Entre normes et réalité: l'ONU et le cyberespace

La page est créée Marc Bonnet
 
CONTINUER À LIRE
Entre normes et réalité: l'ONU et le cyberespace
Politique de sécurité: analyses du CSS
No 313, Novembre 2022

Entre normes et réalité:
l’ONU et le cyberespace
Après l’invasion de l’Ukraine par la Russie, les discussions sur les
cybernormes au sein de l’ONU sont dans l’impasse. Les tensions entre
les États-Unis et la Russie empêchent toute avancée significative, en
particulier sur les questions de cyberconduite lors d’un conflit armé.
Le maintien des groupes de travail de l’ONU et le développement
d’espaces de discussion sur les normes au-delà de ce cadre constituent
toutefois un signal modeste, mais positif pour l’avenir.

Par Taylor Grossman

Dans les années 1980 et 1990, l’expansion
mondiale des technologies de l’information
et de la communication (TIC) a placé les
gouvernements face à de nouvelles ques-
tions réglementaires fondamentales: com-
ment gérer les aspects de ce domaine liés à
la défense et à la souveraineté nationales,
aux activités criminelles et aux autres pré-
rogatives essentielles des États? Les pre-
mières années, il n’existait aucun accord ré-
gissant l’application du droit international
au cyberespace. Beaucoup de pionniers
d’Internet ont tenté d’éviter l’ingérence des
États. C’est ainsi que John Perry Barlow,
défenseur d’un Internet libertaire, a rédigé
en 1996 en Suisse la Déclaration d’indé-
pendance du cyberespace. D’autres ont
commencé à s’interroger sur la nécessité de
mettre au point un tout nouvel ensemble
de normes de comportement dans le cybe-
respace (voir le rapport du CSS «One, Two,
or Two Hundred Internets?»).

Dans ce contexte d’incertitude, l’ONU est
devenue un point de convergence majeur
pour l’élaboration de cybernormes. Ces
deux dernières décennies, l’ONU a contri-               Portrait d’un drapeau de l’ONU sur une carte-mère d’ordinateur, octobre 2022. Conçu par Kevin Kohler et
bué à faire entrer les TIC dans les lois et             généré par DALL-E OpenAI
normes internationales existantes, y com-
pris sa charte fondatrice, et a établi une cer-
taine continuité afin de garantir le compor-
tement responsable des États dans tous les              les airs. L’ONU s’est notamment efforcée             d’escalade et de dommages – en particulier
domaines, en intégrant le cyberespace dans              de trouver des normes minimales com-                 pour les civils. La Suisse a joué un rôle cen-
les législations qui réglementent les inte-             munes visant à réduire le risque que le cy-          tral dans ces efforts en choisissant de faire
ractions des États en mer, sur terre et dans            berespace devienne une source d’instabilité,         de Genève la «capitale de la gouvernance

© 2022 Center for Security Studies (CSS), ETH Zürich                                                                                                         1
Entre normes et réalité: l'ONU et le cyberespace
Politique de sécurité: analyses du CSS                                                                                No 313, Novembre 2022

numérique», en assurant la présidence des
                                                        Aperçu des processus de normes de l’ONU
précédents cycles de discussion de l’ONU
sur les normes et en s’intéressant aux ques-
tions de neutralité dans le cyberespace (voir
le rapport du CSS «The Law of Neutrality
in Cyberspace»).

