Face aux cyberattaques, une riposte s’esquisse depuis la Suisse

Il l’a martelé à une conférence sur la cybersécurité à San Francisco en février: le monde a impérativement besoin d’une «convention de Genève numérique». L’appel du président de Microsoft, Brad Smith, a une résonance particulière, quelques jours après la cyberattaque massive «WannaCry» qui a paralysé des centaines de milliers d’ordinateurs à travers le globe. «Le temps, disait Brad Smith, est venu que les Etats mettent en place des règles internationales afin de protéger l’usage civil d’Internet.»

Lire aussi: Découvrir l’identité des auteurs de la cyberattaque? Mission impossible

Car le Web n’est plus simplement le formidable outil de transmission et d’acquisition du savoir imaginé par Tim Berners-Lee au CERN à Genève. C’est, selon Brad Smith, un immense champ de bataille mondial. «Comme la quatrième Convention de Genève protège les civils en temps de guerre, nous avons besoin désormais d’une convention de Genève numérique qui engage les gouvernements à protéger les civils de cyberattaques d’Etats-nations perpétrées en temps de paix.»

Une sorte de CICR du web

Le président de Microsoft voit le secteur privé, responsable de 90% du trafic sur Internet, jouer le même rôle dans le cyberespace que le CICR dans le cadre de guerres réelles. Il revendique même de créer une sorte de «Suisse numérique neutre».

Brad Smith plaide en qualité de représentant du secteur privé. Selon lui, 74% des entreprises de la planète s’attendent à subir une cyberattaque. Le coût économique de la cybercriminalité pourrait atteindre, ajoute-t-il, 3000 milliards de dollars d’ici à 2020. Les Etats doivent aussi s’inquiéter de la prolifération des cyberattaques. Comme on a pu le voir avec le «rançongiciel» WannaCry, des hôpitaux peuvent être paralysés. Des infrastructures publiques cruciales peuvent subir des dommages aux conséquences majeures. En 2012, le patron du Pentagone, Leon Panetta, mettait en garde contre la plus grande menace sécuritaire: un Pearl Harbor cybernétique.

Le ton est donné, mais les références aux Conventions de Genève et à une Suisse numérique neutre ne font pas que des heureux. A l’image de Solange Ghernaouti, directrice du Swiss Cybersecurity Advisory & Research Group, qui goûte peu le langage belliqueux de Brad Smith: «Ce n’est pas à une société privée de se poser en justicier, d’imposer des règles et de s’immiscer dans des questions relevant du droit international public ou de la gestion des conflits armés. Les Etats doivent garder leur souveraineté.»

Elle est en revanche convaincue de la nécessité d’adopter un traité international pour sanctionner les cybercriminels et les paradis numériques d’où peuvent se lancer des cyberattaques en toute impunité. Elle y travaille depuis longtemps, en collaboration avec l’Union internationale des télécommunications (UIT). Mais elle se rend compte des difficultés d’y parvenir: «Il faudra sans doute de nombreuses années pour obtenir le consensus suffisant pour un traité international. En attendant, il serait judicieux de pousser à l’adoption d’une déclaration de Genève non contraignante qui réaffirmerait la nécessité d’un cyberespace libre, ouvert et sûr.» Pour Solange Ghernaouti, cela alimenterait le débat sur la responsabilité de tous les acteurs et soulignerait la nécessité de coopérer et de délimiter les pratiques acceptables des pratiques abusives, voire criminelles.

Une carte à jouer

Professeur de droit international et vice-recteur de l’Université de Genève, Jacques de Werra est le premier à penser que Genève a une carte à jouer: «La Suisse et Genève peuvent capitaliser sur une vaste expertise en droit international ainsi que sur un écosystème numérique (OMPI, UIT).» L’UIT, dirigée par le Chinois Houlin Zhao, favorable à un processus genevois en la matière, attend toujours d’être mandatée par un Etat membre pour engager un processus de négociation. Aussi l’initiative pourrait-elle venir d’ailleurs. Non pas de Berne (lire ci-dessous), mais du canton de Genève.

Le conseiller d’Etat Pierre Maudet, qui revient d’un voyage aux Etats-Unis où il a rencontré des sociétés de technologie, voit une chance à saisir. «Nous avons une réflexion très poussée sur le sujet qui n’est pas encore aboutie. Mais, à la rentrée, nous présenterons notre projet. A Genève, nous avons tous les ingrédients pour nous profiler dans la gouvernance globale d’Internet. Les Etats-Unis, à cet égard, ont trop la tête dans le guidon.»

Pierre Maudet est conscient que Genève ne va pas se substituer à la Confédération pour inciter la planète à se donner un cadre clair en la matière. Mais il est convaincu qu’il peut lancer un processus. Solange Ghernaouti abonde dans ce sens: «Une déclaration, voire un traité négocié à Genève, serait un signal fort pour créer un environnement digital de confiance et renforcer la position de la Genève internationale.» La place financière suisse pourrait en bénéficier. Des organes comme Vigisuisse, le premier réseau de data centers du pays, qui milite pour faire de la Suisse le «coffre-fort» numérique du monde, y est aussi favorable. Genève, capitale future du numérique? On n’y est pas encore. Mais on s’en rapproche.

Thomas Schneider, OFCOM: «Les contours d’une attaque sont difficiles à saisir avec précision»

Le vice-directeur de l’Office fédéral de la communication estime qu’il est encore trop tôt pour se lancer dans la négociation d’un traité international sur le cyberespace

Le Temps: On dit de la Suisse qu’elle est trop prudente et rechigne à lancer un processus de négociation d’un traité international sur le cyberespace…

Thomas Schneider: La Suisse est très active au sein de diverses institutions qui discutent précisément de la question: au sein de l’OSCE, au sein du groupe d’experts gouvernementaux (CGE) de l’ONU. Mais nous sommes toujours loin de comprendre tous les tenants et les aboutissants des questions relatives à la cybersécurité.

– Quels sont les aspects qui vous paraissent encore obscurs?

– En droit humanitaire international, nous avons une définition de ce qu’est, dans le monde analogique, une attaque d’un pays contre un autre. Dans le cyberespace, nous pouvons travailler par analogie, mais les contours d’une attaque sont plus difficiles à saisir avec précision. Nous avons encore un autre problème majeur: l’attribution d’une éventuelle cyberattaque. Même si on peut localiser dans un pays les ordinateurs à l’origine d’une cyberattaque, les auteurs peuvent se trouver dans un Etat tiers.

– Jugez-vous prématurées des négociations en vue d’une convention de Genève digitale?

– La Genève internationale est le bon endroit pour trouver des solutions communes aux questions des règles applicables au cyberespace. Comme dans d’autres domaines, la Suisse est bien placée pour bâtir des ponts entre les différentes positions. Nous devons procéder de manière prudente vu que le sujet est très controversé. Actuellement, les réflexions vont dans tous les sens. Même parmi les acteurs privés, il n’y a pas de position majoritaire qui se dégage. Or si le secteur privé revendique la gestion principale de l’Internet, il est indispensable de lui donner un cadre juridique. Actuellement, il n’existe qu’un seul mécanisme de décision où la responsabilité principale relève du secteur privé: l’ICANN [autorité privée créée sous la présidence de Bill Clinton, dont la vocation est surtout de gérer les noms de domaine et les adresses IP au niveau mondial]. Quant à la notion de convention de Genève digitale que Brad Smith a relancée, le président de Microsoft oublie que certaines discussions sur le sujet sont en cours dans un cadre onusien. (Propos recueillis par Stéphane Bussard)