Quelle sont les conditions d'une cyberpaix ? Que faut-il mettre en place pour garantir au maximum un espace numérique bienveillant ? C'est la question qui a animé l'Unesco, les 6 et 7 avril, alors que se tenait le colloque "Je suis Internet".

"Vous vous souvenez de cette scène incroyable dans 'Fantasia' ? Mickey qui se retrouve au milieu de plein de balais qui dansent autour de lui ?" Pour Claude Kirchner, directeur de recherche à l'INRIA (l'Institut national de recherche en informatique et en automatique), nous sommes la mythique souris de Walt Disney et nous nous trouvons incapables de savoir où donner de la tête au milieu d'une multitude d'outils créés pour contrer les cyberattaques. Pourquoi cette incapacité à tout coordonner ensemble ? Vraisemblablement parce que si nous savons ce qu'est la cyberguerre, nous ignorons encore comment instaurer les règles de la cyberpaix.

VOIR AUSSI : Cyberattaque contre Yahoo!: les États-Unis inculpent des espions russes

En plus de Claude Kirchner, ce sont d'autres spécialistes de la sécurité numérique, chercheurs et hauts fonctionnaires, qui se sont succédés à la tribune de la maison de l'Unesco, jeudi 6 et vendredi 7 avril, pour tenter de définir les conditions d'une cyberpaix. Alors, quels outils peut-on déployer pour réguler les attaques ? Comment faire d'Internet un espace plus sain et moins soumis aux affrontements entre acteurs de ce monde ?

1. Collectivement entériner l'idée que la cybersécurité est l'affaire de tous

On n'initie aucun mouvement de fond durable sans également s'interroger sur une sensibilisation du grand public. Ainsi, viser un début de cyberpaix ne peut se faire si les questions de cybersécurité sont la chasse-gardée des experts. Pour Guillaume Poupard de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), "la cybersécurité est l'affaire de tous". Tout le monde doit y prendre part, acteurs privés comme publics, a rappelé le "Monsieur Cybersécurité en France". Et le directeur général du service français de rappeler que les technologies de chiffrement ne portent pas tous les maux (comme par exemple, le fait de faciliter les conversations entre terroristes) ; au contraire, elles sont "des outils de paix" qu'il est important de développer et protéger.

Rendre publique des failles de sécurité revient parfois à perdre en compétitivité

À l'heure où il n'y a rien de notre monde tangible qui n'existe pas également en ligne, les questions de cyberdéfense relèvent autant de compétitivité économique que de souveraineté nationale. Les attaques informatiques gagnent en complexité, notamment avec l'espionnage en ligne et la cybercriminalité, parfois sous l'impulsion d'États qui utilisent le numérique pour chahuter l'échiquier des relations internationales. Prendre conscience de notre vulnérabilité en ligne, c'est déjà un premier pas dans la gestion des risques. Laquelle doit demeurer une équilibre entre sécurité et protection des libertés individuelles. Pour cela, à l'échelle individuelle, on peut commencer par essayer de ne pas concentrer toute notre vie numérique au même endroit, notamment en se dégooglisant autant que possible.

2. Notifier les incidents pour avancer main dans la main

Pour mettre en place des moyens de se protéger et de répondre de façon coordonnée, il est important de pouvoir discuter ensemble des incidents lorsque ceux-ci se produisent. C'est ce que l'on appelle le reporting d'incident de sécurité. À l'échelle européenne, certains acteurs sont soumis à ce devoir : ainsi, les places de marché en ligne, les moteurs de recherche et les services de cloud rencontrant un problème de sécurité ont l'obligation d'en informer les autorités nationales, comme le stipule la directive NIS (Network and Information Security) adoptée en juillet 2016 par la Commission européenne. Cette dernière a été pensée pour assurer un "niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne" et concernait déjà des secteurs comme l’énergie, les transports, les banques et les marchés financiers, la santé, le fourniture et la distribution d’eau potable ou encore les infrastructures numériques (points d’échange Internet IXP, fournisseurs de services DNS et registre de noms de domaine de premier niveau), dont on attendra plus de transparence encore puisqu'ils sont des "opérateurs de services essentiels".

Pour la spécialiste du droit numérique Céline Castets-Renard, il est évident que le reporting d'incident de sécurité irriguera l'intelligence collective. Sauf qu'aujourd'hui, micro-entreprises et petites entreprises ne sont pas tenues de notifier leurs incidents. Il faut dire que rendre publique des failles de sécurité revient aussi à admettre une vulnérabilité et donc, risquer de perdre en compétitivité. Alors, comment libérer la parole sur ce sujet ?

3. Avoir une agence nationale dédiée pour éviter la rétention d'informations

Pour inciter à la centralisation des informations malgré les arguments économiques des uns et des autres, chaque pays pourrait avoir une agence nationale, indépendante et tenue au secret. Celle-ci recevrait toutes les notifications d'incidents et rendrait possible la mutualisation des savoirs. "Le mieux serait évidemment qu'elle ne soit pas soumise aux renseignements généraux et simplement intégrée et identifiée comme telle dans la gouvernance", poursuit Céline Castets-Renard.