Pourtant, malgré ce point de départ ambi-
tieux, les deux processus de l’ONU qui en
ont découlé – les six groupes d’experts gou-
vernementaux (GEG) réunis entre 2004 et
2021 et les deux groupes de travail à com-
position non limitée (GTCNL) mis en
place depuis 2019 – ont abouti à des résul-
tats modestes et guindés. De façon générale,
les grandes puissances telles que la Russie,
la Chine et les États-Unis ont évité l’élabo-
ration de cybernormes détaillées. Si la
Chine a parfois coopéré avec d’autres délé-
gations nationales pour faire valoir ses
points de vue, la Russie a occupé une place    normes et les réalités de la politique interé-   de comportement des États. Dotés de
essentielle dans les deux processus de         tatique, ces plateformes ayant très peu œu-      mandats restreints, ces GEG se sont
l’ONU – bien que souvent dans le rôle de       vré pour répondre à la situation actuelle en     concentrés sur les questions politiques et
trouble-fête. À ce jour, les États se sont en- Ukraine. En fin de compte, le principal in-      militaires, plutôt que sur les aspects tech-
                                                           térêt de ce groupe de travail est    niques des cybertechnologies. Par exemple,
Il existe un divorce croissant                             son maintien comme point de          le rapport de 2015 propose une norme pré-
                                                           contact pour garantir le dia-        voyant que les États s’abstiennent de cibler
entre les discussions sur                                  logue et favoriser la mise en        les infrastructures critiques d’autres États,
les normes et les réalités de la                           place d’autres voies de mise en      mais sans clause limitant précisément les
                                                           œuvre des normes. La Suisse          méthodes techniques ou les programmes
politique interétatique.                                   plaide toujours pour un proces-      d’attaque qui pourraient être utilisés contre
                                                           sus solide reposant sur l’ONU        des infrastructures critiques.
tendus sur l’applicabilité générale du droit et a contribué à élargir la liste des partici-
international au cyberespace, mais la plu- pants au groupe de travail, ce qui a ouvert          Après ces apparentes percées, le processus
part n’ont pas encore pris position sur les de nouveaux espaces prometteurs au-delà             des GEG a pourtant commencé à se dé-
aspects juridiques plus spécifiques. Et du cadre de l’ONU.                                      voyer. Confronté à des questions de plus en
s’agissant du droit international humani-                                                       plus épineuses sur les moyens de faire ap-
taire (DIH), également appelé «droit des Histoire de deux processus                             pliquer les normes volontaires définies
conflits armés», le consensus est encore plus En 1998, la délégation russe auprès de            deux ans auparavant, le GEG de 2017 n’a
faible. À part une allusion générale à sa per- l’ONU a proposé d’intégrer à l’ordre du          pas été en mesure de produire un rapport
tinence potentielle dans le rapport de jour provisoire un point sur les TIC, invo-              de consensus. La Russie, de son côté, a en-
consensus du GEG de 2021, les discussions quant les effets néfastes que ces nouvelles           trepris de créer un espace distinct de dis-
au sein de l’ONU n’ont pas abouti au déve- technologies pourraient avoir sur la stabi-          cussion sur les cybernormes sous la forme
loppement de nouvelles interprétations pra- lité internationale et la sécurité des États.       d’un nouveau groupe de travail à composi-
tiques. De leur côté, les acteurs non éta- La Première Commission de l’ONU sur les              tion non limitée (GTCNL). L’objectif ma-
tiques tentent de se faire davantage entendre questions de désarmement et de sécurité           nifeste de ce GTCNL était de permettre
dans le discours sur les normes et plaident internationale a alors créé un groupe d’ex-         une participation plus conséquente et plus
souvent pour une restriction normative plus perts gouvernementaux (GEG) pour se                 équitable. Pourtant, malgré les prétendus
rigoureuse du comportement des États.          pencher sur le sujet. Ce mécanisme désor-        avantages de ce groupe de travail, la pres-
                                               mais répandu offre une plateforme concrète       sion exercée par la Russie pour qu’un nou-
La guerre de la Russie en Ukraine a encore pour explorer de nouveaux domaines en                veau forum voie le jour au sein de l’ONU
fragilisé les forums de discussion de l’ONU réunissant des spécialistes qui examinent et        était plus probablement une tentative de
fondés sur le consensus, comme en té- recommandent des mesures sans enfermer                    compliquer et de faire dérailler un proces-
moignent les récents blocages de procédure les États dans des résolutions contrai-              sus déjà délicat. De nombreux pays crai-
et de fond lors du dernier cycle de réunions gnantes. Six GEG ont ainsi été convoqués           gnaient que ce GTCNL crée des cadres
du groupe de travail à New York. Les ses- entre 2004 et 2021, avec un succès mitigé.            normatifs contradictoires et concurrents
sions de fond du GTCNL sur la sécurité Si le premier GEG n’a pas réussi à produire              qui dilueraient encore les effets des rap-
des TIC et de leur utilisation organisées ce un rapport de consensus, les suivants ont          ports non contraignants des GEG.
printemps et cet été ont certes débouché pu prendre de timides mesures. Mais sur-
sur un rapport d’activité consensuel, mais tout, le rapport du GEG de 2013 a affirmé            Le processus des GEG est limité: le Secré-
qui ne contient aucun progrès concret. Ces l’applicabilité du droit international à l’uti-      taire général sélectionne les participants
résultats bien ternes soulignent le divorce lisation des TIC par les États et le rapport        dès le départ et ceux-ci sont réduits à un
croissant entre les discussions sur les de 2015 a défini onze normes volontaires                petit nombre de représentants nationaux

