Close

L’échec du Group of Governmental Experts (GGE) sur la cybersécurité : Conséquences et perspectives

Introduction

Transcendant les frontières internationales traditionnelles, le cyberespace est l’un des nouveaux défis du droit international. Depuis le début des années 2000, l’essor des cyberattaques de masse et des campagnes de désinformation, nouvelles armes de guerre sur le champ de bataille du numérique, pousse les États à vouloir réglementer l’usage du cyberespace.

En 2004, le premier Groupe d’Experts Gouvernementaux (GGE) de l’ONU sur la cybersécurité est mis en place à l’initiative de la Russie. Quinze États y participent.[i] Quatre sessions successives se tiennent par la suite, dont deux donnent lieu à des rapports finaux en 2013 et 2015. Si le rapport de 2013 se contente de rappeler l’importance cruciale d’une coopération internationale dans le domaine de la cybersécurité[ii] , le rapport de 2015 liste quant à lui des principes précis quant à l’attitude que doivent adopter les États dans le cyberespace, tels que :

  • L’interdiction d’attaquer les infrastructures critiques d’un État tiers en temps de paix ;
  • L’interdiction d’attaquer les structures de réponse aux incidents (CERT, CSIRTS, etc.) d’un État tiers ;
  • L’obligation de porter assistance à un État attaqué par un groupe situé dans un autre État si celui-ci en fait la demande.[iii]

Le dernier GGE en date qui s’est tenu en juin 2017 n’a en revanche pas eu de résultat concret. Les 25 États participants ne sont en effet pas parvenus à trouver un accord sur le paragraphe 34 qui porte sur la manière dont le droit international devrait s’appliquer au cyberespace.

Les raisons de l’échec et ses conséquences

Trois questions ont fait figure de points d’achoppement entre les Etats :

  • Un État peut-il mettre en place des contre-mesures en cas de cyber-agression ?
  • Comment le droit humanitaire international doit-il s’appliquer au cyberespace ?
  • Une cyberattaque rempli-t-elle les critères d’une attaque armée, permettant d’enclencher la légitime défense ?

Les divergences quant aux réponses à apporter à ces questions font s’opposer deux visions qui reflètent des différences profondes dans la lecture du système et du droit international : une interprétation occidentale qui se focalise avant tout sur la promotion et l’extension des normes internationales existantes à toutes les sphères et tous les domaines d’opération possibles, y compris le cyberespace ; et une interprétation Sino-Russe qui conçoit les structures internationales existantes comme des mécanismes permettant de maintenir la paix et la sécurité internationale mais refuse d’étendre leurs compétences au cyberespace.[iv]

Par exemple pour la Russie, la Chine et Cuba, l’article 51 de la Charte des Nations Unis octroyant aux Etats un droit naturel à la légitime défense ne devrait pas pouvoir s’appliquer au cyberespace où la notion d’agression armée reste plus floue[v]. La Chine, [vi]  la Russie et Cuba considèrent ainsi que la possibilité d’avoir recours aux principes d’auto-défense et de contre-mesures dans le cyberespace reviendrait à légitimer les conflits cybernétiques. [vii] De fait, leurs arsenaux militaro-politique respectifs font tous état d’un un haut niveau de sophistication technique et intègrent déjà des dispositifs leur permettant d‘agir dans le cyberespace : groupes de hackers éventuellement sponsorisés, campagnes de désinformation, cyberattaques soutenant leurs agendas politiques,… L’application du droit international au cyberespace permettrait donc à leurs adversaires de prendre des contre-mesures juridiques et cyber-militaires contraires à leurs intérêts.

Le principe de souveraineté a également cristallisé les tensions.[viii] Pour la Russie comme pour la Chine, la souveraineté est un concept absolu qui ne peut souffrir de remise en cause. Chaque pays devrait donc avoir le droit de gérer son propre cyberespace conformément à sa législation intérieure. Par ailleurs, les différences de capacités cybernétiques entre les États[ix] rendent difficile l’établissement de régulations internationales qui s’appliqueraient de la même manière à tous. Les pays aux arsenaux cyber les moins avancés craignent notamment de se voir appliqués les principes d’auto-défense et de contre-mesure alors même qu’ils cherchent à tester leurs nouvelles capacités.

Si cette tension entre deux visions du système international et du cyberespace, explique en grande partie l’échec du dernier GGE, ce dernier n’a pas eu que des conséquences négatives. Il a par exemple amené de nouveaux acteurs à s’impliquer davantage dans la régulation du cyberespace.

Perspectives d’évolution suite à l’échec du GGE

Cet « échec » a posé les problématiques du format et de la faisabilité d’un groupe de travail sur ces questions. Le secteur public comme le secteur privé ont soumis plusieurs suggestions quant à de possibles alternatives au GGE.

Les initiatives étatiques 

Plusieurs Etats ont fait des suggestions sur l’avenir des GGE[x]. Les délégations cubaines, russes et chinoises ont proposé la création d’un « working group of the General Assembly » ouvert à tous les Etats volontaires (et non plus seulement à 25 commissaires), pour assurer une totale transparence sur les sujets abordés et une participation égale de chacun aux discussions et prises de décisions. Cela pourrait être envisageable, mais en pratique l’obtention d’un consensus sera d’autant plus difficile dès qu’il s’agira de traiter de sujets sensibles en matière de défense ou de sécurité nationale, où chaque état souhaite rester souverain.

Deux conceptions émergent : d’un côté celle de la Russie et du Brésil qui privilégient une coopération régionale, et de l’autre celle qui promeut une coopération bilatérale soutenue par l’Inde et la Suisse.

