B. UNE COOPÉRATION INTERNATIONALE ENCORE BALBUTIANTE
Plusieurs organisations multilatérales ont mis la sécurité des systèmes d'information à l'ordre du jour de leurs travaux.
En particulier, ce thème fait aujourd'hui l'objet de nombreux débats au sein de l'OTAN et de l'Union européenne.
1. Des initiatives en ordre dispersé
Assez curieusement, la Chine et la Russie sont aujourd'hui les principaux promoteurs de règles contraignantes au niveau international sur la sécurité dans le cyberespace. Ainsi, ces deux pays ont proposé en 2009 un code de conduite à l'Assemblée générale des Nations Unies 38 ( * ) . La Russie a également proposé une résolution sur la sécurité de l'information en vue de la 67 e session de l'Assemblée générale des Nations Unies.
Ces différentes propositions sont toutefois rejetées par la plupart des pays occidentaux.
De manière schématique, on peut distinguer trois conceptions au niveau international :
- celle défendue par certains pays dits « libéraux », comme la Suède ou les Pays-Bas, qui sont très attachés à l'espace de liberté que représente l'Internet et hostiles à toute forme de réglementation du cyberespace ;
- la conception portée par la Chine et la Russie, qui faisant la promotion de règles contraignantes pour les Etats dans le cyberespace visent non seulement à renforcer les mesures relatives à la défense et à la sécurité des systèmes d'information, mais aussi à réglementer le contenu même des informations 39 ( * ) , ce qui est évidemment inacceptable pour la majorité des pays attachés aux principes de la liberté d'expression et de protection de la vie privée ;
- la France se situe dans une position médiane : elle est favorable à un renforcement de la gouvernance du cyberespace et à un minimum de régulation, par exemple pour protéger le droit d'auteur, mais dans le même temps elle s'oppose au concept de « sécurité de l'information ».
Par ailleurs, il ne faut pas sous-estimer les difficultés juridiques et pratiques soulevées par l'idée d'un traité international sur la cybersécurité, qui interdirait par exemple l'utilisation de capacités offensives ou la cyberguerre. Comment définir une « arme informatique » ? Quels seraient les moyens de contrôle et les sanctions éventuelles d'une violation de cette interdiction ?
Les discussions se concentrent désormais sur l'idée de promouvoir au niveau international des mesures de confiance ou des « bonnes pratiques » , par le biais de mesures non contraignantes, qui comprendraient deux volets :
- d'une part, une liste de mesures concrètes, comme l'identification des autorités compétentes pour traiter les attaques visant les systèmes d'information, la mise en place d'échanges d'informations ou des exercices réguliers, voire la constitution d'un réseau au niveau international ;
- d'autre part, un engagement des Etats à traiter les attaques informatiques transitant par leur territoire.
Une telle orientation s'est ainsi nettement dégagée lors de la conférence internationale sur le cyberespace, organisée à Londres, les 1 et 2 novembre 2011.
La question se pose aujourd'hui de savoir quelle serait l'enceinte la plus appropriée pour élaborer ces mesures de confiance.
L' ONU a adopté plusieurs documents concernant les technologies de l'information et de la communication et leurs aspects relatifs à la sécurité.
La première commission du désarmement et de la sécurité internationale de l'Assemblée générale des Nations Unies a adopté plusieurs résolutions et elle a constitué un groupe d'experts gouvernementaux. Ce groupe a présenté en 2010 un rapport appelant à poursuivre la concertation entre Etats sur des normes éventuelles relatives à l'utilisation des technologies de l'information et de la communication par les Etats, à adopter des mesures de confiance, de stabilité et de réduction des risques, à échanger des informations sur les législations nationales et les stratégies de sécurité nationales relatives aux technologies de l'information et de la communication et à définir des moyens d'aider les pays les moins développés à renforcer leurs capacités.
Dans sa résolution 65/41, adoptée en novembre 2011, l'assemblée générale des Nations Unies a décidé de la reprise des travaux du groupe d'experts gouvernementaux en 2012. Ces échanges devraient porter notamment sur la définition de mesures de confiance visant à renforcer la sécurité ou la recherche d'un consensus sur des normes de comportement dans le cyberespace.