© 2022 Center for Security Studies (CSS), ETH Zürich                                                                                      2
Politique de sécurité: analyses du CSS                                                                                           No 313, Novembre 2022

(15 à 25). La composition de chaque GEG                 du rapport pour affirmer que le DIH consti-
                                                                                                           Lectures complémentaires
est également fixe pendant toute sa durée.              tuait le principal corpus de droit régissant
Le GTCNL, au contraire, regroupe les                    les cyberopérations lors d’un conflit armé.        Duncan Hollis, «A Brief Primer on International
193 États membres, ce qui peut le rendre                Le premier GTCNL, présidé par l’ambas-             Law and Cyberspace», Carnegie Endowment
                                                                                                           for International Peace 14.06.2021.
difficile à gérer. Les participants ne sont pas         sadeur suisse Jürg Lauber, a également
tenus d’assister à toutes les réunions, mais            abouti à un rapport de consensus qui ap-           Camino Kavanagh, «Ukraine: Cyber Opera-
peuvent apporter leur contribution                      puyait les conclusions des GEG précédents          tions and Digital Technologies», Directions
lorsqu’ils jugent bon de le faire. Le GTC-              et réaffirmait l’importance des discussions        Blog, 22.03.2022.
NL est également ouvert aux organisations               conduites sous la houlette de l’ONU sur les        Louise Marie Hurel, «The Rocky Road to Cyber
non gouvernementales (ONG): des                         cybertechnologies dans le contexte de la           Norms at the United Nations», Council on
groupes de la société civile, des universi-             sécurité internationale. L’ambassadeur a           Foreign Relations, 06.09.2022.
taires et des acteurs du secteur privé                  également ouvert la voie en sollicitant la
peuvent demander à y participer et faire                participation de petites organisations régio-
part de leurs commentaires tout au long du              nales, élargissant ainsi l’éventail d’expertises
processus. Des groupes accrédités peuvent               présentes au sein du GTCNL. Un deu-
assister aux réunions du GTCNL en qua-                  xième GTCNL a été mis en place en dé-          cyberactivités ont joué un rôle de soutien
lité d’observateurs et participer à des                 cembre 2021 et prendra fin en 2025.            essentiel sur les champs de bataille
consultations informelles.                                                                             d’Ukraine, notamment lors des premières
                                                        La Russie et les États-Unis ont aussi pris tentatives russes pour s’emparer de Kyiv et
La volonté russe de promouvoir la souve-                des mesures pour renforcer leur engage- avec l’approche novatrice de l’armée infor-
raineté des États et la sécurité intérieure est         ment diplomatique dans le cyberespace. matique d’Ukraine. Dans les jours qui ont
de plus en plus en décalage avec la tendance            En juin 2021, le président américain précédé l’invasion de février, la Russie a lan-
générale des GEG à soumettre les activités              Joe Biden et le président russe Vladi- cé une attaque sur une chaîne d’approvi-
des États dans le cyberespace à des restric-            mir Poutine se sont rencontrés à Genève sionnement qui a perturbé les communica-
tions internationales. Dès le lancement de              pour discuter des moyens d’atténuer les tions satellite dans tout le pays. Le Kremlin
sa proposition en 1998, la Russie a claire-             tensions et de limiter les cyberattaques est également à l’origine de diverses attaques
ment montré que la sécurité intérieure était            contre leurs pays respectifs. Il semble que le collectives par saturation de service et cam-
pour elle une priorité. Ses déclarations ul-            nombre de cyberattaques ait quelque peu pagnes de destruction de données contre le
térieures mettent l’accent sur la «sécurité de          diminué dans les mois qui ont suivi. Les gouvernement et le peuple ukrainiens. L’ar-
l’information», qui intègre les menaces                 États-Unis et la Russie ont alors noué une mée informatique d’Ukraine, pour sa part, a
«politiques et idéologiques» émanant du                 timide relation de travail pour réprimer les lancé des campagnes coordonnées visant à
