Technologie

Genève, future capitale de la cybersécurité

Genève pourrait devenir la capitale mondiale de la cybersécurité. Brad Smith, président et avocat général de Microsoft, plaide pour une «convention de Genève numérique». De passage en Suisse, il évoque en détail ce projet. S'il admet qu'il y aura toujours des cyberattaques, il estime que leur portée peut être réduite

Et si Genève devenait un centre mondial pour lutter contre les cyberattaques? En février, Microsoft lançait un appel pour créer une «convention de Genève numérique». Un texte fondateur qui se baserait sur le modèle des Conventions de Genève, signées en août 1949 par 196 nations membres de l’ONU exigeant la protection des civils en temps de guerre.

Lire également notre éditorial: La fin du cybercrime ne se décrétera pas

Un homme est à la base de cette nouvelle initiative: Brad Smith, président de Microsoft et avocat général de la multinationale. De passage la semaine passée à Genève, il a réitéré son appel jeudi au Palais des Nations. Et vendredi, il accordait au Temps une interview pour préciser les ambitions de son projet. L’homme connaît Genève: il a étudié un an le droit et l’économie à l’Institut de hautes études internationales et du développement (IHEID).

Le Temps: Vous venez de présenter votre initiative à Seattle, Lisbonne, Madrid, puis Genève. Etes-vous en tournée mondiale?

Brad Smith: Oui, d’une certaine manière. Je serai d’ailleurs en Australie et à Singapour le mois prochain. Je veux faire prendre conscience aux gens de l’importance de la cybersécurité. Il faut que les entreprises et les gouvernements soient nettement plus actifs et collaborent davantage, c’est une nécessité absolue.

Vous venez de rencontrer vendredi le conseiller d’Etat genevois Pierre Maudet. Quelle est l’importance de cette ville pour votre initiative?

Il y a plusieurs points essentiels. D’abord, plusieurs lois internationales sur lesquelles nous voulons construire ont été élaborées ici, telles, bien sûr, les Conventions de Genève. Deuxièmement, plusieurs organisations basées ici peuvent nous aider, tel le Comité international de la Croix-Rouge (CICR). Troisièmement, Genève est l’endroit où les gouvernements se rencontrent, tout comme des acteurs non étatiques. Enfin, il existe un esprit de Genève. C’est d’ici que des appels importants peuvent se faire, c’est ici où l’on fait avancer des causes humanitaires. La cybersécurité, ce n’est pas qu’une question technologique: il y a un aspect social et un esprit d’optimisme qui sont nécessaires et qui se trouvent à Genève.

Vous avez évoqué la création d’un organisme permanent, chargé d’enquêter sur des cyberattaques. Serait-il basé à Genève?

C’est possible. Il est un peu trop tôt pour l’envisager, mais Genève serait un endroit logique.

Pourquoi Microsoft s’implique-t-il dans cette initiative, apparue de nulle part en février?

Il n’y a pas d’agenda caché, nous sommes transparents. Le cyberespace est devenu le nouveau champ de bataille mondial, dans lequel le secteur technologique est fortement impliqué, sans l’avoir voulu. Une grande partie du cyberespace est la propriété du secteur privé. Et lorsque des clients sont touchés par ces attaques, nous devons les aider. Dans le cas des attaques WannaCry ou Petya, nos ingénieurs ont été mobilisés 24 heures sur 24. Nous avons pris conscience que le secteur technologique devait faire davantage, mais que les gouvernements devaient aussi agir.

Cette initiative sert ainsi en partie les intérêts de Microsoft, qui a dû mobiliser des ressources lors de ces attaques…

Cela touche nos compétences de base. Je fais une comparaison avec le CICR. Microsoft n’est pas le CICR, nous sommes une entreprise. Le CICR s’est assuré que les médecins œuvrant dans les armées puissent soigner des blessés sans être des cibles. Et nous sommes le médecin du XXIe siècle dans l’univers technologique. Nous avons une très grande responsabilité. Les gouvernements doivent nous laisser faire, de manière neutre, pour agir efficacement.

Vous avez aussi une part de responsabilité. Si Windows XP a été la cible de pirates, c’est parce que vous aviez renoncé, depuis 2014, à mettre ce système à jour.

Nous avons une part de responsabilité, mais elle n’est pas totale. Nous avons dû mettre à jour en urgence Windows XP lors des attaques de Wannacry. Mais c’est un très vieux système. XP a été lancé en 2001: il est plus vieux de six ans que le premier iPhone, plus vieux de trois mois que le premier iPod… Certes, nous pouvons mettre à jour de vieux logiciels, mais lorsque vous avez des gouvernements qui mettent au point des technologies pour les attaquer, il n’est pas réaliste d’imaginer que des logiciels créés il y a seize ans soient en permanence immunisés.

Estimez-vous que les internautes sont aussi responsables?

