FR
EN
En vedette
Des criminels lancent des cyber-attaques pour commettre des actes de délinquance financière, mais des acteurs étatiques y ont également recours pour attaquer d’autres pays. Ainsi, en 2020, le gouvernement nord-coréen a été impliqué dans le vol de 281 millions de dollars de crypto-monnaies sur une place de marché de Singapour. Et en décembre 2020, c’est au gouvernement russe qu’a été attribué le vol de données sur 18 000 ordinateurs gouvernementaux et privés aux États-Unis dans le cadre du piratage « SolarWinds ».
Les sanctions économiques traditionnelles, telles que les embargos commerciaux et les gels d’avoirs, ne sont pas forcément adaptées pour répondre aux actes de cybercriminalité d’origine étatique. Pour prévenir et sanctionner ces activités malveillantes, les gouvernements peuvent envisager d’appliquer à la place des sanctions cyber. Cela étant dit, dans un paysage financier numérique, les entreprises se doivent de comprendre la pertinence des pénalités contre la cybercriminalité et l’importance croissante de la conformité aux sanctions cyber.
Définition des sanctions cyber et des pénalités contre la cybercriminalité
Bien qu’assez récentes dans le paysage réglementaire international, les sanctions cyber sont toutefois de plus en plus appliquées pour prévenir et sanctionner les cyber-attaques d’acteurs étatiques malveillants. La cybercriminalité ou les cyber-attaques menées par des états prennent notamment la forme d’arnaques par hameçonnage et d’actes de piratage destinés à dérober des données, de l’argent, de la propriété intellectuelle ou à propager de fausses informations via les réseaux sociaux.
Les sanctions cyber suivent la même logique que les sanctions classiques en interdisant les transactions, les échanges et les relations commerciales avec les personnes et les entités considérées comme responsables de cyber-attaques ou de cyber-activités malveillantes. L’activation d’une sanction cyber repose sur un processus d’attribution via lequel les autorités de réglementation cherchent à établir la responsabilité d’une attaque. Ce processus est complexe car les autorités doivent analyser des quantités considérables de preuves techniques telles que le code machine, les adresses IP et autres données tout en se confrontant à des problèmes de protection de la vie privée, d’anonymat et de falsification potentielle d’identité comme c’est souvent le cas en matière de cybercriminalité.
Dès lors que la responsabilité a été attribuée, l’autorité nationale compétente peut désigner des sanctions. Le non-respect de cette désignation peut donner lieu à un éventail de pénalités contre la cybercriminalité, y compris à des amendes et à des peines de prison.
Lois internationales sur la cybercriminalité
Lorsqu’un pays déploie un programme de sanctions cyber, il doit être certain que les sanctions qu’il appliquera auront l’impact escompté sur leurs cibles. C’est pourquoi les programmes varient à travers le monde :
États-Unis
Les États-Unis ont adopté leur programme contre la cybercriminalité en 2015 et, dès 2016, les premières désignations ont été faites contre des personnes qui tentaient d’interférer dans l’élection générale de 2016. Les cibles des sanctions cyber américaines sont énumérées dans la Liste des personnes bloquées et des ressortissants spécialement désignés (Liste SDN) tenue par le Bureau de contrôle des avoirs étrangers (OFAC). Plus de 100 cibles de sanctions cyber sont mentionnées par l’OFAC pour activités à caractère cyber, entre autres pour interférence dans des élections, arnaques par hameçonnage, piratages et attaques par malware ainsi que pour d’autres types d’activités frauduleuses.
Des sanctions cyber sont désignées aux États-Unis contre les catégories d’entités suivantes :
- Les entités qui lancent, depuis d’autres pays que les États-Unis, des cyber-attaques qui représentent une menace sérieuse pour la sécurité nationale, la politique étrangère ou la stabilité économique.
- Les entités qui cherchent à utiliser des secrets commerciaux à des fins commerciales ou financières.
- Les entités qui apportent une aide ou un soutien financier ou technologique à une cyber-attaque.
- Les entités détenues ou contrôlées par des auteurs de cyber-attaques.
Des désignations de sanctions cyber sont prises contre les entités qui s’engagent ou qui tentent de s’engager dans les activités énumérées ci-dessus.
Union européenne
La mise en place des pénalités et sanctions contre la cybercriminalité a été plus lente dans l’UE que dans d’autres pays. En effet, l’UE n’a adopté son programme contre la cybercriminalité qu’en mai 2019 et n’a prononcé ses premières désignations qu’à partir de juillet 2020. Le premier train de sanctions cyber de l’UE a visé des acteurs russes, nord-coréens et chinois impliqués dans des attaques depuis 2017. L’UE impose des sanctions cyber en réponse aux attaques contre les services et infrastructures sociaux et économiques critiques, les services de défense et diplomatiques ainsi que les informations classifiées des États membres.
