Close
  • Français
  • English

02/11/2018La cybersécurité oblige à repenser l’autonomie stratégique, par Paul Timmers, Oxford University

Il y a tout juste quelques jours, le Président de la Commission européenne, Jean-Claude Juncker, a prononcé son discours sur l’état de l’Union en 2018 sous le titre « L’heure de la souveraineté européenne ». Dans son discours, il défend l’idée que le moment est venu pour l’UE « de devenir plus indépendante et plus responsable au niveau mondial ». La question est de savoir comment faire de cette ambition une réalité, comment atteindre l’autonomie stratégique. En particulier dans le contexte de la cybersécurité, l’autonomie stratégique est en passe de devenir un sujet largement discuté.

L’intérêt grandissant pour le lien entre « numérique » ou « cyber » et autonomie stratégique découle de l’augmentation de la dépendance aux technologies numériques transformatrices dans l’ensemble de l’économie et de la société, associées à une croissance explosive des menaces et incidents cyber. Cette situation est exacerbée par le contexte politique de hausse des tensions internationales dans les relations qu’entretient l’Occident avec la Chine et la Russie, ainsi qu’une pression transatlantique grandissante. Après des sommets OTAN et G7 tendus en mai 2018, la Chancelière allemande Angela Merkel a déclaré : « Nous, Européens, devons vraiment prendre notre destin en main ».

Alors que par le passé, l’autonomie stratégique était principalement débattue dans le contexte de la sécurité, la défense ou la politique étrangère, on constate que le débat s’est récemment étendu à l’économie et à l’ensemble de la société. Les États-Unis intensifient leurs restrictions sur les investissements directs étrangers (IDE) en provenance de Chine dans les technologies clés, arguant que sans elles, l’Amérique n’aura pas d’avenir économique. Les domaines concernés incluent les semiconducteurs, les télécommunications, la robotique et l’IA. De leur côté, l’Allemagne, le Royaume-Uni et la Chine prennent des mesures similaires.

En France, la Revue stratégique de défense et de sécurité nationale 2017 a fait la part belle aux menaces dans le cyberespace et a fait de l’autonomie stratégique un objectif clé en raison de son impact décisif sur la souveraineté nationale française. En juin 2018, les États membres de l’UE ont évoqué l’exclusion post-Brexit du Royaume-Uni en tant que membre à part entière du système satellitaire Galileo en raison du risque de « perte d’autonomie stratégique ». La stratégie de cybersécurité de l’UE vise à « construire une plus grande résilience et une plus grande autonomie stratégique », avec l’objectif stratégique que « l’UE maintienne et développe les compétences essentielles pour sécuriser son économie numérique, sa société et sa démocratie ».

Ces évolutions posent beaucoup de questions. J’en traiterai trois dans cet article : qu’appelle-t-on l’autonomie stratégique, quel est l’impact de la cybersécurité sur l’autonomie stratégique, et quelles sont les implications sur les politiques ?

AUTONOMIE STRATÉGIQUE

L’autonomie stratégique est un concept ambigu. Les documents d’orientation ont tendance à ne pas la définir et à seulement faire vaguement référence à la nécessité et aux capacités de protéger la souveraineté. La souveraineté – un concept central dans les relations internationales – concerne la légitimité interne et externe, la reconnaissance, l’autorité et le territoire. Il existe cependant une différence entre l’autonomie stratégique et la souveraineté. L’autonomie stratégique est davantage un moyen d’affirmer la souveraineté. Traditionnellement, la souveraineté selon le modèle Westphalien considérait les États comme les unités du système international. Aujourd’hui, l’autonomie stratégique peut impliquer soit un État, soit un collectif D’ÉtatS, comme l’OTAN ou l’UE. Par exemple, le Ministre de l’Intérieur français Gérard Collomb parlait de « l’autonomie stratégique franco-européenne ».

Pour clarifier davantage le concept, je propose la définition suivante : « L’autonomie stratégique est la possibilité, en termes de capacité et de compétences, de décider et d’agir sur les aspects essentiels de son avenir à long terme concernant l’économie, la société et leurs institutions. »[i] Même si cette définition est non-normative, identifier les « aspects essentiels » est bien évidemment une question subjective.

CYBERSÉCURITÉ

Il ne fait aucun doute que les menaces en matière de cybersécurité affaiblissent l’autonomie stratégique. Les logiciels malveillants et les attaques DDoS mettent sérieusement en danger les installations telles que les réseaux énergétiques ou les systèmes de défense et de commande industriels. Le cyber-vol de propriété intellectuelle et le vol financier, via le hacking et les rançongiciels, coûtent des centaines de milliards de dollars chaque année. Les preuves s’accumulent concernant les campagnes de désinformation sur les réseaux sociaux et le hacking des systèmes électoraux. Les États vont jusqu’à s’inquiéter pour leur souveraineté nationale.

Dans « L’arme virtuelle », Lucas Kello montre qu’une cyber agression a trois types d’impacts.

  • Premièrement, elle déstabilise l’équilibre des pouvoirs entre les États. Le « cyber » est une nouvelle technologie offensive qui désavantage la partie attaquée.
  • Deuxièmement, elle permet aux États de remettre en cause les comportements interétatiques habituels par le biais d’intrusions et de perturbations nuisibles, permanentes et systématiques.
  • Troisièmement, le système international interétatique lui-même est menacé par l’émergence d’acteurs non-nationaux, notamment des acteurs malveillants. Certains prétendent que les entreprises technologiques mondiales menacent également la souveraineté des États. Pour résumer, Kello explique qu’il existe un « vide de souveraineté ».

