Microsoft veut une « Suisse du numérique » pour policer le cyberespace
Percevant le cyberespace comme le « nouveau terrain de bataille » entre États, Microsoft en appelle à une « Convention de Genève du numérique ».
Genève, le 12 août 1949. Cinquante-neuf États réunis à l’initiative du gouvernement suisse signent quatre conventions, dont l’une relative à la protection des personnes civiles en temps de guerre.
La RSA Conference aura été l’occasion, pour Brad Smith, d’en appeler à des engagements similaires en matière de protection des civils sur Internet en temps de paix.
Donnant l’exemple du Sony Hack, que les États-Unis attribuent à la Corée du Nord, le président de Microsoft affirme que « le cyberespace est le nouveau terrain de bataille »… et que les nations n’hésitent plus à s’y engager*.
Or, « nous faisons tous partie » de cet espace dont les infrastructures constitutives « relèvent de la propriété privée », poursuit-il.
La solution ? Se réunir entre acteurs de l’industrie technologique pour pousser les pouvoirs publics à faire de même, dans l’optique de « construire une Suisse du numérique, neutre, en laquelle tout le monde puisse avoir confiance ».
Brad Smith est formel : il faut s’inscrire dans l’élan donné à l’été 2015, lorsque 20 nations avaient adopté un socle réglementaire imposant notamment de ne pas prendre pour cible des infrastructures critiques.
Quelques semaines plus tard, la Chine et les États-Unis avaient pris – sous la forme d’un « pacte de non-agression – des résolutions en matière de propriété intellectuelle. Le G20 avait donné son approbation en fin d’année.
Une Croix-Rouge du numérique
Rappelant que les partenaires réunis en 1949 avaient « saisi l’importance de s’appuyer sur une organisation privée » (en l’occurrence, le Comité international de la Croix-Rouge, « gardien du droit international humanitaire »), Brad Smith suggère aux entreprises du numérique de répliquer le modèle.
La coalition qui en résulterait s’engagerait, entre autres, à ne pas faciliter les attaques menées par des États, à accompagner les efforts de cyberdéfense des gouvernements et à coordonner la divulgation des failles de sécurité.
La collaboration avec les pouvoirs publics pourrait se faire sous l’égide d’une organisation à l’image de l’Agence internationale de l’énergie atomique, qui cherche à promouvoir les usages pacifiques de l’énergie nucléaire et à limiter le développement de ses applications militaires.
Lesdits pouvoirs publics devront néanmoins « jouer le jeu », que ce soit en acceptant de signaler aux acteurs concernés les vulnérabilités découvertes par leurs soins ou en promettant de limiter la portée des cyberarmes qu’ils développent.
* Brad Smith faut référence à une vague d’attaques dont l’origine remonterait à l’été 2016 et basée sur de faux noms de domaines vers lesquels les victimes sont redirigées par l’intermédiaire d’e-mails malveillants (phishing).
Crédit photo : capture d’écran – intervention de Brad Smith