L'initiative française répond en fait à deux urgences.

Au plan opérationnel, les attaques Wannacry et NotPetya ont sonné comme des « wake-up call », montrant les impacts systémiques que pouvaient entrainer les attaques informatiques et soulignant le besoin de renforcer la coopération internationale entre Etats, mais également entre Etats et entreprises et entre entreprises elles-mêmes. Comme tout système collectif repose d'abord sur la définition de normes communes, il était donc essentiel, après l'échec des dernières négociations du Groupe d'experts gouvernementaux travaillant sous l'égide de l'ONU, de relancer les discussions sur les normes de comportement des acteurs publics et privés sur Internet en associant étroitement les entreprises. De ce point de vue, l'initiative française a marqué des points puisqu'elle a rallié de nombreuses entreprises à la cause, qu'il s'agisse des géants du numérique (Microsoft, Facebook, Google, IBM, Kaspersky Lab, HP, Samsung...) ou d'acteurs verticaux (Enedis, Airbus, Lufthansa...).

Au plan politique, il était également urgent de positionner la France comme un acteur majeur de la « diplomatie numérique ». Au-delà des enjeux opérationnels, le numérique est en effet devenu un « objet » politique à part entière. Alors que la Russie pousse à l'ONU un projet de convention sur le sujet, qu'émergent de nombreuses initiatives privées comme le Charter of Trust lancé par Siemens ou le Tech Accord promu par Microsoft, qu'une reprise des discussions devrait avoir lieu à l'ONU dans les prochains mois, une initiative fédératrice, associant acteurs publics et privés, était nécessaire. Après ce premier pas, reste à mettre en pratique rapidement certains des 9 principes contenus dans le texte grâce à quelques « quick wins ». Parmi les axes de travail : la protection de l'intégrité du « cœur public » d'Internet, la coopération dans la prévention des interférences dans les processus électoraux, une meilleure intégration de la sécurité numérique dans les produits et services...

Pour réussir, les échanges devront se garder de toute vision manichéenne du sujet.

Il n'y a pas d'un côté les entreprises « victimes » et les Etats « coupables » qui menaceraient par leur bellicisme cybernétique la sécurité numérique et par voie de conséquence la prospérité économique mondiale. Certes, les entreprises sont les premières victimes des attaques, qu'elles soient lancées par des Etats ou des acteurs non étatiques. Les nouveaux empires que constituent les GAFA jouent par ailleurs, parfois contre leur gré, un rôle de plus en plus clé dans la paix et la stabilité mondiale. Jamais, par exemple, leur capacité d'influence sur les opinions publiques n'a été aussi grande. Mais si la globalisation a contribué à diluer un peu plus la souveraineté étatique, les Etats restent encore, à ce jour, les seuls garants de la stabilité internationale et, pour une partie d'entre eux au moins, d'un modèle de société démocratique.

De même, résumer le débat actuel par une opposition entre les tenants d'un « Internet global, libre et ouvert » et les partisans d'une ligne dure visant à rétablir la souveraineté et le contrôle des Etats sur leurs portions d'internet, entre les pays vertueux, défenseurs de la paix numérique, et les Etats voyous, chantres de la cyber guerre, est un peu court. Comme l'Estonie, l'Iran fait partie des pays ayant expérimenté une attaque touchant ses infrastructures critiques... En géopolitique, il n'y a finalement que des Etats cherchant à promouvoir et à défendre des intérêts, souvent divergents. D'un côté, les Etats-Unis qui cherchent à maintenir leur hégémonie et affirment maintenant au grand jour, y compris dans le domaine numérique, leur opposition au multilatéralisme susceptible d'affaiblir leur puissance. De l'autre, la Chine et la Russie, pour lesquelles le numérique est un fantastique moyen de rattrapage technologique et économique, et qui n'entendent pas restreindre leurs capacités d'action. Entre les deux, une Europe, encore lilliputienne au plan numérique, qui a choisi la voie du « droit » pour reconquérir une partie de sa souveraineté, largement dissoute par sa dépendance aux GAFA et sa soumission de fait à l'extraterritorialité du droit américain. D'où le Règlement européen sur la protection des données personnelles, le Privacy Shield, les débats sur la « taxe GAFA » et maintenant l'Appel de Paris. Il aura fallu deux conflits mondiaux pour que la SDN, puis l'ONU, ne soient créées. Nous ne sommes pas obligés d'attendre une attaque informatique d'ampleur internationale pour jeter les bases d'un système de cybersécurité collective.

---

Guillaume Tissier dirige CEIS, société de conseil en stratégie et en management des risques. CEIS co-organise, avec la Gendarmerie nationale, le Forum International de la Cybersécurité (FIC) qui a lieu à Lille les 22 et 23 janvier 2019. Le FIC, qui promeut une vision européenne de la cybersécurité, accueillera une réunion de travail réunissant plusieurs signataires de l'Appel de Paris.