  • Russie

La Russie a proposé l’adoption d’un traité global sur la cybercriminalité pour remplacer la convention de Budapest, dont elle conteste l’article 32 qui permet à un État étranger d’accéder ou de recevoir des données stockées sur le territoire d’autres États s’il obtient le consentement du propriétaire de ces données. L’adoption du nouveau traité n’autoriserait plus ce type de pratiques.

  • Brésil

Le Brésil a évoqué un nouveau cadre juridique qui interdirait en priorité l’usage offensif des capacités cyber, par exemple par l’introduction délibérée de vulnérabilités dans différents types de supports dans l’objectif de compromettre la sécurité des informations d’autres États. Cette position privilégie une utilisation défensive des capacités cyber et appelle à la mise en place d’une réglementation contraignante pour lutter principalement contre la cybercriminalité par une coopération internationale renforcée.

  • Inde

Suite aux désaccords du GGE sur la cybersécurité, un comité a été formé au sein de l’India National Security Council Secretariat (NSCS) pour suggérer les orientations stratégiques et les politiques à mettre en œuvre pour le développement de nouvelles normes en matière de cybersécurité[xi]. En collaboration avec la Suisse, elle a aussi proposé la création d’un « Cyber Committee of the General Assembly » sur le modèle du « Committee on the Peaceful Uses of Outer Space » créé en 1959. Il était alors composé de 84 membres et de différents sous-comités spécialisés (juridique, scientifique, etc.).

La France penche également pour des accords bilatéraux, tout comme les États-Unis qui ont d’ailleurs adopté leur propre « Cyber Incident Severity Schema », un tableau classant les cyberattaques suivant leur degré de sévérité en fonction de leurs impacts humains ou matériels. La France se questionne également sur l’application d’un tel tableau, dans sa récente Revue Stratégique de Cyberdéfense[xii].

Constatant que les États n’arrivaient pas à trouver un accord et que leurs propositions mettaient en avant des intérêts essentiellement souverains au détriment de l’intérêt commun, des initiatives ont également émergé de la part du secteur privé.

Les initiatives privées

En février 2017, Brad Smith, Président de Microsoft Corporation, annonce la création d’une « Convention de Genève Digital » n’ayant pour le moment remporté qu’un succès mitigé auprès des États. Dans le but de rassembler alors le secteur privé, 40 entreprises leaders du numérique tels que Dell, Facebook, Oracle ou Trend Micro signent le Cybersecurity Tech Accord, proposé par Microsoft. Le principe retenu est celui du « Strong defense, No offense » : l’accord n’autorise que des opérations défensives. En cas de menaces, les entreprises s’engagent à répondre collectivement pour protéger les utilisateurs. Cependant, plusieurs géants du numérique manquent à l’appel comme Google, Apple ou Amazon. Cette absence montre bien que si cet accord est perçu comme plus protecteur pour les utilisateurs, il ne fait pas l’unanimité au sein des entreprises leaders du numérique, et suggère que les entreprises signataires souhaitent avant tout protéger leurs consommateurs et donc leurs intérêts économiques.

A l’initiative de deux think tank hollandais et américain est créée la « Global Commission on the stability of cyberspace »[xiii]. Cette commission est composée de 26 commissaires de professions diverses (universitaires, ONG, entreprises) et a pour objectif de promouvoir une compréhension commune des enjeux du cyberespace permettant de renforcer la stabilité et la sécurité. Elle vise à encadrer aussi bien les actions étatiques que celles issues d’acteurs non-étatiques

Il reste difficile à déterminer aujourd’hui si ces initiatives seront globalement acceptées et poursuivies. Cependant, « l’échec » du GGE a permis de démontrer :

  • Qu’il subsiste toujours des différences de lecture entre Etats sur la manière d’appliquer le droit international au cyberespace ;
  • Qu’il existe une réelle prise de conscience globale sur la nécessité d’enclencher des mécanismes juridiques propres au cyberespace.

[i] Nommément : la Russie, les États-Unis, le Mexique, le Brésil, l’Afrique du Sud, le Mali, la France, le Royaume-Uni, l’Allemagne, le Jordanie, la Biélorussie, l’Inde, la Chine, la Corée du Sud et la Malaisie.

[ii] https://ccdcoe.org/sites/default/files/documents/UN-130624-GGEReport2013_0.pdf

[iii] https://ccdcoe.org/2015-un-gge-report-major-players-recommending-norms-behaviour-highlighting-aspects-international-l-0.html

[iv] http://cpi.ee/wp-content/uploads/2017/12/2017-Tikk-Kerttunen-Demise-of-the-UN-GGE-2017-12-17-ET.pdf

[v] Selon le manuel de Tallinn, une cyber-attaque est une opération informatique, offensive ou défensive, susceptible de causer des blessures ou la mort d’une personne, ou des dommages voire la destruction d’objets et d’infrastructures https://ccdcoe.org/tallinn-manual-20-international-law-applicable-cyber-operations-be-launched.html

[vi] https://chinacopyrightandmedia.wordpress.com/2016/12/27/national-cyberspace-security-strategy/

[vii] https://www.justsecurity.org/wp-content/uploads/2017/06/Cuban-Expert-Declaration.pdf

[viii] http://cpi.ee/wp-content/uploads/2017/12/2017-Tikk-Kerttunen-Demise-of-the-UN-GGE-2017-12-17-ET.pdf

[ix] https://thewire.in/tech/un-cyber-norms-india-asoke-mukerji-nsc

[x] https://carnegieendowment.org/2018/03/02/outlook-on-international-cyber-norms-three-avenues-for-future-progress-pub-75704

[xi] https://thewire.in/tech/un-cyber-norms-india-asoke-mukerji-nsc

[xii] http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf

[xiii] https://cyberstability.org/