Auditeur de la session cyber de l'Institut des hautes études de défense nationale, je faisais partie de l'équipe de hack back et nous nous sommes beaucoup posés de questions de droit international. Le manuel de Tallinn qui en est à sa deuxième édition, neuf ans après la première, pose des principes de « due diligence », de souveraineté, de caractérisation. Nous sommes sur un modèle différent des Anglosaxons, des Five Eyes (FVEY), qui détectent, remédient et font du hack back avec les services secrets. Vous disposez de cette capacité de hack back quand il s'agit d'une attaque militaire ou de défense jugée comme telle, dans la chaîne de commandement avec le Président de la République à sa tête, mais c'est à l'ANSSI qu'il revient de porter remède quand il s'agit d'affaires purement civiles. Cette dichotomie peut d'ailleurs être intéressante pour nos entreprises parce qu'elle signifie que les services de renseignement ne mettent pas leur nez dans leurs affaires. Toutefois ce droit international de Tallinn est en train de se cristalliser, et un autre problème se pose avec l'intervention sur tous les théâtres d'opérations – dont le cyber – des sociétés militaires privées (SMP) ou des entreprises de services de sécurité et de défense (ESSD), c'est-à-dire des sociétés militaires privées. Si nous restons dans une culture du refus de ces SMP et du hack back, certaines de nos multinationales pourront, dans les pays où elles interviennent, tisser un lien avec une SMP pour faire du hack back. N'oublions pas que de grandes entreprises, très respectueuses de nos principes, comme Saint-Gobain ou Altran, ont subi de l'extérieur des attaques importantes. Allons-nous pouvoir continuer à faire respecter notre propre droit sur nos propres pistes ou devra-t-on entrer dans cette mêlée plus anglosaxonne qu'est le manuel de Tallinn, à l'élaboration duquel aucun Français n'a jamais été convié ?