Avis

Vers un accord international sur la cybersécurité

photo_camera Microsoft

Dans une initiative conjointe sans précédent, les États-Unis, l'Union européenne, l'Alliance atlantique et cinq autres pays ont rendu publique l'attribution de la responsabilité à des pirates informatiques liés au gouvernement chinois pour une cyberattaque massive en mars dernier contre le système de messagerie électronique de Microsoft (Microsoft Exchange Server), qui a touché des dizaines de milliers d'utilisateurs publics et privés. Dans le même temps, ils désignent la Chine comme le responsable ultime de la cyber-attaque et l'avertissent sans ambiguïté de sa responsabilité pour avoir autorisé ou parrainé de telles pratiques. Si cette attaque de grande ampleur et à fort impact n'était qu'une attaque parmi tant d'autres dans le cyberespace, la réaction collective de l'Occident pourrait avoir des conséquences géopolitiques difficiles à prévoir. Si quoi que ce soit, cela ressemble à un tournant.

Il est clair que le moment est venu pour la communauté internationale de se mobiliser pour tenter d'endiguer la vague croissante de cyberattaques et de pratiques criminelles déployées en toute impunité dans le cyberespace, dont l'utilisation ne fait l'objet d'aucune réglementation applicable au niveau mondial. Il n'est pas facile de quantifier l'immense coût économique pour les particuliers, les entreprises, les administrations publiques et les gouvernements, qu'il s'agisse du vol de la propriété intellectuelle, du versement de pots-de-vin importants à des pirates pour sauver des équipements informatiques verrouillés ou de l'investissement dans des systèmes de sécurité numérique sophistiqués pour atténuer les cyberattaques ou s'en remettre. Mais au-delà de l'énorme coût économique, les pratiques abusives ou carrément criminelles utilisant le cyberespace mondial provoquent des tensions politiques, des risques géostratégiques et d'âpres rivalités entre les grandes puissances.

Dans ces conditions, nous nous trouvons face à une conjoncture géopolitique critique où il est impératif et urgent de négocier et de convenir au niveau international d'un cadre normatif conventionnel sur le bon usage et la répression des pratiques criminelles, qui garantisse un cyberespace libre, ouvert, sûr et non discriminatoire. Nous ne pouvons pas nous permettre de dénaturaliser ou de dégrader le cyberespace pour en faire un terrain de tension et de confrontation entre les nations, en ignorant son potentiel essentiel en tant que bien commun mondial, puissant catalyseur de la richesse des nations et multiplicateur efficace de la productivité des entreprises et du bien-être des citoyens. Un bien de propriété mondiale, dont le bénéfice potentiel est immense pour tous, ne peut être réduit à un scénario de concurrence stratégique et d'antagonisme appauvrissant, que ce soit directement ou par hackers interposés.

En outre, en l'absence de tels accords politiques correctifs au niveau international, les tendances stratégiques divergentes actuelles entre les principaux acteurs mondiaux conduiront inévitablement à court terme à une fragmentation du cyberespace en sphères d'influence, principalement autour des États-Unis et de la Chine, avec des normes, des certifications et des spécifications techniques incompatibles. Reconnaissons que les efforts multilatéraux déployés à cet égard jusqu'à présent à l'Assemblée générale des Nations unies par deux groupes de travail spécifiques ne peuvent suffire à répondre à la dimension politique et géostratégique de la menace à laquelle nous sommes confrontés. Entre autres parce que les accords de ces groupes, s'ils étaient conclus, équivaudraient à de simples déclarations de l'Assemblée générale, qui, comme on le sait, ne sont pas des normes contraignantes. C'est pourquoi le débat et la réalisation éventuelle d'accords exécutifs sur le bon usage du cyberespace et la répression des pratiques malveillantes traduits en résolutions juridiquement contraignantes pour tous devraient être portés devant le Conseil de sécurité lui-même.

Le premier de ces accords devrait définir la responsabilité de tout État pour les activités numériques malveillantes ou les abus criminels du cyberespace menés sur son territoire, ou encouragés et parrainés par ses autorités.

Nicolás Pascual de la Parte : ambassadeur itinérant pour la cybersécurité et les menaces hybrides/The Diplomat