« Cher Arbitre,
C’est votre hacker.
Vous ne me connaissez pas, mais je vous connais déjà assez bien. J’attends silencieusement l’occasion de simplement cliquer et réduire votre bloc-notes.
je n’ai rien contre vous; c’est simplement que vous êtes un gardien d’or : DATA. Et pas n’importe quel type de données ; il s’agit en fait d’informations provenant d’une société que vous connaissez sous le nom de « Demandeur ». En fait, j’ai essayé pendant de nombreux mois de construire une attaque de la chaîne d’approvisionnement contre le demandeur… et devinez quoi ? J’ai découvert que vous étiez le point faible de l’entreprise. Oui, vous êtes le maillon faible de la chaîne en tant que prestataire de services professionnel externe.
J’ai découvert sur les réseaux sociaux que votre ville préférée est Rotterdam, et après quelques clics et en notant l’anniversaire de votre chien, j’ai votre mot de passe ! Malheureusement, vous utilisez également presque le même mot de passe pour vos appareils de travail, j’ai donc déjà accès à votre carnet de travail. Vous avez également sauté la dernière mise à jour de votre système d’exploitation dans votre téléphone super interconnecté – parfait, ne vous précipitez pas !
Enfin et surtout, je suis toujours en train de décider si je dois vous réclamer un ransomware directement ou à la société à la place. Je vais voir comment vous travaillez sur votre papier de groupe, ou le document intitulé « Prix ». Oh, et après avoir vérifié l’historique de votre navigateur, je vois que vous ne lisez ni n’étudiez rien sur les sujets de cybersécurité, ce qui suggère que vous êtes en effet ma cible idéale.
Encore une fois, ce n’est pas personnel – je dois juste faire mon truc.
Bonne chance avec votre opinion concordante, j’espère que vous pourrez le terminer avant le mariage de votre neveu.
Toutes mes excuses, mais VOUS VENEZ DE VOUS FAIRE PIRATER ! »
Tous les messages que vous êtes surpris de voir dans votre boîte de réception ne se transforment pas en une romance de conte de fées. Au contraire, les chances que cela se produise sont probablement assez faibles. En déplaçant tout en ligne, nous sommes devenus des cibles parfaites pour les pirates, ce qui augmente le risque de recevoir une note similaire. Un tel e-mail pourrait indiquer que vous êtes en fait piraté, ou l’e-mail lui-même pourrait être le début de l’arnaque. En tant que communauté d’arbitrage, nous devons devenir plus résilients aux cybermenaces.
Depuis le début de ses activités fin 2020, CyberArb a pour objectif de fournir des outils pratiques et des pièces pédagogiques, y compris sa newsletter nouvellement lancée, pour combler le fossé entre la théorie et la pratique. À cette fin, CyberArb s’est associé à ArbitrateUniversity.com de proposer un nouveau module de formation en ligne sur les fondamentaux de la cybersécurité dans l’arbitrage international, dédié à tous les praticiens de l’arbitrage. Le module commence par une brève introduction par Karina Albers (arbitre indépendant, président de la branche londonienne du CIArb et membre du conseil d’administration de CyberArb), qui explique que les cyberattaques constituent une menace croissante dans le monde. La pandémie de Covid-19 nous a obligés à passer à un environnement de travail hybride, qui dépend fortement d’Internet et qui entraîne une escalade des cyberattaques. La communauté internationale de l’arbitrage a été la pionnière des audiences virtuelles, qui, d’une part, ont mis les parties à l’aise mais, d’autre part, ont rendu les institutions d’arbitrage et les cabinets d’avocats particulièrement vulnérables aux cyberattaques.
Instruments de droit souple pour promouvoir la cybersécurité dans les arbitrages internationaux
Le module comprend des entrées de Shobana Iyer (arbitre indépendante, fondatrice de Swan Chambers et membre de l’Advisory Board de CyberArb), qui partage ses réflexions sur la soft law de la cybersécurité et l’arbitrage international. L’augmentation de l’utilisation des données et les progrès technologiques tels que la vidéoconférence et le dépôt électronique ont fait de la cybersécurité un problème plus urgent. L’implication de parties situées dans diverses juridictions utilisant différentes technologies a créé une pression sur l’infrastructure numérique, la rendant plus vulnérable aux cyberattaques. Iyer souligne que toute violation de la cybersécurité pourrait nuire à la réputation des parties et des arbitres. Cela peut également entraîner des problèmes dans l’exécution d’une sentence, car de telles violations entacheraient les données et la confidentialité impliquées dans la procédure arbitrale.
