A 9 000 km de Paris où s’est tenu le Partenariat pour un Gouvernement ouvert (PGO) du 7 au 9 décembre dernier, la ville de Guadalajara au Mexique accueillait le Forum sur la Gouvernance d’Internet (IGF) du 5 au 9 décembre. Le but : interroger la nature d’internet et celle de sa gouvernance. Créé sous la bannière des Nations unies en 2005, la mission de l’IGF vient d’être renouvelée pour dix ans. Retour sur l’édition 2016, un défi pour élaborer de nouveaux usages sur la Toile et surtout une gageure pour en sécuriser l’utilisation.
Temps judiciaire et temps technologique
Avec l’apparition des ordinateurs en réseau il y a près de 25 ans, la sécurité nationale a progressivement intégré le cyber-espace dans ses stratégies. Reconnaissant l’importance majeure de l’infrastructure numérique pour son pays, le président américain Barack Obama, dans un discours de 2009, n’hésitait pas à ériger cette dernière au rang de « bien stratégique national »[1]. Mais malgré cette importance donnée à la cybersécurité, les fruits des sommets internationaux qui se sont saisis de cette problématique au cours des dernières années sont bien souvent jugés insatisfaisants[2] au regard des enjeux. Notamment dans la lutte comme les cyber-crimes, où la lenteur des procédures de coopération internationale se conjugue à un droit dont la territorialité est inadaptée à l’Internet[3]. Le temps judiciaire, législatif, est à la traîne voire en retard par rapport au temps technologique, terrain de jeu de la criminalité mondialisée[4]. Alors que la CIA et le FBI enquêtent sur l’implication des autorités russes dans les cyber-attaques contre le camp démocrate américain en 2015-2016 et leur impact potentiel sur l’élection présidentielle du 8 novembre dernier, les cyber-attaques de l’étranger sont d’autant plus redoutées à l’approche des élections françaises et allemandes[5] de 2017.
Une gouvernance à la dérive ?
Confrontés à cette impuissance, les acteurs étatiques précipitent l’adoption de nouvelles mesures comme autant de tentatives de protection au nom d’un impératif de sécurité nationale : enregistrement des navigations sur la Toile ; requêtes auprès de grandes compagnies comme Apple, Facebook ou Google pour obtenir des informations personnelles d’utilisateurs ; ou encore la création en France du fichier dit « TES » (titres électroniques sécurisés), autorisé par décret le 28 octobre 2016. Parce qu’il centraliserait les données liées à l’identité et à la filiation de l'ensemble des Français, ce méga-fichier implique des risques de piratage qui font polémique. Ces exemples de mesures gouvernementales prouvent bien à quel point une utilisation légale, mais liberticide, du Big Data par la puissance publique est à craindre. De surcroît, on peut interroger la capacité des Etats à extraire puis analyser, dans des délais forcément courts, des données de qualité parmi le déluge de données qui alimente ce Big Data. A l’heure où chacun de nos faits et gestes est potentiellement détectable en ligne, débattre de ces pratiques dans le souci de contrer les dérives est nécessaire, et rendu possible dans le cadre de l’IGF[6].
Vers un processus multipartite
De manière récurrente, les sommets sur l’Internet ont pu être le lieu d’un défilé consensuel de gouvernants acclamant immanquablement les mérites du numérique puis décidant à huis-clos, sans inclure d’autres acteurs. Au cœur de l’IGF, place cette fois au processus multistakeholder (multipartite), un fonctionnement qui « entend réunir l’ensemble des acteurs concernés : États, entreprises, experts, académiques, groupes d’internautes, etc. »[7]. L’IGF 2016 a réunit aussi bien la société civile que les institutions et personnes reconnues pour leur expérience dans les questions liées à la gouvernance de l’Internet. Plus précisément, cette année, une attention particulière a été accordée aux questions relatives aux jeunes et aux femmes, en parallèle de thèmes phares comme le rôle du numérique pour une croissance durable, la liberté d’expression en ligne et la cybersécurité.
Participants du workshop « Best Pratices on Cyber security », durant le Forum de la Gouvernance d’Internet (IGF)
le 8 décembre 2016 à Jalisco, Mexique.
Fait important, les formats des sessions ont été exceptionnellement divers pour cette édition 2016, grâce à l’introduction de nouveaux formats. Lors des corner sessions par exemple, après une introduction initiale du thème les participants étaient invités à se séparer en quatre groupes. Cela offre la possibilité de faire avancer le débat en petit comité, puis de proposer à la fin une synthèse aux autres groupes, propice à tirer des conclusions. Autre format innovant, les Unconference sessions. Le principe est de permettre à tous la tenue de débats non programmés : les organisateurs n’ont qu’à réserver un créneau le jour-même et à faire connaître au public présent la teneur de leur prise de parole[8]. Ces deux exemples montrent tout l’intérêt d’adopter une approche multipartite.
