Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

« Construire la paix et la sécurité internationales de la société numérique » : une initiative louable, mais...

avril 2017 par Marc Jacob

La conférence internationale qui se déroule actuellement au siège de l’UNESCO à Paris a réuni un panel d’experts venus du monde entier pour débattre du thème : « Construire la paix et la sécurité internationales de la société numérique ». Cette première journée de débat, démontre que cette initiative, si elle est louable, aura bien du mal à prendre forme dans le monde réel.

Pour débuter les débats, Franck Larue, Director, Communication and information Sector, UNESCO a rappelé l’importance de construire un internet apaisé sans discrimination, ni violence. L’Internet doit-je universel et ouvert à tous les citoyens du monde. Selon lui, la Sécurité sur Internet doit permette de protéger la démocratie, le droit des personnes... Aujourd’hui de nombreux pays ne respectent pas la démocratie et la liberté des citoyens au nom de la Sécurité. Toutefois, SI le droit d’expression doit être respecté, il doit être construit autour du respect des Droits des citoyens.

Louis Gautier, Secrétaire général de la défense et de la sécurité nationale, a rappelé que la devise de l’UNESCO est de construire la paix. En effet, rechercher la paix n’est pas un enjeu superflu d’autant que l’Internet a été construit autour des échanges. Aujourd’hui, c’est devenu aussi un lieu de violence de toute sorte. Le droit de communiquer est fondamental pour tout être humain. Tout citoyen doit pouvoir participer à la construction de l’internet et les États doivent protéger cet espace. Ces objectifs étaient les trois principaux principes émis lors de la création de l’Internet. En matière de sécurité de l’internet, nous nous trouvons dans un droit qui balbutie. C’est pourquoi Il faut absolument construire des règles de bon comportement. Il a rappelé que ce séminaire a été précédé par une réunion de juristes qui ont travaillé sur la détermination de règles de bonnes conduites.

Les cyberattaques doivent être définis par tous les Etats

Selon Karine Bannelier, professeur à l’Université de Grenoble a rappelé que GGE de l’ONU s’est inquiété de la multiplication des actes malveillants sur l’espace numérique qui nuisent aux États de droits et à la sécurité des citoyens. Ces attaques se déroulent alors que le droit international de l’Internet existe et peut être applicable. Elle a rappelé qu’il n’y a pas de définition admise pour les cyberattaques. Par contre, elles sont définies par certains états comme le Canada. En France, une cyberattaque est déterminée par une atteinte aux infrastructures. Les États ont une vigilance et une diligence à avoir sur les attaques qui se déroulent sur leur territoire que cela soit par des acteurs privés ou d’autres États. Ils doivent de plus veiller à ce que leur infrastructure numérique pour générer des attaques, ni que leur infrastructures ne soient utilisées par des opérateurs privées pour mener des attaques. Toutefois, selon la législation internationale, les États ne peuvent pas légitimement connaître tout ce qui se passe sur son territoire. Par contre, il ne doit pas laisser faire des qu’une telle attaque est lancé. Cependant, un États ne doit pas prétextant le besoin e savoir ce qui se passent sur son territoire mener de la surveillance de masse de l’ensemble de. Leurs citoyens.

L’OCDE, l’ONU l’OSCE, l’Union Européenne travaillent sur la nécessité de protéger leurs infrastructures critiques. La France est un des premiers pays à avoir promulgué une loi en ce domaine. En conclusion, elle a pointé du doigt la nécessité de réguler l’utilisation des zéro Day.

Des souverainetés numériques apparaissent

Claude Kirchner, directeur de recherche a l’INRIA a dressé un rapide historique des civilisations de l’information en partant de la préhistoire à nos jours. La révolution numérique à transformer notre rapport à la diffusion de l’information de sa transmission à sa conservation. Le cyberespace est réel, omniprésent, inexplorée et parfois sauvage. Des souverainetés numériques apparaissent aujourd’hui : ceux des États, des citoyens mais aussi des GAFA. En termes de prévention, il est important de définir "qui doit faire quoi ?" En premier lieu l’éducation a un rôle à jouer. Toutefois, dans les écoles ce droits n’est pas assez développé. Il faut développer une inter-displinarité des recherches en particulier doit être mis en place. Un accord entre l’INRIA et l’UNESCO a été signé récemment pour protéger l’ensemble des codes sources du monde Open Source.

La protection pourra passer par du chiffrement homophone et les protocoles de la blockchain
La certification techniques
Le machine learning pour produire des machines défensives.

Des responsabilités internationales doivent être déterminées. Pour cela, il est nécessaire de définir des frontières virtuelles. De plus, il sera nécessaire de déterminer des responsabilités collectives mais aussi une éthique sur les comportements dans le cyberespace.