Oui. Il faut par exemple qu’ils mettent à jour leurs appareils et utilisent des technologies récentes. C’est un peu comme les ceintures de sécurité dans les voitures: il est fortement conseillé, souvent obligatoire, de les utiliser, des systèmes de plus en plus résistants sont créés, mais il y a une part de responsabilité individuelle.

Estimez-vous vraiment que des conventions numériques de Genève empêcheraient des cyberattaques?

Les conventions de 1949 n’ont pas empêché les guerres entre Etats. Mais elles ont fixé un cadre solide, le CICR a amélioré l’état du monde. Nous pouvons persuader les gouvernements de faire davantage en matière de cybersécurité. Nous n’allons pas empêcher des cyberattaques, comme les attaques dans les airs ou sur le sol n’ont pas été empêchées. Mais nous pouvons faire mieux.

Si la Chine, la Russie et les Etats-Unis devaient signer des conventions numériques, cela changerait-il vraiment quelque chose?

Oui. Pensez à ce qui s’est passé concernant les armes chimiques, notamment en Syrie, récemment. La première étape est de dire que c’est interdit par le droit international. Il n’y a que deux questions qui se posent: est-ce qu’une attaque a eu lieu? Et quelle sera la réponse? Il existe encore des attaques chimiques, mais elles sont exceptionnelles, car interdites par le droit. Et lorsqu’une attaque a lieu, il est beaucoup plus facile d’effectuer une réponse internationale. Ce n’est pas du tout le cas concernant des cyberattaques. Je suis réaliste: des Etats signeront des traités et l’on apprendra plus tard qu’ils ont procédé à des cyberattaques. Mais il sera plus facile de prendre des mesures, ensuite, grâce à des lois internationales.

Mais il sera toujours quasiment impossible de savoir qui est derrière une cyberattaque.

C’est difficile, certes. Mais c’est aussi parfois le cas dans le monde physique. Parfois, on ne sait clairement pas qui conduit une attaque – pensez à ce qui se passe en Ukraine. Il faut faire davantage pour trouver les responsables des cyberattaques, et le secteur technologique peut apporter beaucoup.

Vous avez récemment attribué l’attaque de Wannacry à la Corée du Nord. Mais il n’existe aucune certitude.

En général, oui. Mais lorsque des entreprises privées regroupent les indices récoltés, l’on trouve plus facilement les coupables. L’organisme permanent qui sera chargé de mener des enquêtes après des attaques pourra ainsi travailler avec des partenaires solides avec des moyens importants. Et je pense qu’il sera plus facile de mener de telles enquêtes que des enquêtes liées à la non-prolifération nucléaire.

Peut-on faire confiance aux Etats-Unis, après les affaires liées à la NSA?

Si les Etats-Unis signent des conventions numériques, ils respecteront leurs obligations. Mais je pense qu’avant cela, les négociations pour les termes du traité seront capitales et sans doute difficiles.

Que pensent Google, Apple ou Facebook de votre initiative?

Ces sociétés nous soutiennent et nous posent beaucoup de questions. Je suis très optimiste.

Quelles sont les prochaines étapes?

Sans doute un accord au niveau du secteur technologique, avec auparavant des discussions poussées entre des entreprises. Au niveau gouvernemental, il faut rappeler qu’il existe déjà une base avec des lois internationales, mais qu’elles ne sont pas appliquées. Il faut créer de nouvelles lois pour combler des vides. Je pense que créer des accords entre le secteur privé, et par ailleurs identifier les règles internationales applicables et obtenir de la part des Etats un engagement à les appliquer et à combler les lacunes prendra au moins deux ans. Et l’on pourra ensuite créer une convention numérique qui, je l’espère, sera basée à Genève.

Lire aussi: Genève veut devenir une cybercapitale mondiale


Genève multiplie les initiatives

Genève veut devenir incontournable en matière de gouvernance sur Internet et de cybersécurité. La ville, qui héberge déjà le siège de l’Union internationale des télécommunications (UIT), organise avec plusieurs partenaires, cet automne, les Geneva Digital Talks, avant d’accueillir, en décembre, le forum de la gouvernance internet.

«Nous avons mis en place les Geneva Digital Talks pour promouvoir et valoriser le travail considérable qui a lieu à Genève tout au long de l’année autour de la gouvernance d’Internet dans les cercles diplomatiques, les organisations intergouvernementales, les entreprises privées et les ONG concernées», explique Pierre Maudet, conseiller d’Etat chargé de la Sécurité et de l’économie.

L’un des prochains rendez-vous traitera des questions juridiques, avec l’Université de Genève le 28 novembre à la Geneva Internet Platform. «Notre ambition est d’arriver au Forum mondial et annuel de la gouvernance d’Internet (IGF), dont ce sera la 12e édition du 17 au 21 décembre, avec un sommaire des principaux éléments saillants couverts dans le cadre des Geneva Digital Talks. Nous souhaitons également voir la Confédération transmettre un message de leadership de Genève autour de la gouvernance internet et renforcer notre position en tant que centre mondial de la gouvernance d’Internet, en particulier en matière de sécurité», poursuit Pierre Maudet.

Publicité