A l’occasion d’un discours prononcé le mois dernier à l’université de Lisbonne, le secrétaire général des Nations unies, Antonio Guterres, a appelé à une action mondiale pour minimiser les risques que pourraient encourir les civils lors d’une cyberguerre, déplorant « qu’il n’existe pas de cadre juridique international pour ce type de guerre et que la manière dont pourrait s’appliquer la Convention de Genève ou le droit humanitaire international dans un tel cas n’est pas claire ».
Il y a une décennie, la question de la cybersécurité ne retenait guère l’attention de la communauté internationale, mais depuis 2013, les États-Unis estiment que les cyber-attaques constituent la principale menace pour leur sécurité. Si leur nombre exact est sujet à caution, le site du groupe de réflexion américain Council on Foreign Relations, qui suit les cyber-opérations dans le monde, a recensé près de 200 cyber-attaques soutenues ou menées par 18 pays depuis 2005, dont 20 en 2016.
Le terme de cybersécurité couvre un large éventail de problèmes qui ne préoccupaient pas vraiment la petite communauté de chercheurs et de programmeurs qui ont développé l’internet dans les années 1970 et 1980. En 1996, 36 millions de personnes seulement, ou 1 pour cent environ de la population mondiale, utilisait l’internet. Début 2017, 3,7 milliards de personnes, ou près de la moitié de la population mondiale, étaient connectées.
Avec la montée en flèche du nombre d’utilisateurs, l’internet est devenu un substrat vital des interactions économiques, politiques et sociales. Mais l’essor de l’interdépendance et des opportunités économiques a eu pour corollaire une nouvelle vulnérabilité et insécurité. Le boom des mégadonnées, de l’apprentissage automatique et de l’internet des objets a incité certains experts à estimer que le nombre d’objets connectés pourrait atteindre près de mille milliards d’ici 2035. Le nombre de cibles d’attaques potentielles, par des acteurs privés ou étatiques, connaîtra la même croissance exponentielle et tous les domaines de notre environnement pourraient être concernés, que ce soit les systèmes de contrôle industriels, les stimulateurs cardiaques ou les voitures autonomes.
De nombreux observateurs ont appelé à l’adoption de lois et de normes pour sécuriser ce nouvel environnement. L’élaboration de telles normes pour l’espace numérique implique toutefois de surmonter de nombreux obstacles de taille. Même si la « loi » de Moore, qui veut que la puissance des ordinateurs double tous les deux ans, signifie que le « cyber-temps » passe rapidement alors que les habitudes humaines, les normes et les États évoluent bien plus lentement.
Pour commencer, étant donné qu’Internet est un réseau transnational de réseaux, essentiellement privés, les acteurs non étatiques jouent un rôle de premier plan. Les outils informatiques sont à double usage, rapides, bon marché et souvent réfutables, la vérification et l’attribution des données sont difficiles à établir et les barrières à l’entrée sont faibles.
De plus, si Internet est de nature transnationale, les infrastructures (et les personnes) sur lesquelles il repose sont soumises aux diverses juridictions d’États souverains. Et les principales nations ont des objectifs divergents, avec par exemple la Chine et la Russie qui tiennent à exercer un contrôle souverain, alors que plusieurs démocraties sont favorables à un Internet plus ouvert.
Il n’en reste pas moins que la description du « www » comme étant le « wild west web » est une caricature. Certaines normes encadrent le cyberespace. Il a fallu près de deux décennies aux États pour conclure les premiers accords de coopération pour limiter les risques de conflits à l’ère nucléaire. Si l’on date l’émergence du problème de la cybersécurité internationale non à l’origine de l’internet dans les années 1970, mais à son essor à la fin des années 1990, la coopération intergouvernementale sur la limitation des cyberguerres est proche du jalon de deux décennies.
En 1998, la Russie a été le premier pays à soumettre un projet de résolution aux Nations unies sur « les progrès de la téléinformatique dans le contexte de la sécurité internationale » demandant aux États membres d’examiner les enjeux de la cybersécurité et les risques posés par les armes électroniques (y compris à des fins de propagande). Avec la Chine et les autres pays membres de l’Organisation de coopération de Shanghai, la Russie a continué à demander l’adoption d’un traité détaillé dans le cadre de l’ONU. Les États-Unis continuent à penser qu’un tel traité est invérifiable dans la pratique.
Le secrétaire général de l’ONU a par la suite nommé un Groupe d’experts gouvernementaux (UNGGE) « chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale ». Il s’est réuni pour la première fois en 2004 et en juillet 2015 a proposé une série de normes adoptées ensuite par le G20. Si les groupes d’experts gouvernementaux contribuent grandement au fonctionnement des Nations unies, il est rare que leurs travaux soient reconnus lors d’un sommet des 20 plus puissantes nations mondiales. Si les avancées des différents groupes d’experts gouvernementaux chargés de cette question ont été remarquables, le dernier cycle de négociations en juin 2017 du GGE a été un échec, les États n’étant pas parvenus à un consensus sur la question du droit international relatif à l’espace numérique.
Quelles seront les prochaines étapes ? Les normes peuvent être élaborées par un large éventail d’acteurs politiques. Ainsi, la nouvelle organisation non gouvernementale Global Commission on Stability in Cyberspace (Commission mondiale sur la stabilité du cyberespace), présidée par l’ancienne ministre des Affaires étrangères d’Estonie Marina Kaljurand, a lancé un appel à protéger le caractère bien public essentiel de l’internet (défini comme le routage, les noms de domaines, les certificats numériques et les infrastructures essentielles).
De son côté, le gouvernement chinois, se basant sur les sommets de Wuzhen sur l’internet, a émis des principes approuvés par l’Organisation de coopération de Shanghai appelant à reconnaître le droit des États souverains à contrôler les contenus en ligne dans l’ensemble de leur territoire. Ces principes ne vont pas forcément à l’encontre de l’appel à protéger la dimension bien public essentiel de l’internet, qui a davantage trait à la connectivité qu’au contenu.
On peut également citer Microsoft avec son projet de Convention de Genève du numérique. L’élaboration de normes concernant la protection des données personnelles, la sécurité du chiffrement des données, les portes dérobées, et la suppression de contenus pédopornographiques, haineux, faux et de nature terroriste est tout aussi importante.
Maintenant que les gouvernements se demandent quelle suite donner au développement d’un cadre juridique du cyberespace, la réponse pourrait être de ne pas attribuer cette tâche à un seul organisme, comme les UNGGE. Les progrès pourraient nécessiter l’implication simultanée de multiples enceintes. Dans certains cas, le développement de principes et pratiques entre États partageant la même vision pourrait conduire à l’élaboration de normes qui pourraient être ultérieurement adoptées par d’autres pays. La Chine et les États-Unis ont par exemple conclu un accord bilatéral sur la cybersécurité, interdisant le cyber-espionnage à des fins commerciales. Dans d’autres cas, notamment au sujet des normes de sécurité pour l’Internet des objets, le secteur privé, les compagnies d’assurance et les entités sans but lucratif pourraient prendre l’initiative du développement de codes de conduite.
Ce qui est certain est que l’élaboration de normes en matière de cybersécurité sera un processus de longue haleine. Les progrès dans certains domaines ne doivent pas nécessairement être conditionnés à des progrès dans d’autres.
Avec weforum