OCDE, UE, ONU : la sécurité du numérique à portée de la France ?

L’OCDE¹ vient de rendre public deux Policy briefs² qui méritent une grande attention avant même leurs déclinaisons en recommandations à destination des États et des entreprises.

Si le premier document propose une approche originale et opérationnelle en matière de sécurité des produits embarquant du code, la publication abordant le traitement des vulnérabilités informatiques constitue sans doute une première pour un document porté par les 37 États membres de l’organisation internationale. Ainsi, parmi les États membres qui endossent le document, les Fives Eyes³ y reconnaissent leur responsabilité d’États parallèlement à celle des groupes criminels dans le développement⁴ d’un marché gris des vulnérabilités informatiques au détriment de leurs communications aux éditeurs et donc de la sécurité du numérique pour tous, de l’intérêt général. Plus encore, l’hypocrisie de certains États dans leurs politiques affichées de communications des vulnérabilités est (délicatement) soulignée⁵. Ce type de pratiques a d’ailleurs conduit à l’engagement de nombreuses entreprises à ne pas accepter de piéger équipements ou logiciels⁶ au profit de gouvernements.

La France, à l’origine de ces travaux de l’OCDE, serait légitime pour en porter l’esprit et la lettre lors de la présidence française de l’Union européenne le 1er janvier prochain. En effet, contrairement à d’autres États, la France a choisi, sans naïveté, une approche pacifique de l’espace numérique. En 2009 la mise en place d’une organisation interministérielle qui privilégie nécessairement le défensif plutôt que l’offensif, en 2013 l’inspiration de la directive européenne sur la cybersécurité, en 2015 une stratégie de la sécurité du numérique qui affiche la nécessité de favoriser la paix et la stabilité dans le cyberespace, une conférence internationale à l’initiative de l’ANSSI en 2017 sur cette même dynamique, une déclinaison de cette conférence en 2018 par l’Appel de Paris⁷ désormais rejoint par 79 États et près de 400 organisations et 700 entreprises, font de la France le meilleur vecteur des sujets susceptibles de favoriser un numérique durable.

Plus largement, la France pourrait être à l’initiative d’une dynamique européenne susceptible de sortir de l’impasse le traitement de la sécurité du numérique à l’ONU. Une troisième voie existe entre l’approche qui consacre la supériorité du plus agressif et celle qui soumet la paix et la stabilité du numérique à la mise en place d’une société de surveillance qui ne laisse pas de place à la vie privée (quant à la liberté d’expression, elle semble désormais appartenir à l’Histoire). Cette troisième voie portée à l’ONU pourrait également être un thème de travail de la prochaine présidence française de l’Union européenne. Il faudrait pour cela que l’approche atlantiste prévalant au plus haut niveau de la diplomatie française, figée dans les rapports de force issus de la Guerre froide, paralysée par l’obsession de la dissuasion nucléaire que les capacités d’atteintes par le numérique rendent en partie obsolète, laisse un peu de place à une nouvelle génération de diplomates qui ont compris les enjeux de ce siècle.

Comme le prouvent les travaux de l’OCDE dans ce domaine, la sécurité du numérique ne sera assuré que par la coopération internationale des parties prenantes et le droit international qui seul peut contenir l’action offensive des États et la prédation des groupes criminels.

1. Organisation de Coopération et de développement Économique.
2. https://www.oecd.org/digital/ieconomy/digital-security/
3. Organisation supranationale d’espionnage comprenant des services de renseignement des Etats-Unis, de la Grande-Bretagne, du Canada, de l’Australie et de la Nouvelle-Zélande, rendue célèbre au travers des documents révélés par Edward Snowden.
4. ”However, other actors are willing to buy critical code vulnerabilities at high prices, and with no intention of fixing them. These actors include criminals who buy vulnerabilities on the black market, but they also include government intelligence and defence agencies, as well as companies developing and selling tools based on the exploitation of vulnerabilities, such as tools purchased by police forces or intelligence agencies to access the content of mobile phones.”
5. ”Policies often allow these agencies to discover vulnerabilities without reporting them to vulnerability owners, and to stockpile, weaponise and exploit them against public or private targets. These agencies can also buy vulnerabilities to carry out “offensive operations”. In some cases, government may require developers to insert “backdoors” in their products, which are equivalent to intentional vulnerabilities.” Des mesures spécifiques moins délétères peuvent être mises en place pour permettre le travail des forces de l’ordre.
6. https://cybertechaccord.org/accord/
7. https://pariscall.international/fr/