19 / 05 / 2017
#Entretien

Cyberdéfense : quelle voix pour la France ? Entretien avec David Martinon

share
Avec l'augmentation drastique du nombre de cyberattaques, qui ciblent ou impliquent parfois des Etats, définir ou préciser un cadre juridique spécifique au cyberespace est l'une des priorités de la communauté internationale. C'est d'ailleurs tout l'enjeu de négociations onusiennes sur une réglementation de cet espace si particulier, qui entrent dans leur phase finale. Quel est l’état d’avancement des réflexions françaises à ce sujet ? Quelles idées sont-elles portées par l'Hexagone ? RSLN a rencontré David Martinon, ambassadeur français pour la cyberdiplomatie.

Comment définissez-vous le cyberespace ?

David Martinon: Le plus simplement possible : on pourrait dire que c’est l’ensemble des infrastructures numériques qui font l’objet d’échanges numériques. Sa caractéristique principale est d’être un espace transfrontière dans lequel la souveraineté territoriale des Etats s’applique néanmoins.

Quelle est, selon vous, la place qu’occupe la France sur l’échiquier politique du cyberespace ?

La France est bien armée pour se défendre au niveau international : nous avons de très bons experts, capables d’adopter une vue large et à long terme, ce qui nous permet d’être créatifs dans les négociations. Par ailleurs, la France a une doctrine d’emploi de l’arme cyber extrêmement claire : elle s’autorise d’une part à des missions de surveillance et de renseignement, et d’autre part à neutraliser et riposter en cas d’attaque, ce qui peut aller jusqu’à une réponse politique ou militaire.

David Martinon (DR)

Quelle y est la réglementation actuellement en vigueur ?

Il y a d’abord des réglementations nationales, car la souveraineté des Etats s’applique : il existe des lois françaises sur la protection des données, du secret professionnel, des infrastructures critiques et de leurs opérateurs… Il existe également des lois européennes, notamment le paquet sur la protection des données, et des traités internationaux – bien que rares pour le moment.

Quel travail menez-vous au sein de l’ONU ?

Le grand résultat que nous avons obtenu en matière de législation est la reconnaissance du fait que le droit international public s’applique entièrement et totalement au cyberespace. C’est-à-dire que concrètement, la charte des Nations-Unies trouve à s’appliquer dans cet espace particulier.

Les discussions que nous avons à l’ONU se concentrent sur l’applicabilité du droit international public au cyberespace. Par exemple, nous voulons voir pleinement reconnu le fait qu’en temps de guerre comme en temps de paix, les cyberattaques peuvent donner lieu à des contremesures, ou des mesures de rétorsion.

En d’autres termes, l’article 51 de la charte des Nations-Unies doit être appliqué : toute agression donne droit à la légitime défense, et peut donc entraîner des représailles à la hauteur de l’agression. C’est pour nous l’application pleine et entière du droit international public existant, c’est l’une des conditions à la stabilisation du cyberespace.

Quelles autres positions la France défend-elle ?

La France a toujours eu une voix particulière dans le domaine de la diplomatie, et la cyberdéfense ne fait pas exception. Notre pays est solidaire de ses alliés historiques, mais il conserve cette liberté d’esprit et de ton qui lui permet de formuler des propositions originales, qui recueillent généralement l’adhésion de ses partenaires.

Sur la question du cyberespace, nous pensons que des problèmes nouveaux sont apparus, et qu’il nous faut leur apporter une réponse juridique. Notre conviction est qu’il faut façonner des normes de comportements, à caractère volontaire, à l’attention des Etats. Nous en avons déjà forgé un certain nombre, et nous pensons que d’autres normes doivent émerger. Je pense notamment à deux d’entre elles :

  • La non-prolifération des biens à double-usage dans le cyberespace : nous estimons que tant que tout ce qui peut devenir une arme dans le cyberespace est disponible, il n’y a aucune chance que le cyberespace connaisse un début de stabilité. Quant aux armes de guerre cyber, nous voulons leur appliquer un principe d’interdiction, avec une possibilité d’autorisation dans certains cas spécifiques et limités ;
  • Le reverse hacking par des acteurs privés, qui de notre point de vue ne doit pas exister : nous demandons qu’il soit a minima contrôlé par les Etats.

C’est pour lutter contre ces deux menaces que nous souhaitons que soit adoptée, dans le rapport de consensus de l’ONU, cette fameuse norme de comportement pour les Etats.

Joel Filipe via Unsplash CC0

Le G7, réuni en Italie il y a quelques semaines, a jugé « urgent » le besoin d’établir des normes communes concernant le cyberespace. Quel est votre sentiment à ce sujet ?

C’est en effet tout le sens de notre travail, mais il faut comprendre que derrière chacune des normes, il y a des agendas qui se superposent. Et même s’il reste difficile de communiquer à plusieurs, l’enjeu est bien de faire émerger des résultats diplomatiques et juridiques qu’il faudra par la suite universaliser et faire appliquer à travers le monde.

Pour le moment, ces discussions ne se passent qu’entre Etats, dont la maturité n’est d’ailleurs pas forcément la même en matière de cybersécurité… Ces discussions entre acteurs étatiques sont une première étape. Ensuite, il restera à espérer que les acteurs infra-étatiques suivent le mouvement et soient encadrés par les mêmes normes. Je pense notamment aux grandes entreprises du secteur technologique, mais aussi, dans un tout autre domaine, aux groupes de hackers en tous genres ou aux mafias par exemple.

Brad Smith, chef des affaires juridiques de Microsoft, a plaidé il y a plusieurs semaines pour une Convention de Genève digitale. Que pensez-vous d’une telle initiative ?

En théorie, c’est un beau projet. Malheureusement notre raisonnement est qu’il ne faut surtout pas rentrer dans une négociation quand on ne sait pas ce que l’on veut obtenir au bout. Si on devait se lancer dans une négociation sur une Convention de Genève digitale, on sait pas pour combien de temps on en aurait, mais ce que l’on sait avec certitude, c’est que l’on entrerait vite dans des désaccords de fonds : nous pensons que ce n’est pas réaliste au vu de ce qu’un certain nombre de nos partenaires entend mettre dans cette convention.

Sur la question d’une instance internationale de rétribution, je trouve à titre personnel – ce n’est pas la position du gouvernement français – qu’il y a des éléments très intéressants dans cette proposition. Même si nous considérons que les questions de rétribution relèvent de la souveraineté des Etats, la réflexion sur une forme de multilatéralisme est toujours utile.

Qu’attendez-vous du dernier round de négociations qui se tiendra à New York en juin, point d’orgue du processus entamé en 2004, sous l’égide de l’ONU, par le Groupe des experts gouvernementaux ?

Nous en attendons un rapport de consensus qui soit suffisamment substantiel. Nous ne pouvons pas nous satisfaire d’un rapport de consensus qui ne dit rien, qui ne comporte aucun progrès : si ça doit être ça, cela ne nous intéresse pas.

Nous avons beaucoup parlé de l’échelon international. Quid de l’Europe en matière de cyberdéfense ?

La France est favorable à l’émergence d’une véritable autonomie stratégique cyber européenne, qui passe de notre point de vue par une capacité à réglementer au niveau européen, à organiser une certification européenne stricte et robuste, mais aussi à créer les conditions pour qu’émerge une véritable industrie européenne de la cybersécurité. Pour nous, ces deux échelons – international et européen – sont complémentaires.