#1

Cyberespace, de la stratégie des acteurs aux enjeux de sécurité nationale, (2/2)

Dans ce second volet de notre entretien, Alix Desforges, chercheuse en cyberstratégie, décrit les rapports de force entre États et géants du web et leurs enjeux en matière de sécurité nationale. Elle trace le chemin critique des nouveaux risques et des dangers du phénomène « cyber » (virtualité, attaques, marché de la data) pour orienter la réflexion sur la gouvernance du cyberespace.

Sur-Mesure : Dans notre premier entretien, nous évoquions les rapports de force entre États au sein du cyberespace. Intéressons-nous à présent au rôle des géants du web dans ce jeu d’acteurs géopolitique… Pour commencer, un tel rapport de force géopolitique ou stratégique entre géants du web et États existe-t-il et de quelle nature est-il ?

Alix Desforges : Les géants du web ont acquis aujourd’hui un rôle important parmi les acteurs du cyberespace. Les États prennent de plus en plus conscience de l’impact de l’activité de ces plateformes sur leurs capacités à exercer leur souveraineté. Les capacités de l’État à prélever l’impôt, réguler les activités commerciales ou encore assurer sa sécurité sont remises en cause par l’activité de ces plateformes.

Et ce sont les actes de terrorisme qui ont fait prendre conscience de l’impact de ces plateformes sur l’exercice de la souveraineté des États. Pour assurer la sécurité nationale, prérogative éminemment régalienne, l’État doit désormais s’appuyer sur les services offerts par ces nouveaux acteurs, largement utilisés par les terroristes. En effet, les États ont besoin de ces plateformes pour déréférencer des sites, supprimer des comptes et des contenus nuisibles, etc. Cette coopération ne va pas de soi et a suscité, au début, des tensions entre les acteurs. Cela fut le cas en France, en 2013, quand la ministre Najat Vallaud-Belkacem a demandé à Twitter de communiquer à la justice française les identités associées aux comptes ayant publié des contenus antisémites, en violation de la loi française. Twitter a, dans un premier temps, refusé d’accéder à cette demande, s’appuyant sur le fait que l’entreprise répondait au droit américain, beaucoup plus souple en matière de liberté d’expression. Il a fallu plusieurs mois de négociations pour que Twitter finisse par accepter de communiquer les informations demandées par la justice française. Cet exemple montre que les géants du web sont désormais des acteurs centraux de la géopolitique du cyberespace. Au-delà des questions de sécurité, ils posent aussi de nombreux défis démocratiques et économiques.

Les géants prennent également de plus en plus d’importance dans le développement même des réseaux, notamment dans les régions du monde qui sont les moins connectées et où les infrastructures sont peu développées. Les plateformes ont bien saisi ces opportunités de développement dans les nouveaux pays émergents. Google développe par exemple des ballons stratosphériques dans le but de connecter les régions les plus reculées. De son côté, Facebook a mis en place l’initiative Internet.org dont l’objectif est de garantir gratuitement l’accès à un certain nombre de services en ligne « de base », les Free Basics. Cette initiative pose plusieurs questions. D’abord Facebook fixe lui-même les règles permettant de faire partie de ces service considérés « de base ». Et surtout, l’initiative contrevient au principe de neutralité du net en favorisant l’accès à des services choisis au détriment des autres. Or la neutralité du net vise à garantir l’accès à toutes les informations quelle qu’en soit l’origine, le destinataire et le volume de données qu’elles représentent. Autrement dit, ne donner aucune priorité d’une information par rapport à une autre. En Inde, alors que le service était déjà lancé, le régulateur télécom a décidé d’interdire les Free Basics au nom de ce principe de neutralité du net. Outre l’opportunité commerciale et économique de telles initiatives, les géants du web ont aussi une ambition politique : connecter le monde entier.