Au titre du programme de l’UE, des sanctions cyber sont désignées contre les catégories d’entités suivantes :
- Les entités qui lancent ou tentent de lancer des cyber-attaques.
- Les entités qui apportent un soutien financier, technique ou matériel à des cyber-attaques.
- Les entités qui s’associent à des entités impliquées dans une cyber-attaque.
Royaume-Uni
Après le Brexit, le Royaume-Uni a actualisé ses sanctions cyber en substituant au programme de l’UE son propre programme, à savoir la Réglementation de 2020 (sortie de l’UE) sur les sanctions cyber. Ce nouveau régime de sanctions cyber reprend globalement la fonction et les objectifs du programme de l’UE, mais le Royaume-Uni a toute latitude pour ajouter, révoquer et modifier ses propres sanctions. Le Royaume-Uni a également adapté son processus d’autorisation pour son programme autonome ainsi que la procédure via laquelle les entités désignées peuvent contester leur statut.
Covid-19 et sanctions cyber
Les restrictions liées au confinement qui ont été imposées à travers le monde dans le cadre de la pandémie ont été accompagnées d’une augmentation des activités illégales telles que des actes de blanchiment d’argent, de fraude, de cybercriminalité ainsi que d’une montée en flèche des cyber-attaques et notamment d’attaques contre des gouvernements et des infrastructures nationales critiques. Outre l’attaque SolarWinds d’envergure en 2020, des cyber-attaques ont été rapportées à travers l’Europe début 2021 contre des entreprises en lien avec le coronavirus et contre des établissements sanitaires, y compris une attaque de pirates nord-coréens contre le fabricant de vaccins Pfizer.
En réponse à cette forte menace, les gouvernements tentent de prévenir et de dissuader les activités illégales en intensifiant le déploiement de programmes de sanctions cyber. L’UE, par exemple, a récemment prolongé son programme de sanctions cyber en vigueur jusqu’à mai 2021 pour que les États membres restent protégés contre les acteurs malveillants.
Conformité aux sanctions : contournement des pénalités contre la cybercriminalité
Dans la plupart des pays, les pénalités pour non-conformité aux sanctions cyber prévoient des amendes et des peines de prison et varient selon la gravité du délit. Afin de pouvoir se conformer aux sanctions cyber, il est indispensable que les banques, établissements financiers et autres entités obligées connaissent les listes de sanctions pertinentes qui s’appliquent dans leur pays. Les entreprises sont donc tenues de filtrer leurs clients par rapport aux listes de sanctions telles que la liste SDN de l’OFAC, la liste consolidée de l’UE et la liste de sanctions du Royaume-Uni.
Un filtrage efficace des sanctions cyber doit s’appuyer sur un solide processus de connaissance du client (KYC) déployé dans le cadre d’un programme LCB/FT fondé sur les risques. En pratique, les mesures suivantes sont déployées :
- Obligation de vigilance à l’égard de la clientèle : Les entreprises doivent établir et vérifier les identités de leurs clients pour les filtrer avec exactitude par rapport à la liste de sanctions applicable. Dans le contexte de la cybercriminalité, il peut s’agir d’établir les adresses IP et l’identité numérique.
- Supervision des transactions : Les établissements financiers doivent superviser les transactions des clients pour rechercher tout comportement suspect pouvant indiquer une tentative de contournement des sanctions cyber.
- Le filtrage et la supervision : Les établissements doivent superviser le statut de personne politiquement exposée (PPE) de leurs clients et vérifier si ces derniers font l’objet d’une couverture médiatique négative susceptibles de les associer à des sanctions cyber.
Technologie intelligente : Compte tenu des vastes volumes de données requis pour le processus de filtrage des sanctions cyber, les établissements doivent chercher à déployer des outils à technologie intelligente adaptés, y compris des systèmes d’intelligence artificielle et d’apprentissage automatique, pour gérer la charge de la conformité. Si la technologie intelligente automatisée ajoute vitesse, efficacité et précision au processus de filtrage, elle peut aussi faciliter la gestion des données non structurées générées par les transactions numériques et aider les entreprises à détecter, voire à anticiper, les changements de comportement des clients.
Démarrez maintenant
Quelques minutes suffisent pour actualiser notre outil de filtrage des sanctions qui procède à un filtrage sur des milliers de listes de surveillance maintenues par des gouvernements et des autorités du monde entier et sur plus de 100 listes de sanctions internationales et nationales.
Publié initialement 19 février 2021, mis à jour 26 avril 2022
Contenus associés
En vedette
Avertissement : Ce document est destiné à des informations générales uniquement. Les informations présentées ne constituent pas un avis juridique. ComplyAdvantage n'accepte aucune responsabilité pour les informations contenues dans le présent document et décline et exclut toute responsabilité quant au contenu ou aux mesures prises sur la base de ces informations.
Copyright © 2024 IVXS UK Limited (commercialisant sous le nom de ComplyAdvantage)