Avis d’Experts de CEIS sur la « convention de Genève numérique » en réponse à la prolifération des cyberattaques d’origine étatique.
Se posant en défenseur des internautes, Microsoft a proposé le 14 février dernier une Convention de Genève numérique en réponse à la prolifération des cyberattaques d’origine étatique (voir texte inital et contribution blog de Microsoft updatée en novembre ici).
Le géant du numérique appelle ainsi les Etats à élaborer et signer un acte internationalement contraignant qui aurait pour objet, à l’instar des conventions de 1949, la protection des civils contre les cyberattaques venant des Etats.
Plus qu’un effet d’annonce, Microsoft a dessiné les contours de cette convention et détaillé un certain nombre de règles pouvant être appliquées par les Etats.
A ce titre, si la proposition de Microsoft s’inscrit dans la logique et dans l’esprit des conventions de Genève relatives à la protection des civils, elle se distingue de ses dernières en proposant des mesures adaptées au numérique et se veut ainsi une convention nouvelle.
D’abord, l’une des principales nouveautés de cette convention réside dans son champ d’application. En effet, les dispositions des conventions de 1949 s’appliquent dans le cadre des conflits internationaux ou nationaux, donc en temps de guerre, alors que la proposition de Microsoft a vocation à s’appliquer en temps de paix.
Cette distinction peut paraitre surprenante puisque cette proposition concerne les cyberattaques d’Etats ou la « cyberguerre ». D’autant plus qu’il pourrait être simplement envisagé d’appliquer les dispositions des conventions de Genève de 1949 aux conséquences des cyberattaques.
Toutefois, la proposition de Microsoft se justifie et prend son sens par le fait que les cyberattaques ne prennent pas uniquement la forme d’attaques inter-étatiques mais sont plus généralement le fait d’acteurs privés agissant pour leur propre compte ou pour celui d’un Etat, contre un acteur lui aussi appartenant au secteur privé.
L’attaque de Sony Pictures attribué à la Corée du Nord en est un bon exemple.
Ensuite, si comme les conventions 1949, la proposition de Microsoft a pour objet la protection des civils, elle constitue cependant une convention autonome et nouvelle dans le contenu même des règles internationales qu’elle souhaite mettre en place.
Ainsi, la convention de Genève numérique prévoit de protéger tout particulièrement la propriété des civils, tels que les câbles sous-marins, les serveurs, les ordinateurs ou encore les données.
Pour ce faire, Microsoft propose dans sa convention d’introduire de nouvelles règles internationales spécifiques pour ce type de protection :
– L’interdiction du vol de propriété intellectuelle par les Etats;
– L’assistance des Etats au secteur privé pour la protection numérique;
– L’encadrement du cyber armement des Etats qui se traduit notamment par un engagement à la non-prolifération des cyber armes;
– La constitution d’une organisation internationale indépendante regroupant acteurs publics et privés chargées d’examiner les cyberattaques et de partager les preuves portant sur l’attribution d’une cyberattaque à un Etat.
Il est intéressant de remarquer que ces différentes règles évoquées par Microsoft s’inscrivent davantage dans le renforcement des recommandations du GGE (Group of Governmental Experts on Information Security ou GGE) sur les comportements responsables des Etats que dans la continuité des conventions de Genève de 1949.
Par exemple, le GGE recommande aux Etats de ne pas utiliser les cyberattaques pour endommager les infrastructures d’un autre Etat.
Dans sa convention, Microsoft souhaite renforcer ce principe en l’étendant aux infrastructures du secteur privé. De même, le projet d’une organisation internationale chargée d’examiner les cyberattaques et leur attribution avait été soulevé par le GGE et n’avait d’ailleurs pas recueilli l’unanimité des Etats.
Toutefois, les conventions de Genève ont bien inspiré la démarche de Microsoft qui a pour ambition la construction d’une « Suisse numérique » dans le secteur privé.
De la même façon que la Croix-Rouge, qui assure de manière neutre la protection quotidienne des civils à travers le monde, les entreprises du numériques doivent, selon Microsoft, prendre les mesures nécessaires pour la protection des internautes et des infrastructures numériques.
Notons cependant que les conventions de Genève ont posé deux critères permettant à une organisation de disposer de la légitimité internationale pour intervenir dans la protection des civils : la neutralité et l’adoption d’un signe distinctif. Or, il n’est pas certains que les entreprises du numérique remplissent aisément ces deux critères.
Car, à la différence de la Croix-Rouge, les entreprises du numériques poursuivent une activité à but lucrative et sont généralement guidées par leurs intérêts commerciaux, qui peuvent être bien différents des intérêts des internautes.
