Avec son « Appel pour la confiance et la sécurité dans le cyberespace » présenté lundi 12 novembre à l’Unesco, Emmanuel Macron veut établir un code international de bonne conduite pour éviter la surenchère dans les cyberattaques. Quel impact peut avoir cette initiative ? Nicolas Arpagian, expert en cybersécurité, a répondu aux questions de RFI. RFI : On parle de cyberguerre. Qu’est-ce que c’est ? En quoi cela consiste ? Nicolas Arpagian : La cyberguerre, c’est l’usage offensif des technologies de l’information. C’est utiliser la puissance de calcul des ordinateurs pour mener des attaques informatiques contre des entreprises, des administrations, voire des équipements militaires. La deuxième composante de la cyberguerre, c’est la guerre d’information. C’est utiliser le numérique pour voler de l’information : soit pour mener des opérations de dénigrement, soit pour survendre une personnalité ou une cause politique. Ce phénomène est-il en augmentation ces dernières années ? L’usage offensif des technologies de l’information – donc potentiellement la cyberguerre – est en augmentation en raison de la numérisation grandissante de notre société et de nos organisations. Et c’est un nouveau point de fragilité pour toutes les institutions. Dès lors, tous les États investissent le champ de la cybersécurité pour se protéger, mais aussi pour conduire des attaques. Que propose « l’Appel de Paris pour la confiance et la sécurité dans le cyberespace » à ce sujet ? Les États essaient, notamment dans le cadre des Nations unies, de voir comment on pourrait adapter au cyberespace ce que l’on appelle le droit des conflits armés. Mais ils sont aussi réticents, car ils ne sont pas les seuls à la manœuvre dans cet univers. Il y a également un secteur privé : des entreprises, de grands acteurs du numérique aux États-Unis, mais aussi en Chine, en Russie. Des travaux ont été conduits dans le cadre de l’ONU, avec des sommets mondiaux sur la société d’information, mais ils n’ont pas abouti. Avec l’Appel de Paris, le gouvernement français veut mettre en avant la notion de paix, de confiance et de sécurité dans le cyberespace. La France pousse les acteurs du cyberespace à se mettre d’accord pour refuser de faciliter, encourager ou amplifier les attaques informatiques. Il s’agit de faire en sorte que les particuliers et les entreprises ne soient pas des cibles et que ce ne soit pas un moyen de déstabilisation de la collectivité nationale. Cela peut paraître un peu utopique. Mais l’objectif de Paris est que les États reprennent la main. Jusqu’à présent, les grands acteurs du numérique – Google, Amazon, Facebook – semblaient les seuls maîtres du jeu. Leurs conditions générales d’utilisation étaient quasiment le seul droit international du numérique. Cet « Appel de Paris » est une sorte de charte de bonne conduite. Mais pour qu’elle soit respectée, il faut des règles claires, des sanctions. C’est possible dans le cyberespace ? L’« Appel de Paris » ne prévoit pas de sanctions. C’est un appel à de bonnes pratiques, non offensives. Contrairement au monde physique, il est très difficile dans le monde numérique d’identifier l’origine d’une attaque, notamment parce qu’il existe des États qui font appel à des « mercenaires numériques » qui leur permettent de porter des coups sans avoir à en assumer les responsabilités. Engager un système de sanctions est donc difficile. Mais beaucoup de pays – en particulier ceux qui en ont les moyens – ont déjà intégré le cyberespace à leur doctrine militaire et espionnent, par ce biais, même leurs propres alliés. Ce texte n’est-il pas hypocrite ? Tous les pays, quelles que soient leur taille et leur puissance économique, cherchent soit à conserver leur avance, soit à rattraper leur retard par le biais du numérique. S’ils n’ont pas beaucoup de personnel militaire, ils pensent qu’ils peuvent conduire des opérations dans le cyberespace. Surtout, l’ensemble de leurs activités civiles, militaires, administratives sont désormais dépendantes de la continuité numérique. Une telle initiative peut-elle être efficace même si elle n’est pas signée par les États-Unis, la Chine ou la Russie ? Le défi pour cet « Appel de Paris », c’est en effet que les grands acteurs soient autour de la table. Avec une nouveauté, toutefois : jusqu’à présent, le droit international n’impliquait que des États. Ici, l’État français le propose à la signature à des entreprises, à des organisations civiles également. Compte tenu de la puissance de grands acteurs économiques et technologiques, les États ne peuvent pas être efficients tout seuls. Quel est l’intérêt pour les entreprises en général, et pour les géants du Net en particulier, que le cyberespace soit régulé ? Les entreprises préfèrent s’épanouir dans un univers politiquement paisible et stable. Leur souci principal doit être la course à la compétitivité, à la rentabilité, au déploiement de leurs produits et services. Et les cyberattaques coûtent beaucoup d’argent aux entreprises. Du côté des grands acteurs du numérique, on a vu que Microsoft, par exemple, a déjà engagé ses équipes pour travailler sur le principe d’une « paix numérique ». Le projet de Microsoft est de créer une organisation internationale qui aurait en charge notamment l’attribution des cyberattaques. Avec « l’Appel de Paris », les États essaient donc de reprendre la main et invitent les entreprises à venir à leur table. Sans règles concrètes ni sanctions, quel peut être l’effet de cet appel ? Ce texte est modeste parce qu’il ne fixe ni des règles contraignantes ni des responsabilités claires. Mais il est aussi ambitieux, car il montre qu’on a pris conscience que l’univers du numérique – qui touche l’économie, les questions de défense, les administrations et la vie des citoyens – ne peut pas échapper au champ du droit. C’est une réponse pragmatique. Ce n’est qu’une première pierre. Nous verrons ce que les États et les entreprises vont en faire et s’il résiste à la réalité lorsque des attaques seront constatées. Nous verrons alors si les signataires respecteront leurs engagements. BESSEY avec Rfi.fr ]]>
Commentaires