11 normes pour engager un comportement responsable des États dans le cyberespace
Les technologies numériques influencent la transformation de l'économie, de la société et des relations internationales. En tant que pôle économique et de recherche, la Suisse souhaite maintenir sa place privilégiée aux côtés des autres acteurs les plus compétitifs au monde. Elle soutient activement le cadre normatif de l’ONU pour engager un comportement responsable des États dans le cyberespace et y favorise la coopération multilatérale.
Les 11 normes facultatives établissant ce que les États devraient et ne devraient pas faire dans le cyberespace.
De nos jours, des flux de données et informations sensibles transitent continuellement par le cyberespace et le développement rapide des technologies offrent de nombreuses opportunités pour la prospérité économique, le développement durable et l’évolution de notre société. Malheureusement, elles sont aussi souvent détournées de leur usage initial, que ce soit à des fins de restrictions sur l’internet et de limitations des droits humains et des libertés fondamentales, de vol de données ou de cyberattaques.
De fait, la cybersécurité fait partie des défis majeurs auxquels sont confrontés tous les États à l’ère contemporaine et le cyberespace est aujourd’hui au cœur des tensions géopolitiques internationales qui cristallisent les points de vue divergents sur le rôle de l'État dans la régulation de l'Internet.
La cybersécurité est un sujet important à l'ONU
La cybersécurité internationale est à l’ordre du jour de l’ONU depuis près de 20 ans. Plusieurs groupes de travail y ont été créés pour favoriser les échanges et le dialogue entre experts et représentants gouvernementaux sur les menaces potentielles pour la paix et la sécurité internationales qui peuvent découler des technologies de l'information et de la communication.
Les discussions à l’ONU ont permis une meilleure compréhension des risques liés à l’utilisation du cyberespace et ont abouti à la définition d’un cadre normatif pour y faire face. Le but recherché étant d’instaurer un climat de confiance entre les États et de permettre une meilleure coopération entre les pays développés et en voie de développement.
Depuis 2004, cinq groupes d’experts gouvernementaux sur la cybersécurité (Groups of Governmental Experts, GGEs), incluant les représentants de 15 à 25 États membres se sont réunis. Un sixième est en cours (2019-2021). Le GGE est chargé d’étudier des risques qui se posent ou pourraient se poser dans le cyberespace et d’examiner des mesures collectives qui pourraient être prises pour y parer. La Suisse y participe pour la deuxième fois après 2016/2017.
En parallèle, l’ensemble des États membres des Nations unies est représenté depuis 2019 au sein d’un groupe de travail à composition non limitée (Open-Ended Working Group, OEWG) présidé par l’Ambassadeur suisse Jürg Lauber. C’est la première fois que l’ensemble de la communauté internationale s’est engagée concrètement pour la transposition et la mise en œuvre des mesures proposées par les GGE. Parmi elles, l’application et le respect du droit international (et en particulier la charte des Nations unies) et des normes facultatives.
Le cadre de l’ONU en quatre piliers et 11 normes facultatives
Le cadre normatif développé par les GGE en faveur d’un comportement responsable des États dans le cyberespace est fondé sur quatre piliers: le droit international, 11 normes facultatives établissant ce que les États devraient et ne devraient pas faire dans le cyberespace, des mesures variées pour soutenir la confiance mutuelle entre les pays – renforçant notamment la transparence, la prévisibilité et la stabilité de l’ordre international – et le renforcement des capacités. Le 12 mars 2021, tous les États membres des Nations unies ont adopté le rapport final du OEWG, confirmant ainsi ce cadre.
Parmi les 11 normes visant à favoriser un comportement responsable des États dans le cyberespace, huit appartiennent à des actions que les Etats souhaitent encourager, alors que les trois autres sont des normes que les États sont appelés à éviter. Il s’agit avant tout de favoriser la coopération interétatique, respecter les droits fondamentaux, protéger les infrastructures essentielles, assurer la sécurité des chaînes logistiques mondiales, prêter assistance quand celle-ci est requise et prévenir l’utilisation malveillante des technologies numériques sur leur territoire national.