Un cadre juridique supra national doit être mis en place

Nicola Bonucci, expert à l’OCDE a rappelé que son organisation travaille depuis longtemps sur ce sujet en mettant l’accent surtout sur la gestion de risque autour de l’Internet. Des orientations et des recommandations ont été formulées récemment afin de mieux gérer les risques internet sur les activités économiques. En particulier, l’OCDE a constaté qu’internet est essentiel pour les activités économiques et qu’il fallait donc gérer au mieux les cyber-risques. L’OCDE travaille actuellement sur des indicateurs international sur la Cybersécurité. En effet, la Cybersécurité doit être intégrer dans une vision plus globale en incluant une stratégie de développement économique. Le phénomène d’inquiétude n’est pas propre à la Cybersécurité. En fait, nous assistons dans ce domaine comme dans d’autres à une nouvelle ligne de fracture de ce siècle. D’un côté l’état nation qui se renforce et d’un autre un espace économique totalement globalisé et sur internet ce phénomène est plus prégnant. Par contre, un cadre juridique doit être mis en place et qu’il y ait un consensus de tous les pays pour qu’il soit appliqué. Par contre, il faut qu’il y ait une coopération de tous les pays. Pour qu’elle fonctionne, il est important qu’elle soit organisée. De plus il une règle du jeu commune est nécessaire pour fixer des objectifs réalistes. Il faut en outre qu’elle soit inclusive. Ce processus prendra donc du temps. Pour lui, le plus important est de savoir qui fera quoi pour atteindre ces objectifs. Le moment est venu d’aller au delà de la prise de conscience, il faut passer à l’action.

L’Afrique ne doit pas être oubliée des négociations internationales

Moctar Yedaly, de l’Union Africaine a regretté que bien souvent l’Afrique est été oubliée dans les discussions internationales. La question de la Cybersécurité n’est plus une préoccupation des informaticiens mais s’impose à tous. Les TIC sont une opportunités pour l’Afrique de rattraper son retard. Les TIC vont avoir un impact sur les nouveaux type de guerre. L’Internet nous fait passer de façon douce vers l’ère de Big Brother. De plus la Cybersécurité évolue sans cesse et a une influence sur tous les rapports humains. L’Internet doit être protégée en particulier pour toutes les infrastructures critiques, y compris les banques, les transports, l’énergie... aujourd’hui toutes nos données se trouvent ds s le Cloud. Aujourd’hui 95% de nos données sont sur le Web et il semble que 97% des données sur internet aient été piratées. La multiplication des menaces et des cyberattaques mettent en péril le Web. Il a mis en avant le fait que le droit et lent alors que l’Internet se développe très rapidement... selon lui, à ce jour on ne sait pas ce qu’est une attaque. Il est donc en premier lieu déterminer ce Point afin de pouvoir mettre en œuvre le cas échéant l’article 51 de la Charte de l’ONU. Il a rappelé que les États Africains ont signé une convention a Malabo au traite des transactions électroniques, de la protection des données à caractère personnel. Elle permet pour les pays africains d’avoir un socle législatif pour développer un internet mieux réguler.
L’union africaine a mené une enquête pour connaître les priorités des des dirigeants des pays africain. A plus de 50% des réponses, il a été exprimé que l’Internet doit être ouvert. Pour l’avenir, il faut veiller à ce que les données soient bien protégées afin d’être en Sécurité.

Les données de plus en plus convoitées

Francesca Bosco de l’UNICRI a présenté le paysage de la menace actuelle. Les risques numériques sont extrêmement connectés les uns avec les autres. Les estimations montrent que la cybercriminalité selon Europol son coût devrait atteindre deux trillard de dollars.
En dehors de la complexité des attaques, on a aussi une grande hétérogénéité des organisations criminels. Pour 2016, on remarque que les crimes sont devenus de plus en plus sophistiqués, avec une démocratisation des outils d’attaques qui permettent à des novices de devenir des cybercriminels. Les monnaies virtuelles sont aussi des vecteurs pour accroître les attaques grâce à des rémunérations obscures. L’Internet des objets est aussi devenue un nouvel vecteur de menaces. Plus de spot milliards de donnes ont été perdu depuis 2013 ! Les données ont pour caractéristiques d’être réutilisables. Il est donc impératif de les protéger. Dans son panorama des menaces, elle a cité les ransomwares, les cyber-espions, l’hacktivisme, le terrorisme, le crime organisé... aujourd’hui, les États subissent de plus en plus d’attaques sur leurs administration comme par exemple en Italie avec celle sur le Ministère des Affaires Étrangères... les entreprises privées sont aussi des cibles pour réaliser de l’extraction de données comme le cas Ashley Madison, Yahoo !... le problème, comme cité précédemment, est que les données sont réutilisables à l’infini. Selon Francesca Bosco, il est important que les citoyens comprennent comment fonctionne internet afin de mieux pouvoir protéger les donnes. Elle a conclu son intervention en rappelant l’importance de la coopération entre les forces de police et de justice dans le monde. La Cybersécurité ne doit pas être considérée comme un coût mais plutôt comme un levier de développement économiques de l’Internet.