Le « cyber » est devenu un agent perturbateur critique pour l’économie et la société, mais aussi pour la gouvernance interne et externe des États. Cependant, il devient aussi un atout essentiel pour les défendre. Plus généralement, la maîtrise des technologies numériques est une capacité essentielle pour la compétitivité future, pour protéger les valeurs de la société, et en fin de compte, pour combler le « vide de souveraineté ».

Implications politiques

Quelles sont les implications politiques de l’importance croissante que prend le « cyber » ? Face à des menaces et des dilemmes d’un nouveau genre sur la cybersécurité, que doivent faire les gouvernements ? L’autonomie stratégique peut-elle être préservée dans un tel environnement d’évolutions technologiques rapides ? Bien qu’il serait tentant d’augmenter les compétences à l’intérieur d’un État, ou d’établir des accords entre États, la nature du défi pourrait nécessiter un nouveau mode de pensée.

Voici trois stratégies :

D’abord, les gouvernements pourraient – comme le font déjà la plupart – investir dans de meilleurs mécanismes de réponse pour faire face aux cyber-incidents et renforcer les systèmes critiques. Certains experts en cybersécurité avancent que les systèmes numériques sont à présent tellement complexes qu’il est impossible de les renforcer et d’éviter des attaques sophistiquées. Les efforts devraient plutôt se concentrer sur une détection et une défense rapides pour maintenir un niveau acceptable de résilience.

Ensuite, puisque seuls les États-Unis et la Chine semblent être capables de contrôler le développement de leurs propres technologies clés, les autres cyber tats pourraient n’avoir d’autre choix que de participer à des alliances et de promouvoir une gouvernance internationale commune, même si les questions concernant la sécurité et la souveraineté nationales continuent de créer des conflits. Dans « Digital DNA » (« ADN numérique »), Cowhey et Aronson proposent des options pour une coopération public-privé de la gouvernance à l’âge du numérique, tirant des leçons des mécanismes existants comme les transactions financières internationales (SWIFT). La certification de sécurité informatique reconnue multilatéralement (pour laquelle une loi est en cours de négociation au sein de l’UE) pourrait-elle être étendue aux chaînes logistiques mondiales, en impliquant par exemple la Chine, les États-Unis et d’autres régimes tiers neutres pour l’inspection ? Dans le cyberespace, cela représenterait un territoire vierge.

Les pays mettent également en avant des normes et des valeurs internationales dans le cyberespace, comme dans le cadre des Nations Unies ou du processus de Londres. Les optimistes espèrent qu’ils contribueront à une paix mondiale dans le cyberespace. Les pessimistes diront que de tels efforts ne servent qu’à gagner (ou perdre) du temps. Les réalistes pourront argumenter que tout ce que nous pouvons espérer est survivre à des perturbations cyber permanentes dont l’accumulation sera fortement préjudiciable mais qui ne se transformeront pas en guerre grandeur nature, ce que Kello appelle « la non-paix ».

Enfin, une stratégie radicalement différente consisterait à réduire le contrôle stato-centré du cyberespace. Comment ? Une possibilité serait de promouvoir les technologies « open source ». Un collectif d’acteurs non-étatiques, la communauté « open source » mondiale et la communauté de l’internet joueraient alors un rôle central. Une option complémentaire, plus expérimentale, serait un contrôle de sécurité distribué (par exemple, la start-up en cybersécurité Xage utilise des blockchains pour l’authentification distribuée des systèmes de commande industriels ). Une autre option serait de s’appuyer sur des entreprises technologiques véritablement mondiales pour assurer la cyberdéfense. Les gouvernements pourraient apporter leur soutien au moyen de programmes de R&D, de commandes publiques et de réglementations. Mais pourquoi les gouvernements abandonneraient-ils ne serait-ce qu’un fragment de leur souveraineté ? D’ailleurs, auront-ils vraiment le choix à l’avenir ?

Alors que beaucoup d’inconnues subsistent, les perturbations cyber ne connaissent pas de frontières. Nous devons urgemment faire avancer le débat politique sur ses implications, en l’informant et en le soutenant avec la recherche universitaire. Le temps presse.

 

 

[i] Cette définition s’inspire de l’IFRI (Institut français des relations internationales) qui – dans le contexte moins large de la sécurité et de la défense – identifie la capacité et les compétences relatives aux dimensions politiques, opérationnelles et industrielles de l’autonomie stratégique.

 

 

 

Paul Timmers est Professeur invité à l’Université D’Oxford où il étudie la cybersécurité et la transformation numérique. Jusqu’à 2017 il était Directeur Digital Society, Trust & Cybersecurity au sein de la Commission européenne où il était responsable des questions de politique, législation et innovation en cybersécurité, santé numérique, e-gouvernement, smart cities/mobilité/énergie. Il était également membre du conseil d’administration de l’ENISA et était chargé de la législation européenne en matière de cybersécurité, notamment de la Directive NIS (Network and Information Security) et de la règlementation EIDAS. Il était également co-responsable de volets significatifs des programmes de recherche et d’innovation européens dans plusieurs secteurs. Ses sujets de recherche actuels comprennent la politique industrielle et commerciale en matière de cybersécurité, la souveraineté numérique, les modèles économiques internationales de la cybersécurité et la transformation numérique.