cyberespace, plutôt que sur la «cybersécu-              pirates malveillants opérant sur leurs terri- défigurer et à surcharger des services web
rité», qu’elle considère comme plus stricte-                                                                       russes, généralement via des at-
ment technique. En pratique, la sécurité de             Les gouvernements ne sont                                  taques collectives par saturation
l’information englobe les questions liées à                                                                        de service. Si l’importance stra-
la modération et à la restriction des conte-
                                                        pas des monolithes dans le                                 tégique de ces incidents n’est pas
nus, ce qui permet aux gouvernements                    cyberespace: la majorité des                               encore claire, l’armée informa-
d’intervenir plus explicitement dans l’accès                                                                       tique a ouvertement recruté cer-
à l’information pour assurer la stabilité na-
                                                        TIC sont détenues et exploitées                            tains de ses membres en dehors
tionale. Les processus normatifs de l’ONU               par le secteur privé.                                      de l’Ukraine, notamment dans
utilisent des termes plus vagues tels que la                                                                       des États membres de l’UE et
«sécurité des TIC» pour tenter d’éluder la              toires. En octobre, la Russie et les États- de l’OTAN (voir le rapport du CSS: «The
question. Dans ce contexte, les tensions                Unis ont présenté à la Première Commis- IT Army of Ukraine»). Ces évolutions
sous-jacentes entre deux modèles de cybe-               sion de l’Assemblée générale des Nations mettent à l’épreuve les conclusions des pré-
respace, l’un plus ouvert et l’autre qui se             Unies une proposition conjointe soulignant cédents rapports de consensus et soulèvent
prête davantage à l’intervention des gou-               l’engagement des deux pays en faveur des des questions majeures autour des obliga-
vernements, continuent de freiner les avan-             processus du GTCNL et du GEG, ainsi tions de diligence, de la protection des in-
cées à New York et à Genève.                            que des rapports de consensus qui en dé- frastructures critiques et de l’identité des
                                                        coulent. Cinquante pays ont coparrainé la combattants dans le cyberespace.
Évolutions récentes                                     résolution, qui a été adoptée sans vote au
Malgré les préoccupations initiales quant à             début du mois de novembre.                     Le GTCNL en panne
un processus à deux voies au sein de l’ONU,                                                            Cependant, l’ONU semble mal outillée
l’année 2021 a été marquée par une réussite             Près d’un an plus tard, cette résolution pour mieux prendre en compte les réalités
surprenante dans le domaine des cyber-                  semble être un vestige d’une époque révo- du conflit dans son discours normatif. Miné
normes. Le sixième GEG a débouché sur                   lue. L’invasion de l’Ukraine par la Russie en par les querelles de procédure, le GTCNL
un rapport de consensus qui présente une                février 2022 a entraîné des bouleversements est également dans l’impasse sur le fond. La
avancée prudente sur la question du DIH et              majeurs dans la diplomatie internationale participation au groupe de travail a pris un
de son applicabilité potentielle à l’utilisa-           qui ont inévitablement eu des répercussions tour particulièrement politique lorsque
tion des TIC par les États. La Suisse a été             sur la question des cybernormes. Les rela- 32 organisations de la société civile se sont
l’un des principaux défenseurs de l’exten-              tions tendues entre les États-Unis et la vu refuser l’accès aux sessions de juillet à
sion du DIH aux cyberactivités. Elle a ainsi            Russie ont bloqué toute avancée sur la réso- New York. La Russie est à l’origine de la
publié, en annexe au rapport du GEG, une                lution de novembre et fait monter la tempé- plupart de ces refus. Bien que le pays n’ait
prise de position dépassant les conclusions             rature au sein de l’actuel GTCNL. Les donné aucune explication publique sur ses

