droitdu.net

Un site utilisant Plateforme OpenUM.ca

Microsoft propose une « Convention de Genève digitale »

3 janvier 2018
Commentaires
Permalien

À Genève, du 18 au 21 décembre, a eu lieu la douzième rencontre annuelle du Internet Governance Forum (IGF). Ce forum international vise à encourager un dialogue ouvert et inclusif au sujet des enjeux liés à la gouvernance d’Internet en y réunissant les différentes parties prenantes. L’approche d’IGF est originale, toutes les parties sont considérées sur un pied d’égalité, et le forum se veut indépendant, c’est-à-dire hors du contrôle d’un État d’accueil ou de l’ONU. Plusieurs sujets chauds ont été abordés cette année, dont (sans grande surprise) le big data, l’intelligence artificielle et la cybersécurité. Sur ce dernier sujet, c’est le souhait des organisateurs de l’IGF que non seulement les experts, les gouvernements, les entreprises fassent valoir leur expertise et leur savoir-faire, mais qu’ils adressent l’enjeu en commun. En effet, la nécessité de coordonner les efforts de sécurisation du numérique a été mise de l’avant dès la session d’ouverture lorsque le président suisse Doris Leuthard a déclaré candidement que « cybersecurity must be dealt with together ».

Les menaces à la sécurité d’Internet proviennent de sources variées, telles que d’une entreprise non diligente, de pirates informatiques et même d’un état belliqueux. Sur ce dernier point, la cyberguerre est un enjeu réel. C’est d’ailleurs ce qui a convaincu Brad Smith, le président et directeur juridique de Microsoft, de développer une solution originale, celle d’une « Convention de Genève digitale ». Selon ce dernier, puisque « [g]overnments continue to invest in greater offensive capabilities in cyberspace, and nation-state attacks on civilians are on the rise », il est urgent de développer un cadre juridique inspiré de la 4e Convention de Genève afin de protéger et de défendre les civils des cyberattaques parrainées par l’État. C’est d’ailleurs l’attaque informatique de Sony par la Corée du Nord qui a constitué le point tournant pour ce chef d’entreprise, car selon lui cela ne constituait pas qu’une représailles contre un film plutôt moche, mais une attaque à la liberté d’expression. Cet enjeu est si capital, que lors de l’édition 2017 des Rendez-vous Mondiaux de Genève, il déclarait que « [w]hen we look at where technology is going, we believe that cybersecurity needs to be a cause for our time », car indispensable pour assurer la sécurité des individus, mais également celle de la future économie numérique.

Compte-tenu des standards variés des États auxquels font face les entreprises, Microsoft encourage l’imposition de standards internationaux et souhaite un partenariat plus étroit entre les gouvernements et le secteur privé afin de développer une plus grande capacité de défense stratégique. En effet, les états ont leur rôle à jouer, il faut l’engagement de la communauté internationale d’interdire les cyberattaques contre les hôpitaux, les institutions financières et les autres infrastructures critiques qui menacent la sécurité des citoyens ou la stabilité de l’économie mondiale. Également, même si plusieurs entreprises prennent au sérieux la sécurité de leurs infrastructures et la protection des civils dans le cyberespace,

« no single company can do this alone. We believe that by coming together, committing to a set of principles and demonstrable actions, the tech sector (and other interested enterprises) can minimise the risks of harm to civilians from cyberweapons unleashed by nation-states. »

Dans cette veine, il propose la reconnaissance des principes suivants :

  • No targeting of tech companies, private sector, or critical infrastructure;
  • Assist private sector efforts to detect, contain, respond to, and recover from events;
  • Report vulnerabilities to vendors rather than to stockpile, sell or exploit them;
  • Exercise restraint in developing cyber weapons and ensure that any developed are limited, precise and not reusable;
  • Commit to nonproliferation activities to cyberweapons;
  • Limit offensive operation to avoid mass event.

Il entrevoit également la création d’une organisation à l’image de l’Agence internationale d’énergie atomique qui rassemblerait des experts des gouvernements et du secteur privé pour enquêter sur les cyberattaques étatiques.

Si cette approche est intéressante, elle ne se réalisera pas avant un travail de longue haleine, le climat actuel est beaucoup moins propice aux ententes multilatérales. De plus, bien que cette approche tente d’imposer un cadre uniforme à l’international, un traité international classique dans lequel le seul sujet de droit reconnu est l’État semble moins adapté à un enjeu englobant une diversité d’acteurs non-traditionnels, tels les entreprises. Par ailleurs, Brad Smith n’a pas tort d’encourager un dialogue plus étroit entre les États et les entreprises. Comme il l’explique :

« Only by pushing for more, better, and broader dialogue can we make cyberspace safe. If we fail to make that dialogue real, then we’re letting a fuse burn down to a powder keg of cyberwar and the inevitable destruction of the real opportunity of the 21st Century. »

Sur le même sujet

Derniers tweets