Close

Avancées et échecs des initiatives de régulation des comportements dans le cyberespace

L’entreprise de régulation du cyberespace se heurte à plusieurs obstacles indissociables de la nature du cyberespace :

  • Le cyberespace est un espace virtuel, sous-tendu par des matériels (serveurs, routeurs, câbles etc.) qui, seuls, peuvent être physiquement rattachés à un territoire ;
  • L’anonymat peut y entraver la responsabilisation (au sens juridique) des personnes ;
  • L’impossibilité d’attribuer avec certitude une cyberattaque rend inopérant le droit de la légitime défense.

Le cyberespace est d’ores et déjà un lieu de projection des tensions diplomatiques et géopolitiques internationales. Par exemple, entre 2008 et 2013, le malware Red October, considéré comme l’œuvre d’attaquants russes, a subtilisé à des fins d’espionnage les données d’organisations gouvernementales et diplomatiques, de centres de recherche en Europe, en Asie centrale et aux Etats-Unis[1].

L’encadrement des comportements dans le cyberespace est de facto un impératif pour la stabilité de cet espace. D’ailleurs, de nombreuses initiatives dans ce sens ont été amorcées tant par les Etats que par les acteurs privés. Mais leur convergence n’est que partielle, les positionnements géopolitiques et stratégiques des différents acteurs impliqués dans le cyberespace pouvant s’opposer : tandis que les acteurs publics voudraient préserver leur marge de manœuvre, les acteurs privés aspirent quant à eux à un encadrement normatif contraignant quant aux comportements des Etats.

1.   La régulation internationale des comportements dans le cyberespace : de la négociation entre Etats à l’intégration des acteurs privés

1.1.         L’émergence d’un clivage Etats-Unis/Europe et Russie/Chine

Depuis le début des années 2000, la plupart des initiatives étatiques défendent le principe de l’applicabilité du droit international existant au cyberespace. La plus visible d’entre elles est celle portée par le Groupe d’experts gouvernementaux (GGE) de l’Organisation des Nations unies (ONU), qui s’est réuni à 5 reprises depuis 2004. Le rapport adopté en 2013 a notamment reconnu le principe de l’applicabilité du droit international et de la Charte des Nations unies dans le cyberespace. Le rapport de 2015 a ensuite circonscrit un socle de critères de bonne conduite dans le cyberespace qui engage les États participants à :

  • Coopérer avec les États victimes d’attaques ;
  • Lutter contre la prolifération d’outils informatiques malveillants ;
  • Ne pas endommager les infrastructures critiques d’un autre Etat[2];
  • Partager les informations en passant par les infrastructures CERT des pays participants.

De même, les mesures de confiance adoptées par l’Organisation pour la sécurité et la coopération en Europe (OSCE) en 2013 et 2016 s’inscrivent dans la continuité du droit international, et prônent entre autres[3] :

  • La coopération entre les structures nationales chargées de la sécurité des technologies de l’information et de la communication ;
  • L’échange des mesures adoptées pour assurer l’ouverture, l’interopérabilité, la sécurité et la fiabilité d’internet ;
  • Le partage d’informations sur les vulnérabilités et les menaces grâce aux canaux des CERT nationaux[4].

Pour ces différentes initiatives, la coopération et le partage d’informations inter-institutionnels sont donc considérés comme le pivot de l’encadrement du cyberespace.

Avec le Manuel de Tallinn tome 1, le Groupe d’experts du Centre d’excellence de cyberdéfense coopérative de l’OTAN (CCD-COE) transpose le droit international des conflits armés au cyberespace, tandis que le tome 2 se penche sur le droit applicable aux opérations menées en temps de paix.

Dans le même temps, certaines initiatives plus minoritaires proposent d’instituer un nouveau cadre normatif spécifique au cyberespace s’appliquant en parallèle du droit international existant :

  • A l’exception de la Charte des Nations Unies, l’Organisation de coopération de Shanghai (OCS) s’oppose à l’application du droit international existant dans le cyberespace. De plus, contrairement aux travaux évoqués portant sur les attaques logiques, l’OCS qui réunissait alors la Chine, le Kazakhstan, le Kirghizstan, la Russie, le Tadjikistan et l’Ouzbékistan, a soumis en janvier 2015 à l’Assemblée générale des Nations Unies un « Code de conduite international pour la sécurité de l’information » ciblant la couche informationnelle[5]. Les pays de l’OCS entendaient avant tout désamorcer l’utilisation des technologies numériques pour la diffusion d’informations pouvant « miner la stabilité politique, économique et sociale» des Etats signataires, autrement dit, des informations « dissidentes »[6].