La Suisse soutient l’ONU dans sa mission en faveur du dialogue
En tant que pays fortement interconnecté, la Suisse a intérêt à ce que «le droit prime sur la force», également dans le cyberespace. C’est pourquoi, elle a élevé la sécurité du cyberespace au rang d’objectif prioritaire de sa stratégie de politique extérieure 2020-2023. Une stratégie thématique dédiée à l’évolution du numérique en Suisse et à l’international a été adoptée fin 2020 et détermine un cadre d’action précis pour la période 2021-2024.
En cohérence avec sa politique extérieure numérique, la Suisse soutient ainsi les différentes normes internationales énoncées par l’ONU et souhaite désormais coopérer pour permettre leur opérationnalisation, leur mise en œuvre concrète et leur universalisation. Elle soutient l’ONU dans sa mission en faveur du dialogue et de la coopération multilatérale dans le champ des technologies numériques et participe activement tant au GGE qu’à l’OEWG. Les deux groupes de travail bénéficient de mandats similaires et ont comme but commun de renforcer l’efficacité des mesures convenues. Mais par-delà les normes internationales établies par les membres des Nations unies, la Suisse fait également le vœu que chaque nation s’engage en faveur d’un respect réciproque dans le cyberespace sur une base volontaire, fondamentale pour renforcer la confiance et la coopération mutuelles entre les États et assurer une bonne gouvernance du cyberespace.
La Suisse en tant que pôle économique et de recherche, et État hôte de nombreuses organisations internationales, doit maintenir sa place privilégiée aux côtés des autres acteurs les plus compétitifs au monde. La cybersécurité et l’étude des cyberrisques la concernent dès lors à plusieurs niveaux, tant pour protéger ses citoyens, ses institutions, ses entreprises et les organisations implantées sur son territoire, mais aussi pour garantir l’accès à un internet libre, ouvert, sûr, stable, accessible et pacifique pour tous. La Confédération transpose ainsi l’ensemble des valeurs fondamentales qui guident son action également dans le domaine virtuel et promeut le rôle de la Genève internationale.
Des stratégies complémentaires pour une politique extérieure cohérente
Dans sa stratégie de politique extérieure 2020-2023, publiée fin janvier 2020, le Conseil fédéral a défini des objectifs généraux en s’appuyant sur une analyse du contexte mondial actuel ainsi que des évolutions et tendances susceptibles d’avoir un impact à l’avenir.
Pour que la Suisse puisse mettre en œuvre sa politique extérieure de manière coordonnée et cohérente à l’échelle de toutes les régions du monde, il importe que les stratégies soient complémentaires. Tandis que la stratégie de politique extérieure formule les objectifs prioritaires et définit l’orientation générale, les stratégies régionales et les stratégies thématiques définissent les priorités dans des domaines et régions donnés. La Stratégie de politique extérieure numérique 2021-2024 en fait partie.
Interview de Nadine Olivieri Lozano
L’espace numérique est créateur de grandes opportunités pour la prospérité internationale tant est qu’il ne soit pas mis à genou par des activités malveillantes qui menacent la stabilité et la sécurité internationales. De quel type de menaces parlons-nous ?
Tout d'abord, je tiens à souligner que c’est l’utilisation malveillante de la technologie qui peut constituer une menace, et non la technologie en tant que telle. Par ailleurs, nous parlons d'incidents graves, qui peuvent menacer la paix et la sécurité internationales. Ces dernières années, nous avons constaté une augmentation des incidents impliquant l’utilisation malveillante des technologies de l’information et des communications (TIC) par des acteurs étatiques et non étatiques, par exemple pour attaquer des infrastructures critiques. En Ukraine, le réseau électrique national a été attaqué; en Suisse, l'entreprise d'armement RUAG ; en Pologne, ce sont les sites web de l'État qui ont été piratés pour diffuser des informations erronées. De telles informations erronées ont également été utilisées pour tenter d'influencer les élections aux États-Unis. Les attaques contre les hôpitaux pendant la pandémie de COVID-19 ont été particulièrement graves, car des vies humaines ont été directement mises en danger. Enfin, les attaques contre les entreprises technologiques et leurs logiciels, comme dans le cas de Solarwinds, peuvent également constituer une grande menace, car de nombreux États et gouvernements utilisent ces logiciels.
