Cyberespace : Vers une Convention de Genève du numérique
CONFIANCE NUMÉRIQUE

Cyberespace : Vers une Convention de Genève du numérique

Bernard Ourghanlian
Bernard Ourghanlian

CTO et CSO de Microsoft France

Promouvoir une Convention de Genève du numérique pour protéger le cyberespace en temps de paix

Les Etats continuent d’investir lourdement afin de se doter de meilleures capacités offensives dans le cyberespace et les attaques des États-nations contre la population civile et les entreprises sont en constante progression. Il suffit de regarder ce qui s’est passé avec les récentes attaques telles que WannaCry et Petya/NotPetya (dont il semble clair pour cette dernière que la principale motivation n’était pas le gain financier mais plutôt la volonté de tester le potentiel d’une destruction massive) pour s’en convaincre. Cette situation est insoutenable. Cela nuit à la confiance dans l’environnement numérique en ligne, qui est essentielle pour que les consommateurs et les entreprises puissent continuer à travailler, faire leurs achats, apprendre et interagir en ligne. Et la nature même du cyberespace signifie qu’une seule cyberattaque pourrait avoir des conséquences désastreuses, bien au-delà de sa cible initiale.

Autant de raisons pour lesquelles le monde a besoin de nouvelles règles internationales pour protéger les citoyens et les entreprises contre les menaces des États-nations dans le cyberespace. En bref, le monde a besoin d’une Convention de Genève du numérique. C’est ce qui a été réclamé par Microsoft pour la première fois lors de la conférence RSA Security par Brad Smith, le président de Microsoft en charge des affaires juridiques.

La proposition de Microsoft d’une convention de Genève du numérique se compose de trois initiatives qui se renforcent mutuellement mais sont indépendantes :

  • Signature d’un accord de cybersécurité représentant un engagement de toute l’industrie du numérique sur un ensemble de principes et de comportements de base visant à protéger les civils dans le cyberespace ;
  • Création d’une capacité et d’une organisation internationale indépendante d’attribution des cyberattaques, dont le travail aiderait à prévenir les attaques des États-nations dans le cyberespace ;
  • L’élaboration d’un accord juridiquement contraignant qui régirait le comportement des États dans le cyberespace, concernant les opérations offensives en temps de paix.

C’est ce troisième volet que nous allons évoquer ici.

Bien qu’aucun traité international ne soit jamais parfait, le monde a déjà pu bénéficier d’autres engagements internationaux du même type. Ainsi, le Traité sur la non-prolifération des armes nucléaires et la Convention sur les armes chimiques sont deux exemples de la communauté internationale qui a su se mobiliser pour gérer efficacement la prolifération d’armes susceptibles de causer des dommages catastrophiques à la population civile.

Une convention numérique de Genève créerait un cadre juridiquement contraignant pour régir le comportement des États dans le cyberespace. Bien qu’il y ait aujourd’hui une véritable urgence à agir sur ce sujet, il est possible de prendre des mesures progressives. Ainsi, il est envisageable de progresser vers un accord juridiquement contraignant par le biais d’efforts initiaux volontaires ou politiquement contraignants, comme ceux qui sont en cours au sein des Nations-Unies ou au sein du G20. En fin de compte, quelle que soit la voie choisie, parvenir à un cadre juridiquement contraignant établirait de nouvelles règles pour les Etats et aiderait à protéger le cyberespace en temps de paix et à prévenir les conflits.

S’appuyer sur les propositions existantes pour des comportements responsables des Etats dans le cyberespace

Le processus de création d’une Convention numérique de Genève implique de relever de formidables défis. Cela nécessitera une volonté politique et un engagement fort de la part des dirigeants du monde entier. Cependant, certaines fondations importantes ont déjà été mises en place et offrent un point de départ pour créer un cadre juridique international efficace.

Modern Workplace : Gros plan sur la cybersécurité

Deux experts en cybersécurité vous donnent leurs astuces pour protéger vos données d’une cyberattaque en lien avec votre activité.

Regarder la websérie

Le groupe d’experts des gouvernements des Nations Unies a proposé un nouvel ensemble de règles et de principes pour un comportement responsable des États-nations dans le cyberespace en 2015. Adhérer à ces comportements ou « normes » repose sur une approche volontaire, mais avec le temps, certains experts pensent que ceux-ci pourraient devenir partie intégrante du droit international coutumier. En février 2017, la Commission mondiale pour la stabilité du cyberespace a été lancée par le gouvernement néerlandais, le Centre d’études stratégiques de La Haye et l’Institut Est-Ouest pour « élaborer des propositions de normes et de politiques visant à renforcer la sécurité et la stabilité internationales ». En outre, un ensemble d’autres groupes d’experts et d’organisations de la société civile ont apporté une série d’idées et de propositions bien pensées sur ce sujet. Ainsi, les 6 et 7 avril 2017, la conférence internationale « Construire la paix et la sécurité internationales de la société numérique », organisée par l’ANSSI à la demande de Louis Gautier, Secrétaire général de la défense et de la sécurité nationale, a eu lieu à la maison de l’UNESCO, à Paris, afin de traiter notamment de ce sujet.

