Cybersécurité : l’appel de Paris, un énième coup d’épée dans l’eau ?

Profitant de la réunion du forum de gouvernance de l’Internet (FGI), ce 12 novembre à Unesco, le président de la République, Emmanuel Macron, a lancé l’appel de Paris pour la confiance et la sécurité dans le cyberespace. Celui-ci rappelle l’importance d’un Internet « ouvert, sûr, stable, accessible et pacifique », ainsi que l’applicabilité du droit international à cet espace, y compris les droits de l’Homme. Plus loin, l’appel comporte neuf engagements pour ceux qui souhaiteront le rallier : lutter contre les activités malveillantes en ligne - visant individus et infrastructures critiques - et contre celles qui peuvent affecter la disponibilité et l’intégrité d’Internet, ou encore contre les opérations de déstabilisation des processus électoraux, de vol de propriété intellectuelle, ainsi que contre la prolifération des pratiques et outils visant à nuire. A cela s’ajouter la recherche de l’accroissement de la sécurité des produits et services tout au long de leur cycle de vie et de la chaîne logistique, de l’amélioration de l’hygiène informatique de chacun, ou encore « de favoriser une large acceptation et la mise en œuvre de normes internationales de comportement responsable ».

Las, tout cela risque d’avoir, pour beaucoup, un air de déjà-vu mâtiné d’un arrière-goût d’échec amer. Début 2014 déjà, Art Coviello, alors président exécutif de RSA, appelait à des normes sociétales pour le numérique et à l’abandon des armes informatiques. Pour lui, c’était une évidence : « personne ne tire avantage des cyberarmes ».

Ces affirmations survenaient quelques semaines après la réunion du Forum économique mondial à Davos, qui avait été l’occasion d’une première alerte sur l’importance de la menace cyber sur la marche du monde. Et ce ne devait pas être la dernière : les alertes ont été réitérées régulièrement chaque année depuis. La cybersécurité s’est d’ailleurs invitée en bonne place à la Munich Security Conference en février dernier. A cette occasion, neuf acteurs de l’industrie, emportés par Siemens, ont d’ailleurs signé une charte dite de confiance identifiant dix domaines d’action et appelant à ce que la responsabilité de la cybersécurité soit assumée au plus niveau des gouvernements et des entreprises.

En février 2017, Art Coviello se penchait dans nos colonnes, en exclusivité, sur la manière dont la situation avait évolué en trois ans, depuis son appel à RSA Conference. Et il n’était pas tendre : « cela va définitivement de pire en pire. Les attaques n’ont pas nécessairement besoin d’être cinétiques et destructrices pour causer des ravages considérables, même s’il est clair que de nombreux états-nations disposent de ces capacités. Et le risque pour celles-ci de tomber dans de mauvaises mains ou se retrouver dans la nature croît chaque année ».

Aujourd’hui, toutefois, de nombreuses voix se sont jointes à l’appel de Paris : Sekoia, le club Ebios, Garnault & Associés, Vaughan Avocats, Egérie Software, le pôle d’excellence Cyber, la Cyber Task Force, Gatewatcher, le GIP Acyma, Citalid, Chypre, Kaspersky, F-Secure, Sopra Steria, l’institut Igarapé, British Telecom, Infineon, ou encore bien sûr l’Internet Society. La liste continue de s’allonger.

Mais à l’heure où sont publiées ces lignes, d’aucuns ne manqueront pas de remarquer l’absence de la Chine, de la Corée du Nord, de la Russie, ou encore des Etats-Unis de la liste des états signataires.