Les cyberattaques sont en forte augmentation et menacent notre tissu économique. Face aux cyberattaques incessantes, des voix dans le secteur privé demandent un droit d’action dans le domaine de la cyberdéfense active. À cause de la nature interconnectée et globale de l’internet, autoriser des acteurs non étatiques à développer de telles pratiques aurait des répercussions internationales et pourrait stimuler une course à l’armement cyber privé.
de Lawrence Zünd
Il s’agit là d’une opportunité pour la diplomatie suisse de s’engager pour une meilleure gouvernance de l’internet. Régler la question à l’internationale permettrait d’éviter de voir des compagnies privées entraîner leurs gouvernements nationaux dans une escalade aux conséquences internationales, et freiner le cyber-mercenariat.
Il n’existe pas de définition partagée des mesures de cyberdéfense active (CDA), mais elles sont souvent décrites comme « hack back » ou « piratage de représailles » pour faire cesser une cyberattaque. Dans la cyber-stratégie suisse, la CDA est définie comme « mesures actives de détection des menaces, d’identification des agresseurs et de perturbation et d’arrêt des cyberattaques » en cours, provenant de l’étranger et ciblant nos infrastructures critiques. La loi sur le renseignement (LRens) et la loi sur l’armée (LAAM) définissent clairement et de manière très spécifique les conditions de leurs usages par l’État, mais n’encadre pas les pratiques du secteur privé. Au niveau international, comme le souligne le manuel de Tallinn 2.0, les « cyber-opérations menées par des acteurs non étatiques ne sont pas per se réglementées par le droit international » (pp. 168-176). L’Appel de Paris pour la confiance et la sécurité dans le cyberespace, signé par 81 États dont la Suisse, est le seul document international mentionnant la cyberdéfense active privée et « envisage des mesures pour empêcher les acteurs non étatiques de mener des actions cyber offensives en réponse à une attaque ».
Des menaces toujours en augmentation – une opportunité pour un marché privé de la cyberdéfense active ?
Les cybermenaces pèsent sur la Suisse de manière durable. Face à l’augmentation constante d’attaques, certains acteurs privés estiment que le gouvernement n’a pas les moyens de protéger sa souveraineté et ses entreprises. Ainsi, en 2015 déjà, le secteur bancaire a débattu de la question lors du Forum économique mondial de Davos (WEF), demandant une plus grande marge de manœuvre pour faire face aux cyberattaques, certains acteurs, dont les banques américaines, pressant pour une approche plus agressive. Malgré le silence qui entoure ce type de pratiques, une enquête menée en 2012 lors de la conférence Black Hat USA révélait que sur les 181 entreprises interrogées, 36 % avaient déjà effectué un piratage en représailles, et ce au moins une fois.
Une solution incomplète avec des conséquences néfastes
Des mesures de CDA en mains privées permettraient certes de répondre dans l’immédiat à un sentiment d’insécurité généralisée, mais ne comblerait en rien le manque d’investissement de la part du secteur privé et public dans la sécurité des infrastructures IT et l’éducation des usagers. Et surtout, bien que l’intention semble bonne -rendre l’internet plus sûr en donnant les moyens aux privés de se défendre activement- autoriser des entreprises privées à opérer à l’internationale risque de créer bien plus de problèmes pratiques et juridiques qu’elle n’en résout.
Étant donné la nature interconnectée de l’internet, toute mesure de CDA risque d’avoir des implications d’ordre pénal dans des juridictions étrangères et violerait des principes du droit international public, comme la non-ingérence et la souveraineté nationale. À cela s’ajoute le risque de voir des gouvernements connus pour leur tolérance vis-à-vis de cyberpirates actifs depuis leur territoire tirer profit de ces violations de leur souveraineté pour exercer des pressions diplomatiques ou développer un discours anti-occidental. Dans le contexte actuel d’instabilité géopolitique accrue, des entreprises privées pourraient ainsi entraîner involontairement leurs gouvernements dans des crises majeures aux répercussions bien réelles.
Finalement, dans un monde idéal, tous ces acteurs privés agiraient pour le bien commun. Cependant, dans les faits, aucune garantie n’a encore été trouvée pour nous préserver contre les dérives d’entreprises privées aux pratiques mercenaires.
La sécurité du cyberespace – un bien public que l’État se doit de garantir
Les initiatives privées sont essentielles et utiles, comme la création d’une cartographie mondiale des principaux syndicats de la cybercriminalité. Mais c’est à l’État que revient le monopole de l’usage légitime de la force et il se doit d’assurer un environnement sûr permettant à son tissu économique et social de prospérer. Les activités internationales d’acteurs non étatiques doivent être encadrées par le droit international et la Suisse a l’opportunité de porter le sujet au Conseil de Sécurité de l’ONU. La Suisse doit s’engager activement dans la rédaction du nouveau manuel de Tallinn 3.0. Enfin, comme le suggère l’Appel de Paris, il est essentiel de s’accorder sur une définition partagée à l’internationale de la cyberdéfense active, pour que des mesures passives ou positives ne se voient pas indûment interdites. Pour ce faire, nos cyber-diplomates doivent urgemment s’approprier un savoir précis et approfondi de la dimension cyber et de ses enjeux.
La Suisse, au travers de sa stratégie numérique, d’initiatives telles que le Dialogue de Genève et son implication dans le groupe d’experts gouvernementaux de l’ONU pour la promotion d’un comportement responsable dans le cyberespace, « préconise […] de poursuivre les discussions de l’ONU visant à clarifier l’application concrète du droit international existant […] » et « n’entend s’engager en faveur de la création de règles additionnelles dans ce domaine que si se dessinent des lacunes dans le droit international ». Or ces lacunes existent déjà et l’incapacité à les identifier révèle une méconnaissances des particularités du cyberespace. Notre diplomatie, plutôt que d’être proactive et permettre à la Suisse de devenir une pionnière des enjeux et problématiques cyber, tout en tirant profit de sa capacité d’innovation exceptionnelle et de ses centres de recherche reconnus mondialement, se place dans une position de réactivité lente, subissant les rapports de force et développements qui se jouent dans et autour du cyberespace. Une action plus proactive est nécessaire.