Cybersécurité et coopération internationale

Cybersécurité et multilatéralisme

La cybersécurité dispose de trois piliers – la sécurité des systèmes d’information, la lutte contre la cybercriminalité et la cyberdéfense – qui entretiennent tous des liens plus ou moins étroits avec le multilatéralisme, et ce pour deux raisons.

La première est qu’elle est une condition du multilatéralisme, en ce sens que les institutions internationales ont besoin d’assurer leur cybersécurité pour conduire à bien leurs missions.

La seconde est que la cybersécurité est un objet du multilatéralisme. L’expression « cybersécurité » est rarement utilisée. Selon les institutions, il sera plutôt question de l’un de ses composants, de « sécurité numérique » (terme employé par l’Organisation de coopération et de développement économiques (OCDE)  pour se référer aux aspects économiques et sociaux de la cybersécurité) ou des « technologies de l’information et des communications » dans le contexte de la sécurité internationale (expression employée au sein de la Première Commission de l’Assemblée générale des Nations unies (AGNU) qui renvoie principalement à des questions relevant de la cyberdéfense).

Dans son acception traditionnelle, la cybersécurité est distincte de la sécurité de l’information, la seconde étant plus large et portant également sur les enjeux de sécurité liés aux contenus en eux-mêmes.

Un objet transverse et un environnement multi-acteurs

Dans ses différentes composantes, la cybersécurité est un objet transverse qui intéresse une multitude d’acteurs. Les modes de gouvernance sont majoritairement interétatiques. Des organisations internationales ou régionales, à compétence universelle ou sectorielles s’intéressent de près ou de loin à la cybersécurité.

À titre d’exemple, l’ONU, et plus particulièrement la Première Commission de l’AGNU est très active dans ce domaine, et ce depuis plus de vingt ans. L’Union internationale des télécommunications (UIT) joue quant à elle un rôle dans la mise en œuvre des documents issus du Sommet mondial pour la société de l’information et deux de ses commissions d’études élaborent des normes internationales relatives à la sécurité. L’OCDE est également un acteur historique sur ces questions.

Mais les institutions intergouvernementales sont loin d’être les seuls acteurs dans ce domaine. Des organes multi-acteurs (Internet Engineering Task Force (IETF), World Wide Web Consortium (W3C), Internet Corporation for Assigned Names and Numbers (ICANN)), notamment ceux en charge du développement et de l’organisation de certains aspects de l’Internet mondial, jouent un rôle particulièrement actif, même si parfois éloigné de la cybersécurité.

Ainsi, les choix opérés en matière de protocoles ont une incidence sur la sécurité et l’ICANN a travaillé pendant des années sur un protocole permettant de sécuriser les données DNS. Enfin, les acteurs non étatiques, et notamment le secteur privé, vont s’impliquer dans ces sujets soit en développant leurs propres initiatives (par exemple le Tech Accord), soit en participant à des initiatives gouvernementales (Appel de Paris pour la confiance et la sécurité dans le cyberespace).

Quelle production normative au niveau multilatéral ?

Tous ces efforts aboutissent à une importante production normative dont la normativité varie toutefois grandement. Ainsi, la plupart des instruments élaborés et portant sur la cybersécurité ou de l’un de ses aspects sont non contraignants. Il existe une forte opposition entre les États sur le besoin ou non de développer de nouveaux instruments juridiquement contraignants. Cette question est intimement liée au fait de savoir si le droit international positif est suffisamment souple pour être interprété et mobilisé tout en tenant compte des spécificités du cyberespace. C’est en matière de cybercriminalité que l’on trouve pour l’instant des traités internationaux. Le Comité ad hoc sur la cybercriminalité créé sous l’égide des Nations unies doit justement terminer ses travaux début février et aboutir à l’adoption d’un traité. En matière de sécurité internationale, les deux prochaines seront charnières en raison de l’opposition entre États sur le futur format des discussions internationales. La création, au plus tard en 2026, d’un programme d’action chargé de favoriser le comportement responsable des États dans le cyberespace, décidée par la résolution 78/16 de l’AGNU pourrait être concurrencée par d’autres propositions, aboutissant ainsi à un éparpillement des efforts internationaux dans ce domaine.

En matière de cybersécurité, il existe donc un millefeuille institutionnel et normatif qui rend difficilement lisibles les efforts entrepris en la matière et que l’on pourrait décrire avec les trois termes suivants : confusion, chevauchements et fragmentation.