D’autre part, il faut bien percevoir que par l’ensemble de leurs activités, les plateformes captent un nombre considérable de données, dont des données personnelles. Les données sont l’or noir du XIXème siècle. L’économie de la donnée est en pleine expansion et soulève de nombreux débats, par exemple sur la propriété de la donnée et sur ce qu’en font les plateformes. Au-delà de leur capacité de collecte, c’est la capacité de croisement des données qui font, des plateformes, des acteurs de plus en plus puissants. Des chercheurs de l’INRIA affirment que Google a plus de connaissance sur l’état de santé d’une population que les services des États eux-mêmes grâce aux recherches effectuées par les internautes. Cela leur permet par exemple d’avoir une idée précise de l’évolution d’une épidémie de grippe.

Sur-Mesure : Compte tenu du rapport ambivalent existant entre les Etats et les plateformes, et entre les États eux-mêmes, quelle sont les moyens de régulations des rapports existants aujourd’hui, et plus globalement, une gouvernance d’Internet est-elle possible ?

Alix Desforges : Il existe une gouvernance de l’Internet mais elle n’aborde ces questions de coopération entre États et plateformes que de façon périphérique. Ce que l’on appelle « gouvernance de l’Internet » recouvre l’élaboration et l’application de principes, normes, règles, etc. propres à modeler l’évolution et l’usage de l’Internet. Ces principes sont partagés et élaborés non pas uniquement par les États mais avec l’ensemble des parties prenantes comprenant donc aussi le secteur privé et la société civile. La gouvernance porte en particulier sur les aspects techniques de l’Internet afin de garantir que ce grand réseau continue de fonctionner partout dans le monde.
Sur les questions de coopération avec les plateformes que nous évoquions, il existe plusieurs textes juridiques principalement relatifs à la lutte contre la cybercriminalité. La coopération entre les États et le secteur privé y est reconnue comme indispensable. Elle s’opère aujourd’hui par procédures internationales de coopération judiciaire qui sont souvent très longues, trop longues pour être réellement efficaces dans un monde numérique où les preuves numériques peuvent disparaître rapidement. Récemment, les plateformes et les gouvernements ont amorcé un rapprochement relatif à certains sujets comme la lutte contre les contenus haineux ou extrémistes afin d’améliorer le temps de réaction.

La difficulté pour les plateformes est d’adopter une attitude cohérente à l’échelle internationale alors qu’elles font face à l’augmentation des demandes des États aux législations disparates. Des contenus jugés illégaux dans un pays ne le sont pas forcément dans un autre. L’enjeu pour les plateformes est de continuer à opérer leurs activités dans le monde entier tout en profitant du système le plus souple. Pour assurer cette cohérence, elles utilisent leurs conditions générales d’utilisation (CGU) validées par tous leurs utilisateurs qui font office de juridiction de référence pour toute l’activité sur leur page internet, peu importe le lieu de résidence de l’internaute ou de sa nationalité. Il existe cependant de nombreux cas dans lesquels les tribunaux nationaux affirment être compétents, au détriment de ce que mentionnent les CGU.

Sur-Mesure : Quelles sont les nouvelles questions de sécurité posées par l’émergence du cyberespace ? Le cyberespace modifie-t-il l’identification des risques ?

Alix Desforges : L’appréhension des menaces issues du cyberespace est difficile en raison de l’intrication d’un grand nombre d’enjeux. Le cyberespace bouscule plusieurs aspects de l’exercice de souveraineté des États. L’exercice de la sécurité et de la justice sont particulièrement mis à mal. Mais il bouleverse également le « droit de battre monnaie » (on voit en effet de nouvelles monnaies émerger, comme le Bitcoin) ou encore la levée de l’impôt avec les difficultés que l’on connaît en matière de fiscalité des géants du web.