1.2.         L’intégration des acteurs privés dans les processus d’élaboration d’un cadre normatif

Les États ont conscience de devoir s’appuyer sur les acteurs privés précisément parce que ces derniers sont chargés de l’essentiel de l’exploitation et de la maintenance des réseaux numériques, de même que les sociétés de cybersécurité et les éditeurs de logiciels qui sont en possession des codes sources sont les mieux placés pour connaître les méthodes, les capacités et les techniques des attaquants[7].

L’OSCE et le GGE ont d’ailleurs construit leurs réflexions avec le concours d’acteurs privés issus de l’industrie de la cybersécurité. La Global Commission on the Stability of Cyberspace (GCSC), structure de recherche financée à la fois par des acteurs privés et publics, illustre également ce désir de faire converger les différents acteurs vers la création de normes applicables dans le cyberespace[8]. En novembre 2018, la GCSC a ainsi publié son « pack de normes » (norm package) élaboré par des États et des acteurs privés dont Microsoft et JPMorgan entre autres, qui propose six normes techniques et opérationnelles en faveur d’un usage pacifique du cyberespace[9].

Jusqu’à aujourd’hui, aucun des textes produits par ces initiatives diplomatiques n’est entré dans le corpus du droit international.

2.   La régulation du cyberespace ou le renversement des positions publique et privée

A.    Des Etats opposés à une restriction de leur marge de manœuvre

Malgré la multiplication d’initiatives diplomatiques, les avancées demeurent lentes et peu matures. En effet, jusqu’à maintenant, tout en adoptant une posture publique de soutien à la formalisation d’un canevas légal, les Etats ont rechigné à dépasser la phase théorique. L’absence de consensus sur la manière dont le droit international doit être appliqué au cyberespace (§34 de la résolution) lors du cycle de négociations de juin 2017 du GGE est particulièrement significative. Les États semblent avoir résisté à l’idée d’un système de contrôle formel des comportements qui réduirait leurs possibilités d’actions dans le cyberespace. D’ailleurs, le « Pack de normes » de la GCSC de novembre 2018 ne condamne pas les cyber-opérations offensives d’origine étatique : il se contente de proscrire les « cyber-opérations offensives menées par des acteurs non-étatiques »[10]. Les technologies de cyberdéfense évoluant rapidement et les politiques de certains acteurs étant imprévisibles, les gouvernements préfèrent éviter d’être juridiquement liés. Ils privilégieraient donc la mise en place de simples « mesures de confiance » (confidence building measures) à l’instauration d’un régime de contrôle des armements qui les désavantagerait stratégiquement en cas de conflit dans le cyberespace[11].

B.     Des initiatives privées favorables à une régulation contraignant les comportements dans le cyberespace

En matière de cybersécurité, les acteurs privés, d’ordinaire partisans d’une dérégulation, ont pris position en faveur d’un régime de sanctions dans le cyberespace. Ils réclament ainsi une plus grande transparence de la part des Etats en termes de divulgation de vulnérabilités et un cadre légal assumé et appliqué.

Depuis 2014, Microsoft multiplie ainsi les interventions et les publications plaidant pour des normes internationales de sécurisation du cyberespace et une définition des comportements responsables[12]. Le géant du numérique propose également des mesures de mise en œuvre des normes proposées, par exemple à travers la création d’une agence chargée de leur application sur le modèle de l’Agence internationale de l’énergie atomique, en mesure de mener des missions d’examen et d’audit[13]. En février 2017, le Président et directeur des affaires juridiques de Microsoft, Brad Smith, a même appelé à la signature d’une « Convention de Genève du numérique » qui introduirait notamment une norme obligeant les Etats à divulguer aux éditeurs logiciels les failles de sécurité dont ils auraient connaissance[14]. Autrement dit, Microsoft invite les acteurs publics à formaliser le rôle des acteurs privés aux côtés des acteurs publics en matière de cybersécurité et de cyberdéfense, aux échelles nationale et mondiale.

Siemens a, pour sa part, proposé une « Charte de confiance en cybersécurité » (Charter of Trust on Cybersecurity) annoncée à la Conférence de sécurité de Munich en février 2018 et publiée en juillet de la même année[15]. La Charte rassemble des propositions opérationnelles et les feuilles de route associées sur les volets suivants :

  • La sécurisation de la chaîne de production de toutes les industries ;
  • L’intégration d’un enseignement sur les rudiments de la cybersécurité dans les cursus scolaires ;
  • La certification des infrastructures critiques et des solutions de cybersécurité ;
  • Une hygiène de sécurité minimale imposée aux Etats et aux entreprises ;
  • L’établissement d’un cadre juridique commun à travers une coopération multilatérale, notamment au sein de l’Organisation mondiale du Commerce (OMC) et l’introduction by design de règles de cybersécurité dans les accords de libre-échange.

