Close
  • Français
  • English

03/08/2015Le cyberespace n’est pas livré à la loi du plus fort, et l’ONU le fait savoir [par Florence Mangin, Ambassadrice coordonnatrice pour la cybersécurité et les données publiques]

Catalyseur du progrès économique, social et politique, le cyberespace est également devenu un espace de conflictualité au sein duquel Etats et acteurs non-étatiques manœuvrent, parfois de manière violente, pour avancer leurs intérêts. Les récentes attaques subies par la France et certains de ses grands partenaires nous rappellent à quel point la lutte contre cette menace constitue une priorité légitime pour le Gouvernement, à laquelle concourt l’action du ministère des Affaires étrangères et du Développement international.

A l’instar des autres conflits, ceux qui se déroulent dans le cyberespace ne sauraient échapper, dans un système international fondé sur le droit, à toute régulation. C’est fort de ce constat que se réunit depuis 2004 un groupe d’Etats (15, puis 20 après 2014) sélectionnés par l’ONU en vertu de leur expertise et de leur représentativité géographique, auquel le Secrétaire général a donné mandat de définir des recommandations visant à renforcer la sécurité internationale du cyberespace. La France est un membre actif de ce groupe d’experts gouvernementaux (GGE). J’ai l’honneur, en tant qu’ambassadrice pour la cybersécurité au ministère des affaires étrangères et du développement international, d’y tenir le siège français.

L’effort de régulation au niveau international est aujourd’hui mené selon une double approche, tel que l’indiquent les conclusions de la session 2014-2015 du GGE[1] qui ont été rendues en juin 2015 : 1/ détailler dans un premier temps comment le droit international existant s’applique au cyberespace ; 2/ esquisser ensuite, sous la forme d’engagements politiques non contraignants pour les Etats, de nouvelles normes de comportement spécifiques au cyberespace, un « code la route » dans le respect du droit international. Sur ces deux points, la France se félicite des conclusions du dernier groupe d’experts :

1/ Fort d’une première avancée en 2013, avec la reconnaissance générale de l’application du droit international au cyberespace, le groupe a précisé sa position en 2015 en reconnaissant que s’appliquaient au cyberespace à la fois les principes d’interdiction du recours à la force et de règlement pacifique des différends et les principes du droit des conflits armés : jus ad bellum (légitime défense) et jus in bello (grands principes du droit international humanitaire). La France est attachée à l’application au cyberespace des grands principes du droit international lui préexistant, et notamment du droit des conflits armés. S’il peut exister certains défis à cette application (difficile caractérisation d’une agression armée, difficultés liées à l’attribution d’une attaque), ils ne sont pas propres au cyberespace et ne sauraient justifier une remise en cause de l’équilibre établi en 1945 dans la Charte des Nations Unies. Parce qu’il est garant de la paix et de la sécurité internationale, cet équilibre entre interdiction de l’usage de la force et droit de légitime défense doit à tout prix être préservé. En ce sens, le nouveau rapport constitue une victoire sur les partisans de l’émergence d’un droit du cyberespace dérogatoire aux grands principes existants, qui remettrait en question le système international dessiné il y a 70 ans.

2/Conscients de la nécessité de spécifier un certain nombre de règles de comportement au regard des nouveaux enjeux sécuritaires du cyberespace, les membres du groupe sont par ailleurs parvenus à formuler, dans le respect du droit international, un ensemble de principes de bonne conduite pour les Etats dans le cyberespace. Particulièrement active sur ce segment des négociations, la France a su promouvoir, dans une logique de prévention des conflits, des principes liés à la protection des infrastructures critiques, notamment en matière de coopération dans le traitement des incidents affectant ces infrastructures. Un principe général d’interdiction des cyber-attaques par un Etat contre les infrastructures critiques d’un autre Etat en temps de paix a par ailleurs été retenu. La question de la « prolifération » des outils pouvant être utilisés à des fins malveillantes dans le cyberespace a également été au cœur des discussions, qui ont là aussi abouti à la formulation d’engagements de bonne conduite par les Etats (communication responsable des vulnérabilités[2], limitation de l’usage de « fonctions cachées » à des fins malveillantes[3]).

Si la plupart de ces avancées sont encore fragiles – leur formulation demeure encore équivoque ou incomplète et leur mise en œuvre repose sur la seule bonne volonté des Etats – , elles permettent néanmoins de dépasser le climat de méfiance actuel et les divergences profondes en matière de philosophie politique du cyberespace, et de poser les jalons d’un système de sécurité internationale du cyberespace. Elles montrent également que la diplomatie a un rôle crucial à jouer en la matière, en traçant des frontières entre ce qui est acceptable et ce qui ne l’est pas dans le cyberespace, et en fixant les règles visant à maintenir la paix et la sécurité internationales.

Références :
[1] Les pays membres du GGE 2014-2015 étaient l’Allemagne, la Biélorussie, le Brésil, la Chine, la Colombie, la Corée du Sud, l’Egypte, l’Espagne, l’Estonie, les Etats-Unis, la France, le Ghana, Israël, le Japon, le Kenya, la Malaisie, le Mexique, le Pakistan, le Royaume-Uni et la Russie. Le groupe appelle dans son rapport à la reconduction d’un nouveau GGE en 2016.
[2] Les Etats s’engagent à encourager une communication des vulnérabilités favorisant la correction de ces dernières, et non leur exploitation.
[3] Le texte fait ici référence à la pratique des backdoors ou « portes dérobées », fonctions invisibles permettant à des acteurs malveillants de prendre tout ou partie contrôle d’un équipement ou d’un programme informatique.