La récente divulgation par la presse de l'utilisation par les Etats-Unis d'armes informatiques à des fins offensives à l'encontre de l'Iran, risque toutefois de remettre en cause cette démarche, puisqu'elle met en lumière l'utilisation par la première puissance mondiale de cyber-armes à l'encontre d'installations nucléaires étrangères en-dehors de tout cadre légitimant cette action vis-à-vis de la communauté internationale.
L'Union internationale des télécommunications (UIT), organisation spécialisée de l'ONU dont la vocation première est la normalisation en matière de télécommunications, a organisé, en liaison avec l'Assemblée générale des Nations unies et sur deux sessions qui se sont déroulées en 2003 et 2005, le sommet mondial sur la société de l'information, au cours duquel a été abordée la question de la gouvernance de l'internet.
L'UIT travaille à l'établissement d'un cadre international pour la promotion de la cybersécurité (Programme mondial cybersécurité ) et a créé en 2008 un groupe d'experts de haut niveau chargé de proposer une stratégie à long terme englobant les mesures légales, les mesures techniques visant à remédier aux failles des produits logiciels, ainsi que la prévention et la détection des attaques informatiques et la gestion de crise.
Sous l'impulsion de son Secrétaire général, l'UIT souhaite renforcer son rôle en matière de cybersécurité, notamment dans la perspective d'une révision du règlement des télécommunications internationales, en novembre 2012. Le Secrétaire général de l'UIT a même évoqué en 2010 l'idée d'un traité international interdisant la cyberguerre.
Cette volonté de l'UIT est soutenue par la Chine et la Russie, qui souhaitent utiliser cette enceinte comme un des vecteurs de leur approche de la cybersécurité, ainsi que par la majorité des pays en voie de développement.
A l'inverse, les pays occidentaux, dont la France, s'opposent à l'idée de reconnaître un fondement juridiquement contraignant à l'action de l'UIT sur la cybersécurité. En revanche, l'UIT pourrait d'après eux jouer un rôle utile d'aide au développement de capacités nationales (création de CERT, établissement de stratégies, etc.), notamment en direction des pays en voie de développement.
Dans le cadre de sa présidence du G8 en 2011, la France a inscrit pour la première fois la question d'Internet à l'ordre du jour d'un Sommet du G8. L'objectif était que les chefs d'État et de gouvernement puissent discuter du développement d'Internet, de son impact sur la croissance économique ou sur la promotion des droits de l'homme et des libertés démocratiques à la lumière notamment des « printemps arabes ».
Un Forum e-G8 a été organisé à Paris, les 24 et 25 mai, afin de réunir les grands acteurs des technologies de l'information et d'Internet issus du secteur privé et de la société civile. Ce forum a offert aux participants l'occasion de s'exprimer sur les défis et les opportunités qu'ils estiment pertinents pour l'avenir d'Internet.
La déclaration adoptée par les chefs d'Etat ou de gouvernement du G8, lors du Sommet de Deauville, les 26-27 mai 2011, contient un chapitre consacré à l'Internet. Cette déclaration rappelle les principes d'ouverture, de transparence et de liberté sur lesquels repose l'Internet, mais aussi la nécessité de prévoir des règles afin d'assurer notamment la protection de la propriété intellectuelle, la protection des données à caractère personnel et de la vie privée ou encore la lutte contre la pédopornographie.
Dans le paragraphe consacré à la sécurité des réseaux et des services (paragraphe n°17), il est indiqué qu' « une attention particulière doit être accordée à toutes les formes d'attaque contre l'intégrité des infrastructures, des réseaux et des services, y compris les attaques liées à la prolifération de logiciels malveillants et aux activités impliquant des réseaux d'ordinateurs contrôlés par un tiers sur l'Internet » et qu' « il est d'une importance cruciale de promouvoir la sensibilisation des utilisateurs et ( ...) de renforcer la coopération internationale afin de protéger les ressources vitales, les technologies de l'information et de la communication et d'autres infrastructures connexes » .
Cette déclaration n'a toutefois pas débouché sur des actions concrètes.
L' OCDE s'est également préoccupée sous l'angle économique des attaques informatiques visant les entreprises et de leur impact sur l'économie. Dès 1992, l'OCDE a publié des lignes directrices relatives à la sécurité des systèmes d'information, qui ont été mises à jour en 2001, et plusieurs documents ont été publiés, portant notamment sur la protection des infrastructures d'information critiques 40 ( * ) .