Sur les questions de sécurité, les réseaux sont un outil discret, anonyme, rapide, facile, avec une capacité d’action à distance pour déstabiliser un État grâce aux attaques informatiques. La menace émane d’une grande variété d’acteurs (individus isolés, mafias, entreprises, etc.) mais les acteurs les plus redoutables et qui sont aussi à l’origine des attaques les plus dangereuses, ce sont les États. Et les États connaissent de grandes difficultés à juguler cette menace car il est impossible pour un système informatique d’être sûr à 100%. C’est pour cette raison qu’il est nécessaire d’aborder la menace par le biais de la gestion du risque. L’objectif est avant tout de limiter les dégâts (cibler les moyens de protection sur le volet stratégique) et de savoir gérer la crise quand elle arrive plutôt que de vouloir croire à une ligne Maginot qui ne peut exister. Il existe ainsi des tentatives d’encadrement et de régulation des comportements des États. Par exemple au niveau de l’ONU, un groupe d’experts gouvernementaux (UNGGE) cherche à élaborer depuis plusieurs années des normes de comportement responsable des États dans le cyberespace. Mais ces normes n’ont aucune valeur contraignante et plusieurs révélations montrent que certains États ont déjà enfreint certaines d’entre elles.

Sur-Mesure : Minimise-t-on donc les enjeux en matière de sécurité dans la « sphère réelle » ? Quelle analyse peut-on faire de ces enjeux pour la « ville numérique », dans le cadre des réflexions menées autour de la « smart city » ?

Alix Desforges : Je voudrais d’abord préciser que je ne crois pas à la séparation virtuel/réel même si c’est une simplification de langage. Ce qui se passe dans le cyberespace n’est que le prolongement des rivalités géopolitiques de la « sphère réelle ». Pour répondre à votre question, aujourd’hui beaucoup d’États et d’entreprises ont pris conscience des enjeux posés pour leur sécurité par le cyberespace. Cette prise de conscience a souvent eu lieu suite à une attaque informatique d’ailleurs. Désormais, les questions de cybersécurité sont devenues une priorité stratégique traitée au plus haut niveau dans de nombreux États, dont la France. Au sein des entreprises, la situation est plus disparate. Les grands groupes et opérateurs d’infrastructures critiques (gestion d’énergies, transports, etc.) ont pris conscience des enjeux et engagent des moyens de protection. En revanche, au niveau PME, la situation est plus préoccupante. Il semble absolument nécessaire de poursuivre la sensibilisation à leur encontre pour faire monter leur niveau de cybersécurité.

Concernant la smart city, il me semble que dans les débats sur cette question, les enjeux de sécurité ne sont pas très présents. On insiste beaucoup sur les opportunités économiques et sociales de la smart city sans forcément prendre conscience des risques de sécurité qu’elle peut induire. Si du côté des experts en cybersécurité le risque est connu, il semble que ceux qui s’intéressent au développement des smart cities ne sont que peu sensibilisés à ces questions de sécurité. Ce sont deux mondes qui n’échangent pas forcément alors que les enjeux sont considérables et que la sécurité devrait être intégrée dès le début de la conception de la smart city.

Sur-Mesure : Comment ont évolué les moyens mis en place pour lutter contre les cyberattaques en France ces dernières années ?

Alix Desforges : Les moyens mobilisés sont croissants ces dernières années. En 2009, en France, est créée l’Agence nationale de sécurité des systèmes d’informations (l’ANSSI). Depuis, ses moyens humains et financiers n’ont fait qu’augmenter et de façon très significative en ces temps de restrictions budgétaires. L’ANSSI est une agence interministérielle sous l’autorité du Premier Ministre en charge de la cybersécurité des réseaux informatiques de l’État. Elle est également en charge de définir les standards de sécurité des opérateurs d’infrastructures critiques et peut intervenir auprès de ces opérateurs dont l’activité est nécessaire à la vie de la Nation en cas de crise. Côté ministère de la Défense aussi les moyens ont fortement progressé. Ses effectifs et ses ressources se sont développés et ont été restructurés notamment avec la création en début d’année (2017) d’un nouveau corps d’armée dédié au cyber, le Cyber Command.

