31 / 01 / 2018
#Pause technique

Cybersécurité : et si la réponse était une “Convention de Genève numérique” ?

  • Linkedin
Cybersécurité : et si la réponse était une “Convention de Genève numérique” ?
Le dernier Forum international de la cybersécurité a reçu le vice-président aux affaires européennes de Microsoft Europe, John Franck pour évoquer à nouveau le sujet d’une Convention de Genève numérique, portée par le président de Microsoft, Brad Smith. En effet, pour améliorer et garantir la stabilité et la sécurité du cyberspace, Microsoft est favorable à l’établissement d’une convention internationale calquée sur la Convention de Genève. L’occasion pour Regards sur le numérique de faire le point sur cette proposition.

La Convention de Genève (ou plutôt les Conventions, puisqu’il s’agit de quatre traités adoptés en 1949), définit des lois internationales humanitaires et éthiques que les pays signataires s’engagent à respecter en temps de guerre. Leur objectif est notamment de garantir le bon traitement des blessés et prisonniers, ainsi que la protection des populations civiles. Au-delà de toute contrainte réglementaire, les Etats font donc le souhait de cesser tous ensemble la pratique d’actes barbares et le respect de l’humanité lors de conflits.

Pour Microsoft, à l’heure où les cyberguerres menacent les Etats et leurs populations, une démarche similaire devrait être transposée au numérique.

« De la même façon que la 4e Convention de Genève protège les civils en temps de guerre, nous avons désormais besoin d’une Convention de Genève numérique (DGC) qui engagera les gouvernements à protéger les populations civiles en temps de paix. Et de la même façon que la Convention prévoit l’intervention de la Croix Rouge pour protéger les civils, la protection contre les cyber-attaques impliquant des pays entiers nécessite l’assistance active des entreprises de technologies », explique Brad Smith, Président de Microsoft.

Les chiffres sont alarmants : 74% des entreprises mondiales s’attendent à être piratées chaque année, et la perte économique due au cyber-crime pourrait atteindre 3 000 milliards de dollars en 2020. Il y a donc urgence à agir, prévient Brad Smith : “l’un des aspects les plus déconcertants est l’expansion des attaques de niveau national, comme celle de Sony par la Corée du Nord en 2014 qui, sans être la première, a constitué un tournant frappant. » Un risque qui s’étend, rappelle-t-il, jusqu’à menacer le processus démocratique des Etats.

«Le temps est venu pour les gouvernements du monde de se réunir, de reconnaître les normes internationales de cybersécurité qui ont émergé ces dernières années, d’adopter de nouvelles règles structurantes et de travailler à les faire respecter », conclut-il.

En 1949, à l’initiative du gouvernement suisse, 59 États prennent part à une conférence pour élaborer une nouvelle Convention de Genève.

Brad Smith à Digital Values 2016

Protéger le cyberspace

Concrètement, cette future Convention de Genève numérique inclurait une série de règles essentielles, parmi lesquelles celles proposées dans un document de synthèse publié par Microsoft.

Les signataires s’interdiraient, par exemple, « d’attaquer des systèmes dont la destruction aurait un impact négatif sur la sécurité et la sureté des citoyens (infrastructures critiques, comme les hôpitaux ou les entreprises d’électricité), ou dont la destruction pourrait endommager l’économie globale (transactions financières) ou causer une disruption globale majeure (services basés sur le cloud) ».

L’objectif est également de limiter l’usage et la portée des « cyber-armes », les pays signataires assurant qu’elles sont «limitées, précises et non réutilisables », tout en étant conservées dans des environnements sécurisés. Comme pour les armes de guerre, la non-prolifération des armes numériques est aussi à l’ordre du jour : « Les gouvernements ne devront pas distribuer des cyber-armes, ou autoriser que d’autres ne les distribuent, et devront utiliser les services de renseignement, autorités légales et sanctions financières à l’encontre de ceux qui le font ».

La convention protégerait également contre « le piratage des comptes personnels et des données privées des journalistes ou des citoyens impliqués dans un processus électoral ». Elle s’opposerait également à la création (ou aux demandes de la part des gouvernements) de « backdoors » dans des produits technologiques grand public, permettant l’accès aux données personnelles des utilisateurs.

« “Même dans un contexte de nationalisme croissant, quand il s’agit de cybersécurité, l’ensemble du secteur technologique doit opérer de façon neutre, comme une Suisse du numérique. »

46 share

Une Suisse du numérique

Si le processus conduisant à la DGC est de nature politique et devrait impliquer tous les gouvernements, les grandes entreprises de technologie sont amenées à y jouer un rôle clé. “Même dans un contexte de nationalisme croissant, quand il s’agit de cybersécurité, l’ensemble du secteur technologique doit opérer de façon neutre, comme une Suisse du numérique. Nous assisterons et protégerons les utilisateurs où qu’ils soient. Nous n’aiderons nulle part à attaquer des clients. Nous devons conserver la confiance du monde”, précise Brad Smith, soulignant que sur des sujets touchant à la sécurité globale, comme la lutte contre le spam et le phishing, Microsoft collabore déjà avec d’autres géants du web.

Pour parvenir à l’établissement de cette convention inédite dans l’histoire humaine, trois étapes seraient nécessaires. D’abord un accord global des nations sur un texte décrivant les principes généraux de la DGC, ensuite un accord industriel liant les entreprises de technologie, qui s’engageront à protéger citoyens et utilisateurs. Enfin, la formation d’une entité neutre et non-gouvernementale chargée d’enquêter lors d’attaques et piratages informatiques majeurs, afin d’en établir les causes, mais aussi les responsables. En somme, une Suisse du numérique.