7

Une approche normative pour la prévention de la guerre cybernétique

CAMBRIDGE – Une série d'épisodes au cours des dernières années, notamment les interventions de la Russie pour fausser les élections présidentielles de 2016 en faveur de Donald Trump, les cyber-attaques anonymes qui ont perturbé le réseau électrique de l'Ukraine en 2015 et le virus « Stuxnet » qui a détruit un millier de centrifugeuses iraniennes, suscite une inquiétude croissante au sujet des conflits dans le cyberespace. Lors de la Conférence de Munich sur la sécurité du mois dernier, le ministre des Affaires étrangères néerlandais Bert Koenders a annoncé la création d'une nouvelle ONG, la Commission mondiale sur la stabilité du cyberespace, pour compléter le travail du Groupe d'experts gouvernementaux (GEG) des Nations Unies.

Les rapports du GEG de 2010, 2013 et 2015 ont aidé à établir l'ordre du jour des négociations sur la cyber-sécurité. Le dernier rapport a identifié un ensemble de normes qui ont été approuvées par l'Assemblée générale des Nations Unies. Mais en dépit de ce premier succès, le GEG a ses limites. Les participants sont techniquement des conseillers du Secrétaire Général de l'ONU plutôt que des négociateurs nationaux dotés de pouvoirs véritables. Bien que le nombre de participants ait augmenté des 15 membres de départ à 25, la plupart des pays n'ont pas voix au chapitre.

Mais une question plus vaste plane au-dessus du GGE : les normes peuvent-elle vraiment restreindre le comportement des États ?

La plupart des experts s'accordent à dire qu'un traité mondial sur le cyberespace serait actuellement politiquement impossible (cependant la Russie et la Chine ont fait des propositions dans ce sens à l'ONU). Mais au-delà des traités formels, les contraintes normatives sur les États comprennent également les codes de conduite, les pratiques conventionnelles des États et les attentes largement partagées d'un comportement approprié au sein d'un groupe (qui créent un droit coutumier). Dans leur portée, ces contraintes peuvent varier : elles peuvent être mondiales, plurilatérales, ou bilatérales. Que peut donc nous apprendre l'histoire sur l'efficacité d'instruments politiques normatifs ?

Dans la décennie qui a suivi Hiroshima, les armes nucléaires tactiques étaient largement considérées comme des armes « normales » et l'armée américaine incorporait l'artillerie nucléaire, les mines terrestres atomiques et les armes anti-aériennes nucléaires dans ses forces déployées. En 1954 et 1955, le Chef d'état-major des armées des États-Unis a dit au Président Dwight Eisenhower que la défense de Dien Bien Phu au Vietnam et des îles proches de Taïwan exigeait l'utilisation des armes nucléaires (Eisenhower n'a pas suivi ce conseil).

 Au fil du temps, le développement d'une norme informelle de non-utilisation des armes nucléaires a modifié cet état de choses. Le Prix Nobel d'économie Thomas Schelling a soutenu que le développement de la norme de non-utilisation des armes nucléaires était l'un des aspects les plus importants de la limitation des armements au cours des 70 dernières années et qu'il avait eu un effet inhibiteur sur des décideurs. Mais pour de nouveaux États nucléaires comme la Corée du Nord, nul ne peut dire avec certitude si les coûts de la transgression de ce tabou seraient perçus comme étant supérieurs aux avantages.

De même, un tabou contre l'utilisation des gaz toxiques dans la guerre s'est développé après la Première Guerre Mondiale et le Protocole de Genève de 1925 a interdit l'utilisation des armes chimiques et biologiques. Deux traités dans les années 1970 ont interdit la production et le stockage d'armes de ce genre, ce qui a créé un coût non seulement pour leur usage, mais également pour leur simple possession.

Les dispositions de vérification de la Convention sur l'interdiction des armes biologiques sont faibles (elles consistent simplement à adresser un rapport au Conseil de sécurité de l'ONU) et de tels tabous n'ont pas empêché l'Union Soviétique de continuer à posséder et à développer des armes biologiques dans les années 1970. De même, la Convention sur l'interdiction des armes chimiques n'a pas empêché Saddam Hussein ni Bachar el-Assad d'utiliser des armes chimiques contre leurs propres citoyens.

Néanmoins ces deux traités ont influencé la manière dont les autres perçoivent de telles actions. De telles perceptions ont contribué à la justification de l'invasion de l'Irak en 2003 et au démantèlement international de la plupart des armes syriennes en 2014. Avec la ratification de la Convention sur les armes biologiques par 173 pays, les États qui souhaitent développer de telle armes doivent le faire en secret et faire face à la condamnation internationale si la preuve de leurs activités est connue.

Les tabous normatifs peuvent également devenir pertinents dans la cyber-sphère, cependant la différence dans ce domaine entre une arme et une non-arme dépend de l'intention et il serait difficile d'interdire (et impossible de prohiber de manière fiable), la conception, la possession, ou même l'implantation pour l'espionnage de programmes informatiques particuliers. En ce sens, les efforts pour empêcher le cyber-conflit ne peuvent pas être similaires à la limitation des armements nucléaires qui s'est développée durant la Guerre froide, qui impliquait des traités raffinés et des protocoles de vérification détaillés.

Une approche plus fructueuse des contrôles normatifs sur la guerre cybernétique peut consister à établir un tabou non pas contre les armes mais contre les cibles. Les États-Unis ont soutenu l'idée selon laquelle le Droit des conflits armés (DCA), qui interdit les attaques délibérées sur des civils, s'applique dans le cyberspace. En conséquence, les États-Unis ont proposé que plutôt que de promettre « aucune première utilisation » des cyber-armes, les pays devraient promettre de ne pas utiliser des cyber-armes contre les installations civiles en temps de paix.

Cette approche des normes a été adoptée par le GEG. Le tabou doit être renforcé par des mesures de mise en confiance telles que des promesses d'aide scientifique et de non-intervention avec les travaux des Équipes d'intervention en cas d'incidents informatiques (CSIRT).

Le rapport du GEG de juillet 2015 s'est concentré sur la restriction des attaques sur certaines cibles civiles, plutôt que sur l'interdiction d'un code particulier. Au sommet du septembre 2015 entre le Président des États-Unis Barack Obama et le Président chinois Xi Jinping, les deux dirigeants ont accepté d'établir une commission experte pour étudier la proposition du GEG. Par la suite, le rapport du GEG a été approuvé par les chefs d'État du G-20 et a été soumis à l'Assemblée générale de l'ONU.

L'attaque sur le réseau électrique ukrainien s'est produit en décembre 2015, peu de temps après la soumission du rapport du GEG et en 2016, la Russie n'a pas considéré le processus électoral des États-Unis comme une infrastructure civile protégée. Le développement des contrôles normatifs sur les cyber-armes reste un processus lent - et à ce stade, inachevé.