© 2022 Center for Security Studies (CSS), ETH Zürich                                                                                                     3
Politique de sécurité: analyses du CSS                                                                                                No 313, Novembre 2022

décisions, une grande partie des groupes             dire les activités et processus mis en place          plus fracturé et marqué par l’intensification
exclus avaient un ancrage occidental.                pour réduire les tensions ou la méfiance              des tensions entre la Russie et l’Occident.
L’Ukraine a également refusé quelques or-            entre les États et limiter ainsi le risque d’es-      Malgré ses avancées limitées cette année,
ganisations au motif qu’elles étaient trop           calade et de conflit, le GTCNL s’est retrou-          de nombreux membres du groupe ont fait
étroitement liées à l’État russe pour que l’on       vé dans l’impasse. Une hotline en cas de              valoir que son existence même constituait
puisse véritablement les considérer comme            cybercrise, rappelant la célèbre ligne télé-          une mesure de confiance. Les forums mul-
des participants non gouvernementaux.                phonique d’urgence en cas de crise nu-                tilatéraux de l’ONU restent des pierres de
                                                     cléaire établie entre Moscou et Washing-              touche importantes pour le débat, d’autant
Le rejet des ONG en juin porte atteinte à            ton pendant la guerre froide, a été proposée          que d’autres voies diplomatiques se sont
un atout déterminant du processus du                 lors de réunions précédentes. Or, le GTC-             effondrées depuis un an. À l’évidence, le fait
GTCNL: son ouverture. De par sa struc-               NL n’a pas été en mesure de progresser sur            même que la Russie, l’Ukraine, les États-
ture, ce groupe de travail permet à un éven-         un plan de mise en œuvre précis. Une re-              Unis et l’UE se soient réunis en mars et en
tail plus souple et plus inclusif d’acteurs de       commandation visant à renforcer la coopé-             juillet à New York pour discuter des cyber-
participer au débat normatif. Les gouverne-          ration des équipes d’intervention en cas              normes relève du miracle. Pour la Suisse, le
ments ne sont pas des monolithes dans le             d’urgence informatique a même été retirée             maintien d’un discours normatif de la part
cyberespace. À travers le monde, la majorité         du rapport final. Si le GTCNL ne parvient             de l’ONU montre que beaucoup d’États
des TIC sont détenues et exploitées par le           pas à avancer dans des domaines qui pa-               attachent encore de l’importance à ce que
secteur privé, et les infrastructures critiques      raissent peu sujets à controverse, sur quoi           le cyberespace reste stable et gouvernable.
échappent de plus en plus aux mains des              peut-il espérer trouver un terrain d’entente?
États. Des organisations de la société civile                                                              S’il y a peu de chances que le processus de
qui fournissent une expertise et des capaci-  Le GTCNL a également buté sur la ques-                       l’ONU enregistre des avancées majeures à
tés importantes pour traiter et résoudre les  tion du DIH et de son applicabilité au cy-                   court et moyen terme, la Suisse a clairement
incidents aux multinationales qui gèrent      berespace. Le DIH est devenu un point de                     intérêt à ce qu’il demeure crédible et ouvert.
une grande partie d’Internet, les ONG         discorde majeur, particulièrement dans le                    La Confédération a soutenu l’inclusion si-
                                                          contexte de la guerre russe en                   gnificative des ONG dans le processus de
Les forums multilatéraux de l’ONU Ukraine. Les GEG précédents                                              l’ONU et, notamment grâce aux efforts hel-
