Lors d’une conférence le 24 avril à l’École de Guerre Économique (EGE) organisée par le club Cyber, un représentant de la sous-direction des affaires stratégiques et de la cybersécurité du ministère de l’Europe et des Affaires étrangères, a présenté le rôle et l’action de la diplomatie française. Il a pu détailler les dispositifs mis en place au niveau international pour répondre à la question de la sécurité et de la stabilité du cyberespace.
Au sein du ministère de l’Europe et des Affaires étrangères (MEAE), la prise en compte de l’importance de la cybersécurité dans les enjeux diplomatiques fut graduelle. Ce cheminement de la diplomatie française fut concomitant à la création de l’Agence nationale de la sécurité des systèmes d’informations (ANSSI). Par ailleurs, l’action du MEAE se coordonne avec d’autres services de l’État, rattachés aux services du Premier ministre tels que l’ANSSI, ou rattachés au ministère des Armées tels que le COMCYBER ou la DGSE, mais aussi les services du ministère de la justice.
Cela fait donc une dizaine d’années que la diplomatie cherche à apporter une coordination internationale afin d’éviter les conflits cyber ; mais il est important de rappeler que la cybersécurité n’est qu’un des enjeux numériques traités au MEAE. En effet, ce sujet s’articule avec les autres enjeux numériques, parmi lesquels : les droits de l’Homme en ligne, la gouvernance de l’internet ou encore la lutte contre la pédopornographie, qui eux sont traités par un « ambassadeur pour le numérique ».
Le cyber-diplomate partage ses missions en trois grands objectifs :
- La prévention des crises cyber
Dans un premier temps, la cyber diplomatie tend à éviter que les États ou les acteurs non-étatiques s’affrontent au sein du cyberespace. Pour cela, elle accompagne le développement capacitaire de cyberdéfense de la France dans sa dimension internationale par le développement de coopérations interétatiques dont les périmètres varient selon les pays. Aussi, il est possible de développer au sein des organisations régionales des mécanismes pour renforcer la confiance et la capacité de la France à prévenir les crises. L’Union européenne et l’OTAN participent activement à la mise en place d’axes de travail afin de permettre aux Etats membres d’échanger et de s’entraider sur ces questions. Des espaces de dialogues sont organisés entre les Etats, de sorte que chacune des parties expose les mesures prises afin qu’elles soient comprises par les autres États.
- Le développement d’une doctrine pour gérer les crises cyber dans une dimension internationale
Cet objectif est l’expression de mécanismes politico-diplomatiques qui s’ajoutent aux discussions des experts techniques. Dans le cadre de la coordination interministérielle, le MEAE à un rôle de facilitateur ; il aide à créer des mesures de confiance qui permettent de gérer la crise de manière plus sereine par des mécanismes bilatéraux ou multilatéraux. Grâce à la mise en place de cette doctrine, les Etats connaissent leur interlocuteur à l'avance, savent de quelle façon transmettre des informations. Définir les agissements à l’avance, réfléchir en amont, permet ainsi d’adopter le meilleur comportement en cas de crise et ainsi de la gérer au mieux.
La France a, par exemple, travaillé au renforcement de sa gouvernance et a réfléchi à l’interprétation du droit international dans le cyberespace, notamment pour comprendre les leviers disponibles en cas de crises internationales cyber.
- La régulation du cyberespace
Cet objectif doit permettre de définir les normes applicables dans cet environnement. Le cyberespace est souvent perçu, à tort, comme une zone de non droit ; mais le droit international s'applique dans le cyberespace comme il trouve à s'appliquer dans les espaces maritimes ou terrestres. Il faut pourtant comprendre comment ces règles s'appliquent dans le cyberespace. « Existe-t-il un droit de légitime défense dans le cas d'une cyber-attaque comme cela pourrait être le cas pour une agression armée ? »
En réponse à cette question, certains États estiment que la légitime défense s’applique, d'autres non. Cette disparité souligne l’importance de la coopération et du dialogue.
Plusieurs cycles de négociation concernant les normes de comportements à adopter dans cet espace se sont mises en place au niveau des Nations unies. En 2013, l’applicabilité du droit international au cyberespace a été reconnue, puis en 2015, onze normes de comportements responsables, juridiquement non-contraignantes, ont été adoptées. On retrouve parmi ces normes l’interdiction d’attaquer les CERT, l’obligation de protéger les infrastructures critiques et la gestion responsable des vulnérabilités par les Etats.
Ces décisions sont prises au cours de négociations qui regroupent vingt-cinq experts gouvernementaux désignés par le secrétaire général des Nations unies. Ces experts se réunissent quatre fois par an pour discuter de toutes les questions relatives à la gouvernance dans le cyberespace. Lors de la dernière séance, les Etats n’ont pas réussi à trouver un consensus : certains États se sont opposés à l'applicabilité du droit international humanitaire au cyberespace, car ils estiment que cela entrainerait une "militarisation" trop importance de cet espace.
Après ces négociations internationales infructueuses, la France a décidé de mettre l'accent sur la responsabilité des acteurs privés. Ces derniers possédant une large part de l'infrastructure d'internet, il devient nécessaire pour les États de les considérer dans les discussions à venir. En effet, certains acteurs privés, par leur poids, ont acquis un rôle systémique ; une faille dans leur produit peut alors avoir des conséquences considérables à l’échelle planétaire.
De ce fait, des normes non-contraignantes ont été mises en place pour les acteurs non-étatiques. En novembre 2018, l’« Appel de Paris pour la confiance et la sécurité dans le cyberespace » a proposé un plan d’action au niveau international tout en émettant des recommandations. Ce texte politique, soutenu par plusieurs Etats mais aussi des centaines entreprises privées et des acteurs de la société civile, a permis de fédérer un certain nombre d’acteurs et de faire un premier pas vers l’opérationnalisation des normes.
Club Cyber de l’AEGE