Cependant, il reste encore beaucoup à faire pour améliorer la transparence et la responsabilité des comportements des États dans le cyberespace. Une feuille de route pragmatique et flexible vers cette vision doit être identifiée ; celle-ci devrait, à notre sens, devenir une priorité urgente pour les principaux cyber-pouvoirs du monde entier.

Le contenu d’une Convention de Genève du numérique en temps de paix

Les Etats et les gouvernements ont établi et suivi des règles internationales dans d’autres domaines militaires et géopolitiques comme celui de la non-prolifération. Le cyberespace ne devrait pas être différent. Les clauses principales au cœur de cette Convention de Genève du Numérique devraient engager les Etats à :

  • S’abstenir d’attaquer des systèmes dont la destruction nuirait à la sûreté et à la sécurité des citoyens (c’est-à-dire des infrastructures critiques, telles que les hôpitaux, les compagnies d’électricité, …) ;
  • S’abstenir d’attaquer des systèmes dont la destruction pourrait nuire à l’économie mondiale (intégrité des transactions financières), ou provoquer d’autres perturbations majeures à l’échelle mondiale (par exemple, l’attaque des services basés sur le Cloud Computing) ;
  • S’abstenir de pirater des comptes personnels ou des données privées détenues par des journalistes et des particuliers impliqués dans les processus électoraux ;
  • S’abstenir d’utiliser les technologies de l’information et de la communication pour voler de la propriété intellectuelle des entreprises privées, et notamment des secrets commerciaux ou d’autres informations commerciales confidentielles, afin de procurer un avantage concurrentiel à d’autres entreprises ou secteurs commerciaux ;
  • S’abstenir d’insérer ou d’exiger des « backdoors » dans les produits numériques commerciaux du marché de masse ;
  • Convenir d’une politique claire pour acquérir, conserver, sécuriser, utiliser et signaler les vulnérabilités – cela doit être reflété par une obligation forte de les signaler aux fournisseurs – dans les produits et services du marché de masse ;
  • Faire preuve de retenue dans le développement de cyber-armes et veiller à ce que celles qui sont développées soient limitées, dans un but précis, et non réutilisables. Les États devraient également veiller à maintenir un contrôle strict de leurs cyber-armes dans un environnement sécurisé (la vulnérabilité à l’origine de WannaCry a été dérobée à la NSA).
  • Accepter de limiter la prolifération des cyber-armes. Les gouvernements ne devraient pas distribuer ou permettre aux autres de distribuer des armes cybernétiques et devraient utiliser des renseignements, l’application de la loi et des sanctions financières comme autant d’outils dissuasifs contre ceux qui le font ;
  • Limiter leur engagement dans des opérations cyber-offensives afin d’éviter de causer des dégâts de masse aux infrastructures ou installations civiles ;
  • Aider les efforts du secteur privé pour détecter, contenir, réagir et récupérer en cas de cyberattaques. En particulier, activer les capacités de base ou les mécanismes nécessaires pour la réponse et la récupération, y compris la mobilisation des équipes d’intervention d’urgence informatique (CERT).

La nécessité impérieuse de lancer un dialogue

Une cybersécurité efficace est essentielle à la paix internationale et à la stabilité économique. Une Convention de Genève du numérique peut jouer un rôle central dans la protection des citoyens du monde entier contre les cyberattaques des États en temps de paix. En s’appuyant sur le travail accompli à ce jour, les gouvernements, les acteurs du secteur de la technologie, les ONG et la société civile peuvent résolument ouvrir la voie à un accord juridiquement contraignant afin d’assurer un cyberespace stable et sécurisé. Tous ceux qui ont intérêt à faire avancer ce processus devraient s’engager à travailler activement sur ce sujet en tissant des liens avec des partenaires du secteur public et du secteur privé à travers le monde. Pour faire cesser cette situation où les Etats se font la guerre en temps de paix.

Episode Modern Workplace : la confidentialité des données

Un équilibre subtil entre la sécurité et l’éthique

Regarder l’épisode