Skip to main content

Cookies and Privacy

We use cookies to improve your experience on our website. To find out more, read our updated Cookie policy, Privacy policy and Terms & Conditions

nye197_Patra KongsirimongkolchaiGettyImages_datalockcybersecurity Patra Kongsirimongkolchai/Getty Images

Huit normes de stabilité pour le cyberespace

CAMBRIDGE (MASS.) – En un peu plus d’une génération, Internet est devenu un substrat vital des interactions économiques, sociales et politiques, et a libéré, pour notre bien, d’énormes capacités. Néanmoins, le renforcement de l’interdépendance crée des vulnérabilités et ouvre la porte aux conflits. Les attaques, perpétrées par des acteurs étatiques ou non, ne cessent d’augmenter, menaçant la stabilité du cyberespace.

En novembre, au Forum de Paris sur la paix, la Commission mondiale sur la stabilité du cyberespace (Global Commission on the Stability of Cyberspace – GCSC) a publié son rapport sur la mise en place d’un cadre global. D’abord réunie à l’initiative du gouvernement néerlandais, voici trois ans, la GCSC (dont j’ai été membre), a été conçue pour regrouper des acteurs d’horizons divers, avec des coprésidences représentant l’Estonie, l’Inde et les États-Unis, comptant dans ses rangs d’anciens hauts fonctionnaires, des experts de la société civile et des universitaires venus de seize pays différents.

Les appels à créer du droit et à édicter des normes se multiplient depuis des années, à commencer par la proposition russe aux Nations Unies, remontant déjà à deux décennies, d’un traité contraignant, afin de contrôler cette nouvelle insécurité internationale créée par les technologies de l’information. Malheureusement, étant donné la nature des armes utilisées dans le cyberespace et l’évolution extrêmement rapide des technologies, l’application d’un tel traité ne pourrait être vérifiée et il deviendrait vite obsolète.

C’est pourquoi l’ONU a créé un groupe d’experts gouvernementaux (GGE), qui a proposé un ensemble de normes non contraignantes en 2013 et en 2015. Ce groupe n’est pas parvenu à publier un rapport en 2017, mais ses travaux se poursuivent, avec une participation étendue, et un groupe de travail « non limitatif », auquel 80 États ont contribué en septembre dernier, l’a rejoint aux Nations Unies. En outre, le secrétaire général de l’ONU, Antonio Guterres, a créé un groupe de haut niveau, lequel a remis un rapport en vue d’un débat élargi dans le cadre des Nations Unies en 2020.

La GCSC définit la stabilité du cyberespace comme une situation dans laquelle les personnes et les institutions peuvent avoir une confiance raisonnable dans leur capacité à utiliser de façon sûre et fiable les services en ligne, dont les évolutions sont gérées dans une certaine paix, et où les tensions peuvent être résolues sans escalade. La stabilité se fonde sur le droit international existant, lequel, comme l’affirment les rapports de 2013 et de 2015 du GGE, s’applique au cyberespace.

Mais il serait prématuré de fixer comme prochaine étape la signature d’un traité international avec force de contrainte. Des normes applicables aux comportements escomptés peuvent fournir un moyen terme flexible entre des traités rigides et le laisser faire. Comme l’a expliqué Michael Chertoff, l’un des coprésidents de la GCSC, qui fut secrétaire du gouvernement des États-Unis à la Sécurité intérieure, les normes peuvent exister parallèlement au droit, mais sont plus dynamiques, lorsqu’elles sont confrontées à une technologie dont l’évolution est très rapide.

Subscribe now
Bundle2020_web

Subscribe now

Subscribe today and get unlimited access to OnPoint, the Big Picture, the PS archive of more than 14,000 commentaries, and our annual magazine, for less than $2 a week.

SUBSCRIBE

La GCSC propose huit normes pour lutter contre les écarts qui se sont creusés avec les principes préalablement établis et apporter à certaines questions techniques les réponses indispensables à la stabilité dans le cyberespace. Ces normes peuvent être considérées comme des références communes dans les discussions politiques en cours.