VOIR AUSSI : Vers une "cloudisation" du monde, pour le meilleur et pour le pire

En l'état, la directive NIS a été fixée par l'Europe mais c'est aux États membres de l’UE de décider du système de contrôle à appliquer. La France, par exemple, a publié des premiers arrêtés encadrant la sécurité des OIV (Opérateurs d’importance vitale), qui supposent également la notification des incidents de sécurité à l'ANSSI (Agence nationale de sécurité des systèmes d’information). Pour Guillaume Poupard, c'est aux États que revient "le monopole de la violence légitime dans le cyberespace". On ne peut se faire justice soi-même, sous-entend le directeur de l'Anssi en référence au hack back (la cyber-riposte), pratique qui consiste en le fait de hacker en retour celui qui nous a hacké en premier.

4. Privilégier les approches multiscalaires et bottom-up (approche ascendante)

"Organiser un sommet international pour imposer des règles d'en haut serait le meilleur moyen d'agacer les États", pense savoir Sergei Boeke, spécialiste en cybersécurité à l'université de Leiden, aux Pays-Bas. C'est aussi l'avis de Francesca Bosco, de l'Unicri (l'Institut interrégional de recherche des Nations unies sur la criminalité et la justice), pour qui il est préférable d'encourager la collaboration des acteurs à différentes échelles. Qui de mieux placés que les acteurs dans l'opérationnel pour faire remonter des problèmes de sécurité ? Cette façon d'envisager la gouvernance d'Internet se retrouve particulièrement dans le modèle français, décentralisé car transitant autant par les institutions que par le secteur privé et la société civile.

Le plus complexe avec les cyberattaques, c'est qu'on sait rarement à 100 % à qui les attribuer 

"Tout en reconnaissant le rôle central du secteur privé, qui assure le fonctionnement quotidien du réseau, la France défend une approche équilibrée dans laquelle un cadre de politique d’intérêt général clair et solide doit contribuer à créer un environnement prévisible et favorable à la confiance et aux investissements", peut-on lire sur le site du ministère français des Affaires étrangères.

5. Se méfier de l'attribution hasardeuse des attaques

Aller vers un cadre favorisant la cyberpaix, c'est aussi ne pas céder à la tentation d'attribuer trop rapidement une attaque informatique à quelqu'un. Brouiller les pistes étant de plus en plus faciles, comment être certains de pouvoir retracer l'origine d'une attaque ? En attribuant une cyberattaque au premier groupe de hackers chinois ou russes venu, on laisse tomber la rigueur au profit de la rapidité de l'accusation. Faut-il le rappeler : ce n'est pas parce qu'une attaque semble avoir été lancée depuis des serveurs russes qu'elle émane d'assaillants de la même nationalité. "Le plus complexe avec les cyberattaques, c'est qu'on sait rarement à 100 % à qui les attribuer", met en garde Theodore Christakis, professeur de droit international. S'agit-il d'un groupe de hackers travaillant pour le compte d'un pays... ou d'un groupe de hackers qui veut le faire croire ?

C'est pourquoi David Martinon, ambassadeur pour la cyberdiplomatie et l'économie numérique, encourage à "ne pas e contenter d'une analyse technique pour attribuer une cyberattaque". "Il faut plus d'analyses", suggère-t-il. On se souviendra notamment du secrétaire général du mouvement politique En Marche !, Richard Ferrand, qui a parlé le 13 février dernier de "centaines, voire des milliers d’attaques" contre "le système numérique" et la "base de données" du parti d'Emmanuel Macron. "Comme par hasard, cela vient des frontières russes", avait-il insisté sur France 2.

VOIR AUSSI : Six agences fédérales américaines cherchent à savoir si la Russie a payé des hackers pour décrédibiliser Clinton

"La question de l’attribution des attaques est le grand problème du cyber. On a la plupart du temps une idée de qui est derrière, mais on ne peut pas prouver l’origine devant un juge par exemple", avait tenu à préciser Guillaume Poupard, lors d'une audition devant les sénateurs de la commission des Affaires étrangères et de la Défense. "Voyez aux États-Unis, la parole présidentielle accuse les Russes mais n’a pas de preuves (ou ne peut les révéler) et on ne les aura sans doute jamais. Ce que peut dire l’ANSSI c’est que l’attaquant travaille sur le fuseau horaire de Moscou, laisse des commentaires en cyrillique dans les codes d’attaque… Mais tout cela peut aussi bien être une ruse pour orienter l’attribution de manière délibérée". Attribuer reste donc un acte politique seulement appuyé d'un faisceau d'indices.

Au fond, ce que ces discussions à l'Unesco nous apprennent, c'est que la cyberpaix est aussi dure à mettre en place que la paix tout court. Mais en sensibilisant toute la communauté internationale à ces questions, en mettant en commun des solutions, en partageant des retours d'expérience et en se gardant de désigner trop rapidement un ennemi, on peut tenter d'établir tous ensemble un début de vivre-ensemble. "Le fait même d'être réunis dans cette salle pour pas seulement discuter des solutions, mais aussi de prévention... voilà la preuve très encourageante que nous avons avancé sur cette question", se réjouit Francesca Bosco de l'Unicri, devant quelques hochements de tête dans le parterre des autres invités. Finalement, disserter ensemble sur la "cyberpaix" plutôt que craindre individuellement les cyberattaques est déjà une première avancée.

Quelque chose à ajouter ? Dites-le en commentaire.