Pourquoi ces 11 normes facultatives sont-elles nécessaires ?
Ces normes réglementent de manière simple et compréhensible ce que les États peuvent et ne peuvent pas faire dans le cyberespace. Elles sont fondées sur le droit international existant et le complètent. On pourrait également dire qu'il s'agit des "11 commandements" d'une conduite responsable des États dans le cyberespace. Si les États suivent et appliquent ces "commandements", leur comportement est plus prévisible. La sécurité est ainsi renforcée et les conflits peuvent être évités. C'est important pour un cyberespace libre, ouvert, sûr et pacifique.
De quelle manière la Suisse a-t-elle contribué à l’établissement du cadre normatif de l’ONU ?
Les bases du cadre normatif ont été posées dans les rapports 2013 et 2015 des GGE. La Suisse n'était pas membre des GGE à l'époque, mais tous les Etats membre de l’ONU, y compris la Suisse, ont approuvé ce cadre. Le cadre normatif n'est cependant pas quelque chose de statique. C'est comme les fondations d'une maison sur lesquelles on peut construire. La Suisse y contribue, par exemple par sa participation au GGE (2019-2021) et au OEWG. Dans ce contexte, mais aussi au sein de l'OSCE, elle prône l'application, le respect et l'exécution du droit international et contribue à la clarification et à la mise en œuvre de normes facultatives ou de mesures de confiance. Elle contribue également au renforcement des capacités, notamment dans le domaine du droit international.
Est-il suffisant d’appliquer le droit existant dans le cyberespace ou celui-ci nécessite-t-il l’établissement de nouvelles règles ?
Du point de vue de la Suisse, il n'y a pas besoin de nouvelles règles pour le moment. Avant de pouvoir élaborer de nouvelles règles, nous devons d'abord savoir clairement comment le droit existant est appliqué dans le cyberespace. Tous les États membres de l'ONU viennent de confirmer au sein du OEWG que le droit international s'applique également au cyberespace. Pour certaines règles, cela est relativement simple. Un exemple : l'interdiction de la violence s'applique également au cyberespace. Pour d'autres règles, en revanche, il convient d'examiner plus en détail les modalités de leur mise en œuvre. Cela s'applique, par exemple, aux règles du droit humanitaire international, c'est-à-dire à ce que les États peuvent et ne peuvent pas faire en cas de guerre utilisant des TIC. Ce n'est que lorsque nous aurons clarifié ces questions que nous pourrons évaluer si de nouvelles règles sont nécessaires.
Comment la Suisse peut-elle contribuer à un meilleur respect du droit international dans le cyberespace ?
Elle peut le faire, tout d'abord, en œuvrant constamment au sein des Nations unies et d'autres organisations internationales pour faire respecter et renforcer le droit international. La Suisse l'a fait au sein du OEWG et continue de le faire au sein du GGE. Mais elle peut aussi contribuer à clarifier la manière dont les règles du droit international doivent être appliquées concrètement dans le cyberespace en indiquant comment la Suisse voit les choses. En définissant et en faisant connaître sa position, la Suisse contribue ainsi à une plus grande sécurité juridique. Cela lui permet aussi d’influencer l'élaboration de la position internationale dans le cyberespace dans son propre intérêt. Troisièmement, elle peut contribuer concrètement à une meilleure clarification et à une compréhension commune de l'application du droit international en organisant des dialogues entre les États.