La première norme est celle de la non-ingérence avec le noyau public de l’Internet. Si les régimes autoritaires et démocratiques peuvent se trouver en désaccord pour ce qui concerne la liberté d’expression où la réglementation des contenus en ligne, ils doivent trouver un terrain d’entente autour de la non-intervention dans les constituants du noyau comme le système des noms de domaine, sans lequel il serait impossible d’établir des interconnections sans surprises au sein du réseau des réseaux qui comprend l’Internet.

Deuxièmement, les acteurs étatiques et non étatiques ne doivent en aucun cas soutenir des opérations conçues afin de perturber les infrastructures techniques essentielles au déroulement des élections, des référendums ou des plébiscites. Si une telle norme ne peut éviter toutes les interférences, comme on l’a vu lors des élections aux États-Unis en 2016, elle pose des barrières de sécurité autour de certaines caractéristiques techniques.

Troisièmement, les acteurs étatiques ou non étatiques ne doivent modifier aucun bien ou service produit ou en développement s’ils mettent en péril, agissant de la sorte, la stabilité du cyberespace. Des chaînes d’approvisionnement non sécurisées constituent une menace importante à la stabilité.

Quatrièmement, les acteurs étatiques et non étatiques ne doivent pas détourner à leur profit les ressources du grand public pour l’usage de « botnets » ou robots en réseau (des robots installés sur des machines ordinaires mais opérés à l’insu de l’utilisateur de la machine).

Cinquièmement, les États doivent créer des cadres aux procédures transparentes permettant d’estimer quand il est nécessaire de rendre publiques les failles ou les défauts des systèmes d’information ou de la technologie. Ces failles forment souvent le socle du développement des cyberarmes. L’accumulation de ces failles peut constituer dans l’avenir un risque pour tous.

Sixièmement, les développeurs et les producteurs de biens et de services desquels dépend la stabilité du cyberespace doivent renforcer leur sécurité, prendre des mesures raisonnables afin de s’assurer que leurs produits ne présentent pas de vulnérabilités importantes, réduire les points faibles lorsqu’ils en découvrent, et procéder en toute transparence. Tous les acteurs ont le devoir de partager l’information dont ils disposent sur ces points faibles afin de contribuer à la diminution des activités délictueuses dans le cyberespace.

Septièmement, les États doivent prendre les mesures appropriées, y compris par le droit et la réglementation, afin de maintenir la santé publique dans le cyberespace. Pour suivre la voie tracée dans le monde réel par les vaccinations, qui ont empêché la propagation des maladies contagieuses comme la rougeole, la santé publique a encore des progrès à faire dans le cyberespace si elle veut ôter à la convoitise des malfaiteurs les proies trop faciles.

Enfin, les acteurs non étatiques ne doivent pas s’engager dans des cyberactivités offensives, et les acteurs étatiques doivent quant à eux prévenir ce type d’activités et y répondre lorsqu’ils y sont confrontés. Ce qu’on nomme parfois le hack-back, le « piratage en retour », c’est-à-dire la constitution de sortes de milices virtuelles pourrait prendre des proportions telles qu’elles constitueraient une menace envers la stabilité. Dans le passé, les États ont parfois cautionné voire encouragé la course en haute mer, puis ils ont découvert que les risques d’escalade afférents et de conflit accidentel étaient trop élevés. On peut dire la même chose de la stabilité dans le cyberespace.

Ces huit normes ne permettront pas à elles seules de garantir la stabilité dans le cyberespace, mais combinées à d’autres, à certains principes et à des mesures susceptibles de construire la confiance telles qu’elles sont suggérées ici et là, elles peuvent constituer un point de départ. À long terme, les États devront adopter des normes de comportement pour améliorer leur coordination, encadrer les incertitudes, préserver leur réputation ou bien répondre aux pressions internes. Nous sommes encore loin d’un tel régime de règles pour le cyberespace, mais la GCSC aura contribué à lui donner un coup de pouce.

Traduit de l’anglais par François Boisivon

https://prosyn.org/fxOFMuvfr;
  1. solana114_FADEL SENNAAFP via Getty Images_libyaprotestflag Fadel Senna/AFP via Getty Images

    Relieving Libya’s Agony

    Javier Solana

    The credibility of all external actors in the Libyan conflict is now at stake. The main domestic players will lower their maximalist pretensions only when their foreign supporters do the same, ending hypocrisy once and for all and making a sincere effort to find room for consensus.

    1

Edit Newsletter Preferences