                                                          et l’actuel GTCNL n’ont pas pu                   vétiques de plaidoyer , le GTCNL a ouvert
restent des pierres de touche                             aller au-delà d’allusions extrê-                 la voie à divers espaces de discussion sur les
importantes pour le débat.                                mement vagues aux fondements                     normes à l’échelle régionale et non gouver-
                                                          du DIH, en indiquant par                         nementale. Espérons que ces débats donne-
jouent déjà un rôle clé dans la gouvernance exemple que les principes de proportionna-                     ront des résultats plus fructueux. En effet,
de facto du cyberespace. Exclure ces groupes lité et de distinction pourraient être valables               cette profusion de cadres plus restreints
du processus de définition et de mise en dans le cyberespace. Les rapports de                              constitue un signal bienvenu: tandis que
œuvre des normes est donc une stratégie à consensus ne contiennent pas non plus un                         l’Occident et la Russie se trouvent dans une
courte vue. En effet, qu’elles participent ou mot au sujet des applications spécifiques.                   impasse prolongée, d’autres pays tentent de
non aux sessions à New York, des organisa- Les cyberopérations trouvent pourtant leur                      faire un pas en avant.
tions comme le Cyber Tech Accord (un place sur le champ de bataille, et les prin-
consortium représentant les principaux in- cipes du DIH entrent clairement en jeu.
térêts du secteur privé américain et euro- Les questions sur la définition d’un com-
péen dans le domaine des TIC) et le FIRST battant et sur les actions considérées comme
(un réseau mondial d’intervenants en cas proportionnelles et distinctives finiront par                      Voir le site thématique du CSS pour en savoir
d’incident informatique) conserveront une se poser dans d’autres pans du droit interna-                     plus sur les politiques de cybersécurite.
place majeure dans le cyberespace.            tional. Mais dans le climat actuel, toute
                                              avancée sur ces sujets semble aussi urgente
Impasse sur le fond                           qu’improbable.
Comme on pouvait s’y attendre, le GTC-
NL en a encore moins fait pour résoudre Perspectives                                                       Taylor Grossman est Senior Researcher au sein
les querelles de fond. Même dans le do- La stagnation du GTCNL témoigne d’un                               de l’équipe «Risk and Resilience» du Center for
maine des mesures de confiance, c’est-à- environnement géopolitique de plus en                             Security Studies (CSS) à l’ETH de Zürich.

Les analyses de politique de sécurité du CSS sont publiées par le Center for    Parus précédemment:
Security Studies (CSS) de l’ETH de Zürich. Le CSS est un centre de compétence
                                                                                La Russie, puissance nucléaire No 312
en matière de politique de sécurité suisse et internationale. Deux analyses
                                                                                Séoul renforce ses ambitions en matière de défense No 311
paraissent chaque mois en allemand, français et anglais.
                                                                                L’adhésion de la Finlande à l’OTAN No 310
Éditrice : Névine Schepers                                                      Concept stratégique de l’OTAN: des ambitions modérées No 309
Révision linguistique : Névine Schepers                                         Enjeux géopolitiques de la transition énergétique No 308
Layout et graphiques: Miriam Dahinden-Ganzoni                                   La défense française à la croisée des chemins No 307

Feedback et commentaires: analysen@sipo.gess.ethz.ch                            © 2022 Center for Security Studies (CSS), ETH Zürich
Plus d’éditions et abonnement: www.css.ethz.ch/cssanalysen                      ISSN: 2296-0228; DOI: 10.3929/ethz-b-000578849                              4
Vous pouvez aussi lire