Lire aussi: «Les cyberattaques, c’est comme les accidents, on est persuadé que cela n’arrive qu’aux autres»
Ni Russes, ni Chinois
Parmi les signataires se trouvent Facebook, HP, Oracle, BT, Cisco, plusieurs entreprises spécialisées dans la cybersécurité (Avast, Symantec, F-Secure, Bitdefender…), le finlandais Nokia, l’espagnol Telefonica et ABB. Que fait ici cet acteur industriel? «Nous innovons dans la sécurité numérique et nous participons à des efforts de standardisation, comme la Plattform Industrie 4.0 et l'Industrial Internet Consortium […]. Rejoindre cet accord montre que la sécurité, la résilience et l’intégrité de ses produits sont une priorité pour ABB», explique la société.
Parmi les 34 multinationales se trouvent aussi bien sûr Microsoft et sa filiale LinkedIn. Depuis 2017, Brad Smith, président de Microsoft, est en tournée mondiale pour promouvoir la création d’une «convention de Genève numérique». Rappelons que l’éditeur de logiciels avait dû lutter, en mai 2017, contre le ransomware WannaCry, qui avait paralysé des centaines de milliers d’ordinateurs tournant avec Windows XP.
Lire aussi: L’EPFL, fer de lance pour la cybersécurité en Suisse
Lors d’une interview en novembre 2017 au Temps à Genève, Brad Smith avait expliqué que l’étape suivante serait «sans doute un accord au niveau du secteur technologique, avec auparavant des discussions poussées entre des entreprises». Avec le Cybersecurity Tech Accord, c’est désormais chose faite. Mais il y a des absents de taille: Google, Apple ou Amazon ne sont pas (encore) signataires d’un accord qui n’inclut que des sociétés américaines ou européennes: n’y figure aucun acteur russe ou chinois, alors que ces pays sont souvent accusés de cyberattaques – ce fut encore le cas lundi avec la Russie.
Effets à long terme
Quelle valeur donner à cet accord? Pour Steven Meyer, directeur de la société genevoise de cybersécurité ZENData, ce ne sont pour l’heure que des intentions: «L’engagement d’aider les pays victimes de cyberattaques est intéressant. Mais comment cela s’appliquera-t-il dans un cas réel avec des conflits idéologiques? Mark Zuckerberg, le directeur de Facebook, aidera-t-il l’Iran en cas de cyberattaque israélienne?» s’interroge-t-il. Pour le spécialiste, il faudra aussi être plus précis. «L’espionnage peut-il être considéré comme une cyberattaque? C’est un accord qui va prendre du temps à avoir un effet réel. Pour l’instant, cela fait de la publicité aux entreprises partenaires.»
Mais à long terme, l’accord peut déployer ses effets. «Comme toute initiative, plusieurs leaders montrent le chemin, puis cela deviendra moralement obligatoire, et ensuite diplomatiquement obligatoire, poursuit Steven Meyer. Par exemple, Microsoft a des contrats spéciaux pour les licences de leurs gros clients. Dans le futur, il pourrait par exemple refuser de les proposer aux entreprises qui ne sont pas signataires de l’accord. Ou alors, un gouvernement pourrait refuser d’acheter des logiciels de sociétés qui ne sont pas signataires de l’accord.»
Jovan Kurbalija, directeur de la DiploFoundation et à la tête de la Geneva Internet Platform, estime de son côté que «des représentants des milieux économiques chinois et russes rendrait cet accord plus représentatif. Je pense qu'ils vont rejoindre cet accord, car il n'exclut aucune nationalité. Et il est pertinent pour eux s'ils veulent travailler au niveau mondial.»
Lire aussi: La fin du cybercrime ne se décrétera pas
Genève se positionne
Le Cybersecurity Tech Accord intéresse Genève de très près. Fin 2017, le canton a multiplié les initiatives, notamment via les Geneva Digital Talks, pour se profiler comme la capitale mondiale de la cybersécurité. Mardi, Pierre Maudet, conseiller d’Etat chargé du Département de la sécurité et de l’économie, saluait l’accord entre les géants de la technologie, rappelant la volonté de Brad Smith de créer une «convention de Genève du numérique». Pour l’heure, des contacts sont en cours entre Genève et la Confédération à ce sujet, avant que le canton ne recontacte sans doute Microsoft ces prochaines semaines.
En décembre dernier, Brad Smith avait rencontré Pierre Maudet à Genève. Le président de Microsoft avait affirmé qu’il «espérait» que la convention soit basée à terme dans la Cité de Calvin. La ville pourrait ensuite accueillir un organisme permanent chargé d’enquêter sur des cyberattaques.
De son côté, Jovan Kurbalija est optimiste: «Il est difficile de trouver un meilleur endroit que Genève pour résoudre ces problèmes complexes, car la ville est l'endroit où des questions difficiles et clivantes ont été résolues».