné que cette législation est débattue depuis de nombreuses années et que les arguments pour et contre sont nombreux et convaincants, il est peu probable qu'elle soit adoptée de sitôt. 

Pour plus d'informations, regardez Tom Graves (R-GA) discuter du projet de loi qu'il a proposé :

Faites-vous suffisamment pour protéger votre entreprise ?

Inscrivez-vous dès aujourd'hui sur CyberHoot et dormez mieux en sachant que votre

les employés sont formés à la cybersécurité et sur leurs gardes !

Inscrivez-vous dès aujourd'hui !