Enfin, elle a rappelé le rôle de l’UNICRI, au sein de l’ONU, a une compétence large qui va de la protection contre le cybercrime jusqu’à une approche autour de la justice. Une étude a été menée par son organisation pour aider les PME à se protéger sans investir massivement dans la Cybersécurité. Lors de cette étude, on s’est aperçu que le plus important est de créer une culture de la Cybersécurité. Les risques pour les PME est les impacts sur le CA, la résilience, l’approvisionnement... un Guideline a été produit pour aider les PME à mieux résister aux cyberattaques.

Une approche par le bas pourrait aider à la mise en place de règlementation

Sergei Boeke de l’Université de Leiden, s’est interrogé en premier lieu sur les résultats des cyberattaques au niveau international. En effet, les divers cyberattaques sur des États n’ont pas été suivi de débat à l’ONU. En premier lieu, ce manque d’action est du au problème d’attribution de ces attaques. De plus, le droit international ne s’est pas développé sur le thème de l’espionnage. Il a soulevé le Point de la différence entre l’espionnage et le sabotage équipe est très ténue. Pour avance en ce domaine, il faut multiplier le dialogue. Les petits États attaqués pourraient déposer plainte devant la cours de justice international... pour lui une approche du bas vers le haut pourrait aider à la mise en place de réglementations matière de Cybersécurité.

Les pays devraient suivre l’exemple de la France en matière de stratégie de cybersécurité

Céline Castets-Renard, de Université de Toulouse propose de renforcer la coopération entre états et secteur privé. En France, les lois en ce domaine sont un bon exemple de l’incitation pour cette coopération. Il faudrait développer des équivalents de l’ANSSI avec le même positionnement.

Elle estime que les attaques défensives ne sont pas de bonnes initiatives. Par contre, les Bug Bounties doivent se développer et l’initiative française en ce domaine est très intéressante. De plus, il faut aider les PME à faire des analyses de maturité afin qu’elles appréhendent mieux la Cybersécurité. Il est aussi important de développer la formation et la sensibilisation à la Cybersécurité.

L’Union Européenne est un bon levier pour améliorer la protection du Web

Fabien Terpan, professeur à Science-Po de Grenoble explique que l’Union Européenne est un bon levier pour améliorer la protection de l’Internet car c’est un marché important avec une coopération au niveau des forces de polices importantes. Sur le plan institutionnel, la cyber a été bien prise en compte avec entre autre la constitution d’Europol, de l’ENISA. Par contre, le défi de la cohérence doit être soulevé. Au nouveau des actions de soutien certaines sont menées via l’ENISA Et Europol. Sur le plan normatif l’Union Européenne a lancé la directive NIS entre autre. Par contre son approche est plutôt défensive, juridique et ouverte. Cela se traduit par ds obligation pour les opérateurs télécoms, pour les États afin de mette en œuvre dès stratégie de défense et d’organisation comme l’ANSSI et de coopération entre ces agences été le États. Par contre, il reste pour certains États à mettre en place réellement ces stratégies. En France, et dans d’autres États membres c’est fait ou en cours, par contre ceci n’est pas vrai pour d’autres États de l’UE.

La coopération entre les Etats une chimère ?

En conclusion, les intervenants ont convenu que le problème de coopération entre les États sera difficile du fait de la nécessité de partager des informations. Il va falloir instaurer une confiance mutuelle entre les États quitte à légiférer pour l’instaurer. D’autant plus que comme le rappelle Francesca tous les États s’espionnent. Ainsi, tout le monde est à la fois victime et délinquant. Concernant les attaques menées par les États, elles sont très difficiles à repérer. C’est pour cela qu’il faut discuter entre États des règles de bonne conduite.

Le chemin sera sans aucun doute long et difficile. Comme le disait Paul Fort dans son fameux poème : "...Si tous les gars du monde Devenaient de bons copains Et marchaient la main dans la main, Le bonheur serait pour demain..." Il faudra donc une forte dose de bonne volonté pour arriver un jour à construire un internet lieu de confiance et de paix...




Voir les articles précédents

    

Voir les articles suivants