Ces risques ont stimulé la formulation de diverses lois souples sous la forme de lignes directrices et de protocoles dans l’arbitrage international. Ces directives incluent le ICCA-NYC Bar-CPR Protocole sur la cybersécurité dans l’arbitrage international (dont la dernière version a été récemment présentée lors de la conférence ICCA 2022 à Édimbourg), qui vise à accroître la sensibilisation à la cybersécurité dans les arbitrages internationaux et à fournir un cadre pour l’intégration de mesures de cybersécurité dans les procédures arbitrales ; l’AAA ICDR Guide des meilleures pratiques pour maintenir la cybersécurité et la confidentialité (2020), qui offre des conseils utiles aux parties, à leurs représentants et aux arbitres concernant les mesures de cybersécurité qu’ils devraient envisager d’adopter ; le CIArb Directive-cadre sur l’utilisation de la technologie dans l’arbitrage international (2021), qui couvre une série de principes sur l’utilisation de la technologie et présente les meilleures pratiques pour assurer la cybersécurité dans l’arbitrage ; et le rapport de la Commission d’arbitrage et d’ADR de la CCI sur Tirer parti de la technologie pour des procédures d’arbitrage international équitables, efficaces et efficientes (2022), qui contient une variété de ressources pour promouvoir l’utilisation sûre de la technologie dans l’arbitrage, y compris un exemple de langage procédural relatif aux outils technologiques, des listes de contrôle pour les audiences virtuelles, etc.
Implications pour l’admissibilité de la preuve
Cemre Kadıoğlu (doctorant à l’Université de Leicester et membre du conseil d’administration de CyberArb) discute des conséquences des cyberattaques sur l’arbitrage. Elle analyse plusieurs cas importants d’arbitrage international pour discuter de l’admissibilité des preuves obtenues par le biais de cyberattaques. Kadıoğlu aborde en outre l’élément de coût de ces violations et la répartition des coûts. Des questions telles que le rôle des arbitres dans les défis de la cybersécurité et l’utilisation des failles de cybersécurité comme tactique de guérilla sont abordées tout en s’appuyant sur les protocoles et directives internationaux existants. Ces questions ne sont pas simplement académiques : en 2021, le défendeur dans un arbitrage CCI brésilien de plusieurs milliards de dollars a contesté la sentence au motif que le demandeur avait orchestré un piratage de ses serveurs et avait ainsi eu accès à des informations confidentielles au cours de la procédure arbitrale.
Conseils pratiques pour améliorer la cybersécurité pendant les arbitrages
Fait unique, ce module comprend également l’expertise de Tony Gee (hacker éthique et consultant en sécurité chez Pen Test Partners) qui fournit des conseils pratiques sur la façon d’être en sécurité informatique à toutes les étapes d’un arbitrage. En particulier, Gee recommande aux arbitres de rester prudents et de se protéger des cyberattaques en, entre autres, en utilisant des mots de passe complexes avec des caractères spéciaux et des chiffres ; appliquer différents mots de passe pour différentes plates-formes ; stocker lesdits mots de passe sur un gestionnaire de mots de passe ; mise en œuvre de l’authentification multifacteur ; et maintenir à jour les systèmes et logiciels des appareils numériques, y compris les ordinateurs et les téléphones portables. Gee donne également plusieurs conseils sur ce qu’il faut faire si l’on fait l’expérience d’un vrai hack. Par exemple, il conseille aux arbitres d’envisager de souscrire une assurance responsabilité civile pour la cybersécurité à l’avance et d’agir rapidement pour demander l’aide d’un fournisseur de services, comme une société d’intervention en cas d’incident, s’ils sont victimes d’un piratage.
Toute personne ou institution impliquée dans une procédure arbitrale peut devenir la cible de cyberattaques. Prendre conscience des menaces et apprendre à réagir une fois confrontés à celles-ci est crucial non seulement pour éviter les problèmes liés à la cybersécurité mais aussi pour créer une communauté d’arbitrage plus robuste. La formation est une bonne première étape pour aider les praticiens à mieux connaître la cybersécurité, à construire des défenses contre les attaques et éventuellement à éviter les chagrins en cours de route.
Les lecteurs souhaitant en savoir plus sur les programmes d’apprentissage en ligne de CyberArb peuvent contacter CyberArb ici.
Vous trouverez d’autres articles sur notre série Arbitration Tech Toolbox ici.
Le contenu de cet article est destiné à l’information éducative et générale. Il n’est pas destiné à des fins promotionnelles. (notre blog d’information) Blog, le comité de rédaction et les auteurs de cet article ne font aucune représentation ou garantie d’aucune sorte, expresse ou implicite, concernant l’exactitude ou l’exhaustivité des informations contenues dans cet article.
