De la nécessité d’un agenda transatlantique pour le cyberespace

Par Roberto De Primis, Chercheur, Chaire Raoul-Dandurand en études Stratégiques et Diplomatiques Université du Québec à Montréal (UQAM).

[Crédit Photo : Markus Spiske]

Vu le leadership de l’Union Européenne et des États-Unis en matière économique et technologique, il est dans leur intérêt naturel de jouer un rôle central dans l’élaboration des normes amenées à régir le cyberespace.

Nous sommes d’ailleurs à la croisée des chemins et il n’est plus question de tergiverser : soit Bruxelles et Washington trouvent un terrain d’entente pour une action et un agenda communs dans le cyberespace, soit nous risquons de plonger dans une ère de « cyber-multipolarité » sans normes claires et avec des acteurs ayant une forte propension à la déstabilisation.

Alors que les Américains développent une cyber stratégie coordonnée depuis 2003, les Européens ont attendu 2013 avant de proposer une première approche de stratégie pour la cyber sécurité.

Cyberespace et cyberwarriors …

La facilité d’acquérir le statut de puissance dans le cyberespace permet à des Nations comme la Corée du Nord d’accroître leur pouvoir de nuisance avec un budget extrêmement limité. Quoi de plus normal que ce genre de pays, à tendance subversive, investisse dans des ordinateurs et des « cyber-warrior » qui coûtent bien moins cher qu’un seul missile ?

Pour 2016, on a recensé 72,1% de cyber-attaques liées au cybercrime, 14,2% au Hacktivism, 9,2% au cyber espionnage et 4,3% aux conflits cyber de type « cyberwarfare ».Hackmagedon.com

Les « puissances occidentales » face aux cyber-attaques

Au niveau de la cyber sécurité, les gouvernements et les entreprises privées font face à trois grands types de cyber-attaques : 1) celles qui compromettent la confidentialité de l’utilisateur et servent à récupérer des données sensibles ; 2) celles qui viennent « noyer » un réseau/serveur (appelées attaques de type DoS ou DDoS) et rendent un site internet inaccessible ; 3) celles qui détruisent en tout ou en partie l’intégrité physique d’un réseau et les infrastructures qui y sont connectées (réseau électrique, turbines, transport,…).

Selon les statistiques de Hackmagedon.com, durant l’année 2016, on a recensé 72,1% de cyber-attaques liées au cybercrime, 14,2% au « Hacktivism » (utilisation du cyberespace afin de faire passer un message politique/social), 9,2% au cyber espionnage et 4,3% aux conflits cyber de type « cyberwarfare ». Ces deux derniers types d’attaques sont encore marginales mais les gouvernements doivent se préparer, et vite !

Dans ce contexte d’urgence, les deux grandes « puissances occidentales », les États-Unis et l’Union européenne, ont pourtant des agendas différents. Alors que les Américains développent une cyber stratégie coordonnée depuis 2003, les Européens ont attendu 2013 avant de proposer une première approche de stratégie pour la cyber sécurité.

L’agenda américain

A Washington, en 2015, le Ministère de la Défense a présenté son « aggiornamento » en matière de cyber défense où le mot « attaque » apparaît pour la première fois dans cette nouvelle « cyber defense strategy ». Les États-Unis n’ont plus peur d’un cyber Pearl Harbour et pointent ostensiblement la Chine du doigt pour le vol de données sensibles.

Toujours en 2015, l’ancien Président Obama a présenté le « Cybersecurity act » qui vise à encourager les entreprises privées à partager les informations qu’elles détiendraient avec le gouvernement tout en recevant une protection. Ceci requiert beaucoup de courage aux opérateurs privés pour partager l’information et cela prendra du temps afin de modifier les mentalités.

