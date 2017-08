Joseph S. Nye, Jr., a former US assistant secretary of defense and chairman of the US National Intelligence Council, is University Professor at Harvard University. He is the author of Is the American Century Over?

LAS VEGAS – Un récent sondage effectué auprès des professionnels de la cybersécurité réunis à l’occasion de leur conférence annuelle, le Black Hat, à Las Vegas, indiquait que 60% d’entre eux s’attendaient à ce que les États-Unis soient victimes dans les deux années qui viennent d’une attaque qui parviendrait à toucher leurs infrastructures critiques. Et la vie politique américaine est toujours secouée par les ingérences informatiques russes lors de la campagne électorale de 2016. Les cyberattaques sont-elles vouées à se multiplier ou bien pourrons-nous développer des normes qui nous permettront de maîtriser les cyberconflits ?

L’histoire peut nous éclairer, et notamment celle de l’ère atomique. Si les réseaux informatiques et l’énergie atomique n’ont pas grand-chose en commun d’un point de vue technologique, les processus par lesquels la société apprend à s’adapter aux technologies les plus disruptives offrent d’intéressantes similarités. Il a fallu une vingtaine d’années aux États pour parvenir aux premiers accords de coopération en matière nucléaire. Si l’on date le problème de la cybersécurité non des débuts d’Internet dans les années 1970, mais de la fin des années 1990, lorsque l’essor de la fréquentation fut tel qu’il fit du réseau le substrat d’une interdépendance économique et militaire (accroissant ainsi notre vulnérabilité), on peut considérer que ce seuil de deux décennies avant le lancement d’un processus de coopération est aujourd’hui atteint.

Les premières tentatives de l’ère atomique, infructueuses, prirent la forme de traités sous l’égide des Nations unies. En 1946, les États-Unis proposèrent le plan Baruch pour le contrôle par l’ONU de l’énergie atomique, que l’Union soviétique rejeta au prix de la pérennisation de son infériorité technologique. Il fallut attendre la crise des missiles de Cuba, en 1962, pour que soit signé, l’année suivante, le premier accord de limitation des armements, le traité d’interdiction partielle des essais nucléaires. Suivirent le traité de non-prolifération nucléaire, en 1968, puis le traité bilatéral entre les États-Unis et l’Union soviétique de limitation des armements stratégiques SALT, en 1972.

Dans le domaine des réseaux informatiques, la Russie a proposé en 1999 aux Nations unies un traité visant à interdire les armes informatiques (y compris de propagande). Suivie par la Chine et par d’autres membres de l’Organisation de coopération de Shanghaï, elle continue à soutenir un traité élargi sous l’égide de l’ONU.

Les États-Unis ont rejeté ce qu’ils percevaient comme une tentative de limiter les capacités américaines et continuent à considérer qu’un traité élargi est incontrôlable et illusoire. Néanmoins les États-Unis, la Russie et treize autres États se sont entendus pour que le secrétaire général des Nations unies nomme un Groupe d’experts gouvernementaux (GGE), qui s’est pour la première fois réuni en 2004.

Ce groupe n’a d’abord eu que de piètres résultats ; mais en juillet 2015, il a publié un rapport, repris par le G20, qui propose des normes pour limiter les conflits ainsi que des mesures susceptibles de construire la confiance. Les groupes d’experts ne sont pas rares dans les processus onusiens, mais il est moins fréquent que leur travail remonte ainsi, des sous-sols de l’organisation jusqu’à un sommet des vingt pays les plus puissants de la planète. Ce fut assurément un succès extraordinaire, qui n’a pas été réédité le mois dernier, puisque le GGE s’est montré incapable d’aboutir en 2017 à un rapport qui fasse consensus.

Le mode de fonctionnement du GGE a ses limites. Techniquement, ses membres sont des conseillers du secrétaire général de l’ONU ; ils n’ont pas de mandat national de négociation. Avec les années, à mesure que le nombre de pays participants augmentait, passant de quinze à vingt puis à vingt-cinq, le groupe est devenu plus difficile à gérer, et les questions politiques ont pris une plus grande place. Selon un diplomate qui a été très impliqué dans le processus, quelque soixante-dix pays ont manifesté leur intérêt à y participer. Mais plus le nombre est important plus il devient difficile de parvenir à un accord.

On trouve toutes sortes de points de vue sur l’avenir du GGE. Il existait au début de l’année une première version d’un nouveau rapport, et le talentueux président allemand tenait que le groupe ne devait pas réécrire le rapport de 2015, mais tenter d’en dire plus sur les mesures que devaient prendre les États en temps de paix.

Certains États ont suggéré de nouvelles normes en matière de protection des données et de maintenance des structures fondamentales d’Internet. Les mesures de confiance et le besoin d’un renforcement des capacités font l’unanimité. Les États-Unis et les pays qui voient les choses comme eux poussent à une clarification de l’accord précédent qui établit que le droit international des conflits armés, et notamment le droit de légitime défense, s’applique dans le cyberespace, mais la Chine, la Russie et leurs alliés marquent des réticences. Et la détérioration des relations américano-russes empoisonne le climat politique.

En outre, si certains États espèrent ranimer le processus du GGE ou l’élargir à un dispositif onusien plus étendu, d’autres sont sceptiques et considèrent que les progrès ultérieurs se limiteront plutôt à des États de même sensibilité, et ne déboucheront guère sur des accords universels.

Les normes prêtes à être discutées en dehors du GGE pourraient concerner la protection des fonctions vitales d’Internet, les critères de qualité de la chaîne logistique, les questions de responsabilité que pose l’Internet des objets, la garantie, en tant qu’infrastructures protégées, des processus électoraux et, d’une façon plus générale, les délits et la guerre de l’information. Tous ces sujets figurent au nombre de ceux que peut examiner la Commission mondiale sur la stabilité du cyberespace, constituée au début de l’année et présidée par l’ancienne ministre des Affaires étrangères de l’Estonie, Marina Kaljurand.

Les prochaines étapes d’élaboration des normes devront compter sur leur adaptation à de nombreux cadres différents, qu’il s’agisse des États comme du secteur privé. Ainsi l’accord conclu entre la Chine et les États-Unis pour limiter le cyberespionnage industriel est-il passé du cadre bilatéral à celui du G20, qui l’a repris par la suite.

Dans certains cas, les normes établies entre États de même sensibilité peuvent susciter une adhésion plus large à un stade ultérieur. Dans d’autres, notamment pour ce qui concerne l’Internet des objets, les critères de sécurité peuvent s’appuyer sur l’expérience du secteur privé ou des partenaires associatifs dans la mise en œuvre de codes de bonne conduite. Il est aussi des domaines où les progrès n’ont pas besoin d’attendre que d’autres soient réalisés ailleurs.

Un système normatif peut être plus solide si les interdépendances ne sont pas trop étroites, et à ce stade, un traité global, sous l’égide de l’ONU, desservirait cette flexibilité. Il est important, pour que les normes soient acceptées, que le nombre des participants s’étende, mais pour avancer, il faudra être actif sur de nombreux fronts. Ainsi l’échec du GGE en juillet 2017 ne doit-il pas être considéré comme la fin du processus.

Traduction François Boisivon