Néanmoins, il existe toujours plusieurs limites préjudiciables à la capacité d’action de l’Internet Governance Forum malgré ses onze ans d’existence. L’IGF ne dispose toujours pas d’un pouvoir officiel de recommandation ni de décision. Ensuite, l’IGF se targue de pouvoir réunir des participants du monde entier sur un pied d’égalité. Pourtant, être présent à l’IGF n’a rien d’évident, en raison notamment des coûts du transport et de l’hébergement sur place, et de l’éventuelle barrière de la langue. Il y a encore des efforts à faire pour que davantage de délégués des pays les moins avancés soient présents. Cela étant dit, le nombre, en hausse, de pays représentés témoigne du réel intérêt des participants pour le partage de bonnes pratiques, par exemple lors du « Best Practice Forum on Cybersecurity »[9]. Réunir des parties prenantes si dissemblables permet au moins de décentrer les débats vers des problématiques en prise avec une actualité différente, portée par des acteurs d’horizons plus variés et porteurs de témoignages rares[10].
Témoigner pour inspirer
Un exemple frappant : le premier jour du Forum s’est tenue une session sur les innovations des pays du Sud en matière de cybersécurité[11]. Parmi le panel des intervenants se trouvait Andrew Toimoana, Directeur de l’information pour le ministère de l’Ecologie et de l’Energie des îles Tonga, État de Polynésie composé d’environ 170 îles dans l'océan Pacifique, au large de la Nouvelle-Calédonie. L’intervention d’Andrew Toimoana a marqué les esprits car elle était particulièrement était particulièrement instructive. Il y a au moins deux raisons à cela. La première est que ce témoigage a contribué à pallier le manque de connaissance que l’on peut avoir vis-à-vis de l’avancée de la coopération Sud-Sud en matière de cybersécurité. En effet, il a porté à la connaissance du public la création d’un centre d'alerte et de réponse aux attaques informatiques (CERT) l’été dernier dans les îles Tonga. La mission d’un CERT : identifier et contrer les attaques informatiques à l’encontre d’infrastructures à forte valeur stratégique.
Dans le cas des îles Tonga, il s’agit de protéger un câble de fibre optique sous-marin installé en 2013 pour apporter le haut débit aux habitants des îles Tonga. Le CERT Tonga marque un progrès indéniable de la coopération Sud-Sud en matière de cybersécurité : par exemple, les experts des îles Tonga ont pu s’inspirer des CERTs du Sri Lanka et de l'Ile Maurice grâce à des visites d’étude organisées par le Conseil de l’Europe. Une manière de partager les meilleures pratiques de cybersécurité appliquées à travers le monde[12]. La seconde raison de l’importance de cette intervention : le CERT Tonga est toute la première initiative de ce type dans les îles du Pacifique. Il est donc fondamental de partager les modalités de l’installation d’un CERT (quels collaborateurs, quelles ressources mobiliser par exemple ?) avec les personnes présentes au workshop, éventuellement intéressées pour répliquer l’initiative dans leurs propres territoires.
Lors du workshop « Working Together : Collaborative security in local contexts » le 7 décembre 2016, une autre intervention a suscité une forte impression : celle de Yurie Ito, fondatrice et la directrice exécutive du CyberGreen Institute. Outil concret, CyberGreen trouve son importance dans son approche singulière de la sécurité en ligne. En effet, cette organisation mondiale à but non lucratif renverse la perspective largement adoptée par les différentes parties prenantes et institutions liées à l’Internet. Ces derniers attachent une importance prépondérante aux capacités d'intervention contre les risques provenant de l’extérieur, à l’instar des attaques informatiques. Or, cette façon de voir et d’agir est jugée insuffisante par les membres de CyberGreen. Yurie Ito le résume ainsi : « Il faut prendre conscience que la cybersécurité concerne non seulement les capacités d'intervention en cas d'incident, mais également l'amélioration de l'environnement des réseaux afin de réduire les risques »[13].
Une approche presque « médicale » donc, puisque CyberGreen se propose d’améliorer la « global cyber health ». Pour ce faire, CyberGreen développe et publie des indicateurs : une plate-forme de statistiques est disponible en ligne[14] sous la forme d’une carte du monde illustrant le nombre d’« infections » par pays et les réseaux vulnérables, attribuant un score à chaque pays. Ces indicateurs chiffrés sont essentiels pour que les institutions puissent mieux comprendre les niveaux de risque dans le monde et entreprendre ensuite des actions préventives.