L'action de l' OSCE en matière de cybersécurité est plus récente. Elle tient principalement à la volonté des Etats-Unis de promouvoir cette enceinte, véritable « machine à fabriquer de la confiance » et qui a joué un rôle important durant la « guerre froide », afin d'établir des mesures de confiance dans le cyberespace, en particulier avec la Russie.
Un comité cybersécurité et un groupe de travail dédié à la cybersécurité ont été constitués au sein de l'OSCE et ce groupe a notamment pour fonction de préparer l'établissement d'une liste de mesures de confiance et de sécurité pour le cyberespace.
Faute de véritable expertise sur la cybersécurité, cette organisation ne devrait toutefois rester qu'un simple forum d'échange entre les Etats.
Dans le cadre du Conseil de l'Europe , une convention dite de « Budapest » a été adoptée le 23 novembre 2001 en matière de lutte contre la cybercriminalité. Cette convention constitue le premier traité international qui définit les infractions pénales commises par l'intermédiaire d'Internet et d'autres réseaux informatiques. Elle porte en particulier sur les infractions portant atteinte aux droits d'auteurs, la fraude liée à l'informatique, la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Elle contient également une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et l'interception.
A ce jour, cette convention a été ratifiée par trente cinq pays, dont la France et la plupart des pays de l'Union européenne, ainsi que par plusieurs pays non membres du Conseil de l'Europe, à l'image des Etats-Unis. En revanche, ni la Russie, ni la Chine, n'ont signé ce traité, ce qui en limite beaucoup la portée.
Enfin, un très grand nombre de CERT ( Computer emergency response team ) ont été mis en place dans le monde entier. Ces structures permanentes d'alerte et d'assistance sont chargées d'assurer, pour le compte des organismes qui s'y sont rattachés (administrations, centres de recherche, entreprises), une double mission d'information sur les vulnérabilités, les menaces en cours et les moyens d'y parer, et d'assistance en vue de résoudre les incidents. La France est dotée, comme de nombreux autres pays, d'un CERT gouvernemental, dénommé CERTA, dont la vocation est l'assistance aux administrations et aux opérateurs d'infrastructures vitales. Les CERT gouvernementaux, ainsi que les CERT dédiés au domaine militaire, constituent des capacités essentielles en matière de cyberdéfense.
Dès 1990, l'utilité de procéder à des échanges entre les différents CERT a été reconnue, avec la création d'une enceinte internationale , le Forum of incident response and security teams ( FIRST ).
Le FIRST a pour buts de favoriser la coopération entre les équipes pour prévenir, détecter et rétablir un fonctionnement nominal en cas d'incident de sécurité informatique, de fournir un moyen de communication commun pour la diffusion de bulletins et d'alertes sur des failles potentielles et les incidents en cours, d'aider au développement des activités de ses membres en matière de recherche et d'activités opérationnelles, et de faciliter le partage des informations relatives à la sécurité, des outils, des méthodes et des techniques. Il organise une conférence annuelle internationale consacrée au traitement des incidents de sécurité et aux échanges d'expérience et d'expertise dans ces domaines.
Aujourd'hui, le FIRST fédère près de 250 CERT répartis de par le monde .
Une enceinte spécifique, l' EGC ( European Government Computer Security Incident Response Team ), a été créée par certains pays européens pour regrouper de manière informelle leurs structures gouvernementales. Le CERTA, CERT gouvernemental français, y participe avec ses homologues allemand, britannique, néerlandais, suisse, suédois, finlandais et norvégien.
L'EGC a pour but d'encourager le développement conjoint des mesures pour résoudre des incidents de sécurité de grande ampleur et de faciliter le partage d'informations et les échanges technologiques concernant les incidents de sécurité informatique, les menaces liées à des codes malveillants ainsi que les vulnérabilités des systèmes d'informations. L'EGC s'efforce également d'identifier des domaines de compétences spécialisés et d'expertise qui peuvent être partagées au sein du groupe, ainsi que des projets de coopération en matière de recherche et développement.
* 38 « China, Russia and Other countries submit the document of International Code of Conduct for Information Security to the United Nations », site du ministère des affaires étrangères de la République populaire de Chine, 13 septembre 2009
* 39 Une telle conception se retrouve par exemple dans la proposition russe intitulée « Convention on International Information Security (concept) », présentée lors du Sommet d'Ekaterinbourg, les 21 et 22 septembre 2011
* 40 Voir par exemple les recommandations sur la protection des infrastructures d'information critiques du 30 juin 2008