L’Appel de Paris « Pour la confiance et la sécurité dans le cyberespace » de 2018 a le mérite d’être de portée universelle et non partisane. Il est soutenu par un grand nombre d’acteurs dont les signataires du Cybersecurity Tech Accord, dont Microsoft qui promeut l’idée d’une Convention de Genève du cyberespace. Bien que la place de Genève soit légitime pour abriter un dialogue international, la profusion d’initiatives contribue à nuire à la clarté des débats.
C’est à Genève que la première phase du Sommet mondial sur la société de l’information organisé par l’Union Internationale des Télécommunications (UIT) s’est déroulé en 2003, avec une ligne d’action intitulée « Établir la confiance et la sécurité dans l’utilisation des TIC ». La seconde phase du Sommet s’est déroulée à Tunis et a donné naissance en 2006 au Forum sur la Gouvernance de l’Internet (IGF), dont l’objet est de traiter des questions de politique publique de l’Internet.
C’est aussi à Genève sous les auspices de l’UIT, que la concertation internationale «Global cybersecurity agenda» a proposé, en 2008 des recommandations stratégiques de cybersécurité. Ces travaux constituèrent une avancée majeure en matière d’approche globale des questions légales, techniques, organisationnelles, de construction des capacités et de coopération. C’est lors de la 5ème édition de l’IGF, en 2009 qu’est présenté le document « A Global Protocol on Cybersecurity and Cybercrime » qui défend le besoin d’établir un traité international du cyberespace pour lutter contre les cyberattaques.
Diverses instances onusiennes, gouvernementales et intergouvernementales abordent depuis longtemps la problématique de la sécurité dans le cyberespace sous l’angle de la paix, de la stabilité, de la lutte contre la criminalité ou des mesures de confiance. En 2004, un groupe d’experts gouvernementaux est mis en place lors de l’assemblée générale des Nations Unies pour examiner les questions de sécurité et de stabilité dans le cyberespace et sur les impacts des développements des TIC sur la sécurité nationale. Un autre groupe est établi en 2019 pour promouvoir un comportement responsable des Etats dans le cyberespace dans le contexte de la sécurité internationale. Des experts gouvernementaux issus de 25 états membres travaillent en collaboration avec des organisations régionales (l’Union africaine, l’Union européenne, l’Organisation des États américains, L’Organisation pour la sécurité et la coopération en Europe et le Forum régional de l’association des nations de l’Asie du sud-est) (ASEAN).
À Genève, la Suisse a lancé en 2014 l’initiative « Geneva Internet Platform » et en 2019, la fondation Geneva Science and Diplomacy Anticipator. Fondé par Microsoft MasteCard et Hewlett Foundation, le CyberPeace Institute, s’est aussi installé à Genève ainsi que la Swiss Digital Initiative dont l’objet est de promouvoir de règles d’éthique universelles pour le numérique. Le Centre pour la cybersécurité du World Economic Forum (WEF) se situe également à Genève.
Toutes ces initiatives ne peuvent faire oublier que le premier instrument de lutte contre la cybercriminalité est issu en 2001, du Conseil de l’Europe. La Convention sur la cybercriminalité est ratifiée à ce jour par 65 pays. Cela a permis de mettre en place un droit pénal et procédural, ainsi que des structures organisationnelles autorisant l’entraide judiciaire internationale pour lutter contre la cybercriminalité. L’Europe, y compris avec son approche de la protection des données personnelles (RGPD) est à considérer comme un acteur majeur de la régulation des pratiques criminelles ou abusives du cyberespace. Cela a été réaffirmé par la déclaration du haut représentant au nom de l’Union européenne en février dernier « L’Union européenne et ses États membres soulignent leur détermination à continuer de promouvoir un comportement responsable dans le cyberespace par l’application du droit international, de normes visant à un comportement responsable des États et de mesures de confiance au niveau régional, ainsi que par l’intermédiaire du cadre de l’UE pour une réponse diplomatique conjointe face aux actes de cybermalveillance».
D’autres approches régionales ont vu le jour à travers divers textes relatifs à la cybersécurité et plus de 125 pays ont signé ou ratifié des accords concernant la cybersécurité (Appel de Paris, Commonwealth Cyber Declaration, Déclaration du sommet des pays du BRICS, Déclaration du Sommet du G-20 de Buenos Aires, …)..
Si la pluralité des débats contribue à augmenter la sensibilisation à ces questions et le nombre d’acteurs concernés, cela implique souvent une certaine duplication des efforts, des réponses fragmentées et surtout une grande confusion des rôles et finalités. Cela contribue à rendre incompréhensible l’écosystème « normatif » et difficile l’élaboration de mesures concrètes qui instancient des recommandations de haut niveau en des textes de lois contraignants dont l’applicabilité serait vérifiée. Le brouhaha induit par ces initiatives, leur manque d’harmonisation, la forte implication du secteur privé, une société civile peut active ou inféodée au privé, font écran à un véritable débat multi-latéral.
Si l’on peut saluer l’engagement du secteur privé à tenter de résoudre des problèmes, dont il est, pour certains, en partie à l’origine, on peut s’interroger sur la finalité de leurs démarches qui en favorisant des déclarations génériques basée sur des déclarations d’intentions non vérifiables, limitent la survenue d’une régulation contraignante.
Pourquoi n’existe–t-il toujours pas de produits numériques certifiés « sans vulnérabilité par conception » et « sans porte dérobée constructeur » et dont le niveau de sécurité soit certifié (Security by design).
Fort de l’expérience de la Convention de lutte contre la cybercriminalité de l’UE, de la pertinence et de l’applicabilité de ses principes, pourquoi ne pas les transcrire dans une convention internationale ?
Dans l’attente la Chine choisi une autre voie, toujours à Genève, celle de la normalisation internationale via le bureau des standards de l’Union Internationale de Télécommunications (ITU-T) où elle a déposé en septembre 2019, une demande d’initialisation d’une réflexion sur le futur des réseaux, pour une refonte de l’architecture IP. Une opportunité pour renforcer le dialogue international et renforcer une réelle approche multilatérale pour débattre des questions liées à la maitrise des technologies de l’Internet, des infrastructures, des données et services dont nous sommes devenus dépendants. La maitrise de l’outil mondial de production du numérique, qui se décline en puissance et pouvoir politique, économique et technologique, constitue l’enjeu du siècle.