Processus multipartite, CERT, approche par les indicateurs, etc. : des nouveaux usages à méditer, pour faire face à des risques qui continueront à augmenter au fur et à mesure que la population des internautes augmentera et que se déploieront les usages mobiles d’Internet[15].
[1] « Remarks by the President on Securing Our Nation's Cyber Infrastructure », Barack Obama, 29 mai 2009, consulté le 8 décembre 2016, [en ligne] URL : https://www.whitehouse.gov/the-press-office/remarks-president-securing-our-nations-cyber-infrastructure.
[2] C’est le cas, entre autres, du Sommet mondial sur la société de l’information (SMSI) (https://www.apc.org/fr/glossary/term/1004) et du NETmundial (http://netmundial.br/fr/about/).
[3] Internet Governance Forum 2016, Jour 2, Workshop 87, « Law enforcement, Cyberspace & Juridiction », [en ligne] URL : http://www.intgovforum.org/multilingual/content/igf-2016-%E2%80%93-day-2-%E2%80%93-room-3-workshop-87-law-enforcement-cyberspace-jurisdiction
[4] ARPAGAN Nicolas, La Cybersécurité, Que sais-je, août 2015.
[5] « Berlin et Paris redoutent des cyberattaques de l’étranger, à l’approche de scrutins majeurs », Le Monde, 1er décembre 2016, consulté le 10 décembre 2016, [en ligne] URL : http://www.lemonde.fr/europe/article/2016/12/01/les-elections-en-europe-dans-la-cyberguerre_5041350_3214.html.
[6] Internet Governance Forum 2016, Jour 3, Workshop 153, « Let’s break down silos in cybersecurity and cyber crime », [en ligne] URL : http://www.intgovforum.org/multilingual/content/igf-2016-%E2%80%93-day-3-%E2%80%93-room-3-%E2%80%93-workshop-153-lets-break-down-silos-in-cyber-security-and-cyber
[7] MASSIT-FOLLEA Françoise, « Internet et les errances du multistakeholderism », Politique étrangère 2014/4 (Hiver), p. 29-41.
[8] Pour en savoir plus sur les nouveaux formats de sessions adoptés pour l’édition 2016 de l’IGF, un descriptif est donné ici : https://www.intgovforum.org/multilingual/content/new-session-formats-at-igf-2016
[9] Internet Governance Forum 2016, Jour 0, Pre-event, « Best Practice Forum on Cyber security », [en ligne] URL : http://www.intgovforum.org/multilingual/content/igf-2016-%E2%80%93-day-3-%E2%80%93-room-9-bpf-cybersecurity
[10] Internet Governance Forum 2016, Jour 0, Pre-event, « Creating Spaces for Multistakeholder Dialogue in Cybersecurity Processes », [en ligne] URL : http://www.intgovforum.org/multilingual/content/igf-2016-%E2%80%93-day-0-%E2%80%93-room-10-bpf-on-cybersecurity-creating-spaces-for-multistakeholder
[11] Internet Governance Forum 2016, Jour 1, Workshop 26, « Cyber security initiatives in and by the Global South », [en ligne] URL : http://www.intgovforum.org/multilingual/content/igf-2016-%E2%80%93-day-1-%E2%80%93room-3-workshop-26-cyber-security-initiatives-in-and-by-the-global-south
[12] TOIMOANA Andrew, « Lessons from establishing a national CERT », APNIC – Regional Internet Registry administering IP addresses for the Asia Pacific, 20 juillet 2016, consulté le 12 décembre 2016. [en ligne] URL : https://blog.apnic.net/2016/07/20/lessons-establishing-national-cert/.
[13] Internet Governance Forum 2016, Jour 2, Workshop 152, « Working Together : Collaborative security in local contexts », [en ligne] URL : http://www.intgovforum.org/multilingual/content/igf-2016-%E2%80%93-day-2-room-3-ws-152-working-together-collaborative-security
[14] Site Internet du CyberGreen Institute : http://stats.cybergreen.net/country/.
[15] ARPAGAN Nicolas, La Cybersécurité, ib.
Légende de la photo en bandeau : participants du workshop « Best Pratices on Cyber security », durant le Forum de la Gouvernance d’Internet (IGF) le 8 décembre 2016 à Jalisco, Mexique.
Les opinions et interprétations exprimées dans les publications engagent la seule responsabilité de leurs auteurs, dans le respect de l'article 3 des statuts de l'Institut Open Diplomacy et de sa charte des valeurs.