L’actuel locataire de la Maison Blanche, Donald Trump, a signé un « Executive order » (ordre Présidentiel qui a force de loi sans passer par le Congrès) sur la cybersécurité. Le document se focalise sur trois axes :

• la cybersécurité du réseau fédéral (l’internet américain de manière générale) ;
• la cybersécurité des infrastructures critiques (réseau électrique, transports…) ; et
• la cybersécurité de la nation (face aux attaques extérieures).

Cette approche va certainement renforcer les capacités de défense américaines dans ce domaine.

L’UE et la cyber sécurité

L’Europe reste mal équipée face aux cyberattaques et que la Commission propose de nouveaux outils, notamment, une Agence européenne de cybersécurité.Jean-Claude Juncker

Depuis quelques mois, la stratégie européenne en matière de cybersécurité s’intègre dans un processus plus large et complexe associant l’OTAN. Autour d’un plan stratégique en 42 points, les deux entités ont déjà engagé le partage d’informations et la formation en matière de cybersécurité. Le binôme UE-OTAN est fondamental et complémentaire puisque, d’un côté, l’OTAN a la capacité militaire et les compétences informatiques et, de l’autre côté, l’Union européenne a l’argent pour financer des programmes. Cette première collaboration devrait être l’ébauche d’un agenda transatlantique du cyberespace.

En septembre 2017, le discours du Président de la Commission européenne, Jean-Claude Juncker, sur l’État de l’Union a consacré un chapitre entier à la cyber sécurité. L’intéressé a été très clair en affirmant que « l’Europe reste mal équipée face aux cyberattaques et que la Commission propose de nouveaux outils, notamment, une Agence européenne de cybersécurité ». Cette agence assistera les États membres dans la gestion des cyberattaques, ainsi qu’un nouveau système européen de certification, qui permettra de garantir la sécurité d’utilisation des produits et services dans l’environnement numérique. En d’autres termes, le mandat de l’actuelle agence européenne pour la sécurité des réseaux et de l’information, l’ENISA, va devenir permanent.

D’autres points feront partie de la stratégie européenne : la création d’un Centre européen de recherche et de compétences en matière de cybersécurité, la mise sur pied d’un plan visant à garantir une réaction rapide de l’Union Européenne et des États membres en cas de cyberattaque de grande ampleur et, pour finir, le renforcement des capacités de cyberdéfense où les États membres seront encouragés à intégrer la cyber sécurité dans le cadre d’une «coopération structurée permanente» (CSP) et du Fonds européen de la défense.

L’attirail régulatoire de l’UE, va être complété en mai 2018 par un règlement, connu sous le nom de GDPR (General Data protection Regulation). Les Européens ont décidé de frapper un grand coup sur le plan régulatoire en se mettant à l’avant-garde en matière de défense des données des résidents de l’Union face à un vide juridique aux États-Unis et une loi protectionniste du côté chinois. Ce règlement européen n’est pas un outil de protection contre la cybercriminalité mais un moyen qui va réguler le « big data » et les possibles abus d’acteurs économiques.

Il n’existe par conséquent pas de réelles convergences entre les différentes puissances mondiales. Les forums onusiens dédiés à ce propos ne fonctionnent pas de manière adéquate. La seule agora qui pourrait influer, demain, serait le G20. Mais pour cela, le cyberespace devrait être mis à l’ordre du jour d’un prochain sommet.

Ni Bruxelles, ni Washington ne partagent pour le moment d’agenda commun. Les discussions transatlantiques sur le TTIP, le projet de partenariat transatlantique de commerce et d’investissement, sont au point mort. Pourtant, arriver à un accord sur ces thématiques aurait aussi permis d’adopter des règles fondamentales en matière de commerce et d’investissement pour le reste de la planète. Dans cette même lignée, si Européens et Américains arrivaient à s’entendre sur un accord international pour le cyberespace, ils pourraient aussi pousser Chinois, voire Russes, à la table des négociations.