Ainsi, en matière d’encadrement des comportements dans le cyberespace, la demande de normes contraignantes émane donc principalement du secteur privé, cible privilégiée des cyberattaques.

C.     Les Etats face à leurs contradictions

La publication par de grands acteurs privés, tels que Siemens ou Microsoft, de propositions de politiques et de cadres juridiques, peut apparaître sinon comme un empiètement sur les prérogatives des Etats, du moins comme une tentative d’influence sur les politiques publiques.

Quelle qu’en soit la perception, les initiatives privées confrontent les Etats à leurs propres contradictions : peu d’Etats disposent des moyens techniques et financiers pour mener à bien, seuls, l’encadrement des comportements dans le cyberespace. De fait, les efforts pour « souverainiser » – et finalement contrôler – cet espace ne peuvent aboutir sans le concours des acteurs privés du secteur des technologies de l’information et de la cybersécurité. La participation du secteur privé ne peut cependant pas exister sans définition, au préalable, des règles de leur collaboration avec les Etats et/ou les organisations internationales.

Perspectives

Depuis l’Appel de Paris du 12 novembre 2018, plusieurs cycles de négociations ont repris. Les prochaines échéances et notamment la réunion du GGE en juin 2019, le Forum de Paris sur la Paix ou le Forum sur la gouvernance de l’Internet à Berlin en novembre 2019 pourraient devenir des étapes notables vers l’adoption d’un régime de régulation[16]. Des structures internationales, telles que l’OCDE qui collabore avec plus de soixante pays et le G20 qui se réunit également en juin 2019 au Japon, pourraient être mandatées pour suivre les avancées normatives et leurs applications[17].

Pour éviter les conflits entre intérêts publics et privés, les Etats devront définir les modalités (enceinte, processus…) de participation des entreprises. Un objectif ambitieux puisqu’il revient à trouver une issue au clivage originel entre des Etats qui cherchent à transposer la souveraineté territoriale dans le cyberespace, et des acteurs privés soucieux d’assurer la continuité et le développement de leurs activités. Le point de départ pourrait être la reconnaissance d’un principe commun, celui de l’approfondissement du partage d’informations et du partage de bonnes pratiques pour une meilleure maîtrise des comportements dans le cyberespace.

[1] https://www.kaspersky.com/about/press-releases/2013_kaspersky-lab-identifies-operation–red-october–an-advanced-cyber-espionage-campaign-targeting-diplomatic-and-government-institutions-worldwide

[2] http://csef.ru/media/articles/3990/3990.pdf et https://assets.cambridge.org/97811071/77222/frontmatter/9781107177222_frontmatter.pdf

[3] https://www.osce.org/pc/227281?download=true

[4] https://sd-magazine.com/securite-numerique-cybersecurite/la-diplomatie-du-numerique

[5] L’Inde et le Pakistan ont rejoint l’Organisation de Coopération de Shanghai en 2017.

[6] https://undocs.org/A/69/723

[7] J. NOCETTI, « Géopolitique de la cyber-conflictualité », Politique étrangère, 2 :2018, pp. 15-27

[8] https://cyberstability.org/about/

[9] https://cyberstability.org/wp-content/uploads/2018/11/GCSC-Singapore-Norm-Package-3MB.pdf ;

[10] https://cyberstability.org/news/global-commission-introduces-six-critical-norms-towards-cyber-stability/

[11] Erica D. BORGHARD & Shawn W. LONERGAN, “Confidence Building Measures for the Cyber Domain”, Strategic Studies Quarterly, Vol. 12, No. 3 (Fall 2018), pp. 10-49

[12] https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/REVroA ; https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/REY05a

[13] https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/REY05a et https://news.microsoft.com/cloudforgood/_media/downloads/en/international-cybersecurity-norms-en.pdf

[14] https://www.reuters.com/article/us-microsoft-cyber-idUSKBN15T26V

[15] Charter of Trust (Siemens)

[16] https://parispeaceforum.org/fr/; https://fr.unesco.org/events/forum-gouvernance-linternet-2019; A/C.1/73/L.27/Rev.1 et Appel de Paris ; https://dig.watch/processes/ungge

[17] https://dig.watch/events/g20-ministerial-meeting-trade-and-digital-economy