Sur-Mesure : On parlait aussi de la capacité à collecter et traiter les données comme un nouvel enjeu de pouvoir. Quels sont les enjeux en matière de politique de gestion de données pour protéger les utilisateurs ?

Alix Desforges : En Europe, le cadre juridique en matière de données personnelles est élaboré au niveau de l’Union Européenne. L’objectif est d’assurer un équilibre entre la protection des données, les enjeux économiques et les impératifs sécuritaires. Ainsi, la politique de protection des données personnelles est un enjeu majeur. Elle fait l’objet d’importantes rivalités politiques, commerciales et internationales. Ces rivalités se sont par exemple illustrées lors de l’invalidation du Safe Harbor par la Cour de Justice de l’Union Européenne (CJUE). Ce cadre juridique entre l’UE et les États-Unis permettait le transfert des données personnelles de l’UE vers les États-Unis dans le cadre de l’activité des entreprises en considérant que les garanties de sécurité (protection des données, respect de la vie privée) américaines étaient conformes aux standards européens. Suite aux révélations d’Edward Snowden et suite à une plainte déposée par un étudiant en droit autrichien, Max Schrems, la CJUE a estimé que les garanties de sécurité n’étaient plus assurées et a donc invalidé l’accord du Safe Harbor. De nouvelles négociations ont été ouvertes entre l’UE et les États-Unis pour mettre en place un nouveau cadre juridique, le Privacy Shield qui a également fait l’objet de vives critiques dès le début des négociations.

Mais la question de la maîtrise des données est encore naissante en Europe et la prise de conscience est récente. Ainsi, l’ANSSI, dans sa stratégie pour le numérique publiée en octobre 2015, a dénoncé l’oligopole des grandes entreprises qui récoltent et exploitent de grandes quantités de données. En revanche, l’appréhension des enjeux stratégiques de la maîtrise des données est encore balbutiante et un travail de recherche doit être mené en ce sens.

Deux exemples montrent cependant que la question de la maîtrise des données prend peu à peu sa place dans le débat public. Il s’agit d’une part des débats autour de la proposition de cloud souverain pour éviter que les données ne quittent le territoire national. D’autre part, la proposition du gouvernement de centraliser l’ensemble des données personnelles de chaque individu au sein d’un seul fichier appelé TES a fait réagir plusieurs acteurs, comme l’ANSSI et le Conseil National du Numérique, qui ont alerté sur les risques sécuritaires d’avoir toutes les données personnelles des français concentrées sur un seul fichier (vol des données, utilisations à des fins politiques, etc.).

La question des données, de leur maîtrise, de leurs impacts sur les activités humaines et l’exercice de souveraineté des États pose ainsi de très nombreux enjeux politiques, économiques ou encore démocratiques, dont je n’ai fait qu’esquisser les contours au cours de cet entretien. Il y a une réelle nécessité de mener des recherches académiques sur ces questions. Ces recherches doivent être pluri et interdisciplinaires afin de couvrir l’ensemble des enjeux et d’en comprendre les ressorts complexes. La géographie et les géographes y ont toute leur place afin de comprendre les nouvelles dynamiques géographiques en cours. En outre, la géographie humaine et sociale va être profondément affectée par les réseaux : les dynamiques urbaines, les transports ou encore l’aménagement vont connaître des mutations qu’il convient maintenant d’étudier et d’anticiper.


Pour citer cet article :

Alix Desforges « Cyberespace, de la stratégie des acteurs aux enjeux de sécurité nationale », Revue Sur-Mesure [En ligne], 1| 2017, mis en ligne le 29 mars 2017 URL : http://www.revuesurmesure.fr/issues/villes-usages-et-numerique/cyberespace-de-la-strategie-des-acteurs-aux-enjeux-de-securite-nationale