Moment d’agir

Les tendances démographiques le démontrent déjà que, d’ici à 2025, il y aura 4,7 milliards d’utilisateurs d’internet, la majorité de ceux-ci provenant des pays émergents et en développement (en Asie et en Afrique). Cela devrait alerter encore plus le couple transatlantique qui ne pèsera plus très lourd dans la balance d’ici là. Bruxelles et Washington doivent agir aujourd’hui et formuler un agenda commun. Celui-ci pourrait notamment s’axer autour de :

1. La promotion de normes pour le cyberespace comme une Convention Internationale qui protégerait les civils. Il existe déjà la Convention de Budapest mais elle n’a pas été ratifiée par l’ensemble des acteurs et manque d’adaptabilité au cyberespace en pleine mutation. Paradoxalement, la Chine et la Russie défendent l’avènement d’un accord international plus global alors que les Etats-Unis préfèrent garder leur liberté d’action. Néanmoins, il existe une profonde nécessité de réguler les attaques dans le cyberespace et rendre les auteurs responsables (quand on arrive à les prendre sur le fait) ;
2. La réelle collaboration avec les entreprises technologiques privées (IBM, Microsoft…) qui décèlent des nouveaux virus (de type zero-day, c-à-d une faille dans des logiciels qui n’a jamais été décelée auparavant par le créateur). Ces opérateurs privés ont plus de flexibilité et de moyens que les gouvernements pour mener des recherches d’impact. Inversément, les services de renseignement gouvernementaux qui découvriront ces zero-day devraient pouvoir partager l’information avec les géants technologiques afin de permettre les mises à jour nécessaires des logiciels et éviter une attaque mondiale comme on l’a vu avec les virus « Wannacry » ou « NotPetya » ;
3. La régulation d’une entente entre les gouvernements et les entreprises privées propriétaires de « Big Data ». En matière de contre-terrorisme, les gouvernements ont tout à gagner en ayant un accès privilégié aux données relatives à l’activité sur les réseaux sociaux, la géolocalisation, les messageries instantanées, … ;
4. L’organisation de simulations de type « cyber-warfare » comme l’OTAN le fait déjà une fois par an. Dans le cas présent, il s’agirait de l’effectuer à une fréquence plus soutenue en incluant les opérateurs privés. Ceci permettra d’évaluer le degré de résistance et résilience de nos systèmes et infrastructures. La fréquence accélérée des tests grandeur nature est fondamentale puisque des nouveaux virus « malware » sortent tous les jours, si pas toutes les heures ;
5. L’amélioration de la formation des cadres politiques et gouvernementaux. Ceux-ci connaissent peu le cyberespace et, de facto, évaluent mal a priori les conséquences ;
6. L’amélioration des normes de l’Organisation Mondiale du Commerce (OMC) en introduisant des lourdes amendes en cas de cyber espionnage économique. Bien qu’il soit hautement compliqué de retrouver les auteurs de tels agissements, il n’en demeure pas vain que l’OMC introduise ce concept dans ses textes ;
7. Le renforcement du rôle de l’OTAN comme « pont transatlantique » permettant le partage de nos informations et de nos capacités technologiques. Malheureusement, jusqu’ici, les Américains demeurent peu enclins à partager leurs techniques de défense et d’attaque dans le cyberespace.
8. La possible collaboration transatlantique avec l’ICANN, Internet Corporation for Assigned Names and Numbers, qui gère les adresses et l’architecture de l’internet. Bien qu’il soit un acteur privé, l’ICANN demeure un acteur essentiel dans la gouvernance de l’écosystème de l’Internet. Cet organisme pourrait s’avérer être un allié d’exception afin de mieux réguler le cyberespace.

Face à tous ces défis, Washington et Bruxelles doivent montrer l’exemple et élaborer les bases d’une réelle coopération internationale dans le cyberespace, faute de quoi nous serons amenés à vivre dans une ère « cyber multipolaire » hautement instable et sans régulation, ce qui constituerait les prémisses d’un chaos à grande échelle avant 2025.