ANALYSES

Cyberespace : vers quelle gouvernance ?

Interview
16 novembre 2018
Le point de vue de Charles Thibout


Le 12 novembre, à l’occasion de la réunion à l’UNESCO du Forum de gouvernance de l’internet (FGI), le président de la République française, Emmanuel Macron, a lancé l’Appel de Paris pour la confiance et la sécurité dans le cyberespace. Cette déclaration de haut niveau en faveur de l’élaboration de principes communs de sécurisation du cyberespace a déjà reçu l’appui de nombreux États, mais aussi d’entreprises privées et d’organisations de la société civile. Que faut-il retenir de l’Appel de Paris ? Quels sont les principaux enjeux inhérents au cyberespace ? Le point de vue de Charles Thibout, chercheur à l’IRIS.

Lundi 12 novembre, le président français Emmanuel Macron lançait, en présence du secrétaire général de l’ONU Antonio Guterres, l’Appel de Paris pour pacifier les relations internationales dans le cyberespace. Qu’en est-il ressorti ? L’approche française sur la question fait-elle consensus ?

Emmanuel Macron a appelé à soutenir un cyberespace ouvert, sûr, stable, accessible et pacifique. Le président de la République a également fait le constat que le cyberespace est de plus en plus un espace de conflictualité où se mêlent différents acteurs, étatiques et non-étatiques.

Or, l’approche française ne fait pas consensus. En réalité, seule une cinquantaine d’États ont signé l’Appel de Paris. De surcroît, plusieurs acteurs majeurs du système international ne l’ont pas signé, notamment les États-Unis, la Chine et la Russie. Côté américain, aller dans le sens d’une régulation du cyberespace signifie d’une certaine manière limiter leur hégémonie en la matière, les États-Unis étant l’acteur prédominant de la sphère cybernétique. Ainsi, toute tentative de régulation se traduirait par un contrôle de leurs capacités.

Quant à la Russie et à la Chine, ces pays considèrent le cyberespace comme un vecteur de renforcement de leur puissance dans les relations internationales afin de pallier leur faiblesse relative en termes de capacités militaires et économiques conventionnelles. La Chine a, par exemple, dans les années 1990, bien compris qu’elle ne pouvait pas rattraper son retard technologique et militaire vis-à-vis des États-Unis. Par contre, elle a très bien assimilé qu’en maîtrisant parfaitement les technologies cybernétiques, elle pouvait affaiblir la puissance américaine. Par conséquent, vous pouvez avoir la plus grande puissance militaire du monde, si vos bâtiments, troupes et infrastructures sont incapables de communiquer, d’un seul coup, votre puissance se trouve considérablement affaiblie.

En outre, il existe deux visions du cyberespace dans le monde. La sphère occidentale (Amérique du Nord, Union européenne) est plus encline à parler de cybersécurité et de cyberdéfense, alors que la sphère orientale, Russie et Chine en tête, parle plutôt de guerre informationnelle ou de sécurité de l’information. Ces différences de vocabulaire empêchent ces grands acteurs de se réunir et de débattre de façon constructive des normes et des formes de régulation communes qu’il conviendrait d’édicter.

Le cyberespace, toujours plus au centre de nos existences, est un lieu d’opportunités, mais aussi de nouvelles menaces. Quelles sont-elles ?

La principale menace est la prééminence de l’attaque sur la défense dans le cyberespace. C’est-à-dire qu’il est aujourd’hui plus facile d’attaquer que de se défendre avec les armes cybernétiques. La deuxième menace est la grande difficulté à attribuer les attaques informatiques. Il est très difficile de savoir qui est l’auteur d’une attaque. Ce qui est problématique dans le jeu international classique puisque cela freine la capacité d’un État à se défendre de façon légitime.

Ensuite, les armes numériques sont de plus en plus volatiles et en constante mutation ; de nouvelles armes sont créées et développées tous les jours. Car, évidemment, il est plus facile d’élaborer une arme informatique que de fabriquer une arme conventionnelle.

Mais le défi majeur est celui de la dissémination de la puissance. Avec le cyberespace, les outils de puissance ne sont plus seulement l’apanage des États. Ils le sont aussi d’acteurs non-étatiques. Effectivement, à la fois de très grandes entreprises technologiques comme les GAFAM aux États-Unis et les BATX en Chine, mais aussi des pirates informatiques, des groupes criminels, terroristes, des organisations mafieuses, etc., sont dorénavant inextricablement impliqués dans le cyberespace. De plus, ils entretiennent des relations très équivoques avec les États, entre concurrence et coopération, voire connivence. Beaucoup de pirates deviennent des « proxies », sortes de corsaires informatiques, au service d’États qui s’appuient sur leur expertise, mais qui, surtout, se servent de ces intermédiaires pour lancer des attaques sans que l’on puisse remonter jusqu’à eux. Cette implication des acteurs non-étatiques est l’un des enjeux majeurs du XXIe siècle : elle accentue le passage d’une violence internationale (interétatique) à une violence transnationale, où la conflictualité n’est plus l’affaire des seuls États-gladiateurs.

Comment définiriez-vous la géopolitique d’internet d’aujourd’hui ? Des guerres numériques sont-elles à craindre ? Existe-t-il aujourd’hui une gouvernance d’internet ?

Pour définir la géopolitique d’internet, on peut reprendre le concept d’anomie de Durkheim revisité par Bertrand Badie. Plus précisément, on se trouve actuellement dans une zone de non-droit ; aucun accord multilatéral n’a pu être trouvé jusqu’à présent pour réguler les relations internationales dans le cyberespace, ce qui accroît bien sûr le risque de guerres numériques.

Depuis 2004, l’ONU a mis en place un groupe d’experts gouvernementaux sur la cybersécurité. Ce groupe s’est réuni à cinq reprises. En 2013, ces experts se sont mis d’accord sur le fait que le droit international était applicable au cyberespace. En 2017, en revanche, le cycle de négociations a échoué.

Les tentatives de régulation interétatiques sont donc au point mort, ce qui incline certains à vouloir intégrer plus officiellement les acteurs non-étatiques dans la gouvernance de l’Internet. Déjà, en février 2017, Microsoft appelait à la signature d’une Convention de Genève du numérique et accusait les États d’être responsables de la course aux cyber-armements. Aujourd’hui, l’Appel de Paris est signé par les principales firmes technologiques américaines : Google, Facebook, Microsoft, IBM, Oracle, Cisco, Intel… des entreprises qui, par conséquent, s’opposent à la position officielle de leur État d’origine. Surtout, elles affirment, d’une part, leur montée en puissance et, d’autre part, la dissociation de leurs intérêts de ceux de l’État américain.

C’est une dynamique très importante, car l’on sait que ces entreprises sont historiquement liées à l’appareil d’État, et notamment à l’armée et à la communauté du renseignement. Cette tendance indique une forme d’émancipation, d’autonomisation, nourrie par le désengagement progressif des États dans plusieurs domaines. La directive européenne sur le droit d’auteur ou la collaboration de Facebook et de la France pour la régulation de la liberté d’expression sur le réseau social sont quelques exemples d’un transfert de compétences du public vers le privé, des États vers les firmes transnationales numériques. Peu à peu, l’ingouvernabilité de l’Internet conduit les acteurs non-étatiques à remplir le vide laissé par les États.
Sur la même thématique