Technologies

Défis qui valorisent dans le cyberespace deux concepts westphaliens, la sécurité et la souveraineté

Par Philippe Muller Feuga* - 10 décembre 2018

A. Le défi numérique clairement énoncé se pose en défis de la compétence et de la compétitivité dans la nouvelle ère (Information Age) appelée à faire de ce siècle celui d’une nouvelle Renaissance, comparable au XVIème siècle reposant sur la diffusion de la connaissance, voire au XIXème siècle, tout aussi long et radieux que le siècle précédent (1914-1989) a été court et tragique. Il se double du défi autour de la souveraineté nationale, dont la souveraineté numérique, et in fine de la sécurité nationale. Ce double défi ferme la parenthèse de deux siècles de révolutions industrielles et donne le tempo aux théories économiques, celle de Schumpeter à présent vivace.

Défi de la compétence face à un gap culturel flagrant, et un défaut d’« agilité » organisationnelle dans l’espace infini du numérique, une quatrième dimension qui complète notre réalité à trois dimensions (les 3D). La cyberdéfense est devenue un enjeu stratégique pour le contrôle de l’information (ou data) et la bataille du cyberespace ; et ce contrôle s’additionne à celui des routes maritimes et des câbles sous-marins, tous appelés à garantir notre souveraineté nationale. Les cyberattaques ne sont qu’un élément des multiples tentatives d’intrusions dans les systèmes d’information (SI) ciblant quotidiennement les entreprises, administrations ou infrastructures critiques, surtout les plus sensibles ; leur nombre et les pertes financières qu’elles entraînent doublent tous les ans même si seules quelques centaines sont « élaborées ». Les Livres blancs sur la défense et la sécurité nationale de 2008 et de 2013 avec la LPM 2014-2019, actualisés par la Revue stratégique des armées d’octobre 2017 et celle du cyber en février 2018, soulèvent la question de l’imprévisibilité du cyberespace, « domaine en évolution rapide » selon la LPM 2019-2025. Tous soulignent le contexte d’accroissement des risques cyber et « la permanence d’une menace cybernétique significative ». Mais la manière dont elle est prise en compte révèle une approche subjective, incomplète et non coordonnée en termes de résilience qui peut rappeler les conditions profondes de « l’étrange défaite ». L’échec attendu de la taxation des GAFA n’est que le reflet de cette méconnaissance.
Si la cyberdéfense est une priorité officielle de l’OTAN depuis 2002, si l’ANSSI, lointaine héritière de la direction technique du chiffre (DTC) devenue la DCSSI, est créée et rattachée au SGDSN en 2009, les évolutions règlementaires en France, comme, dans une moindre mesure, dans l’Union européenne (UE) avec l’agence ENISA (créée en 2004), posent la question du degré de leur opérationnalité (cyber-sécurité) vers le secteur marchand. Enjeu majeur de souveraineté dans un contexte de conflictualité croissant, nos sociétés créent une volumétrie de données souvent déstructurées, certaines « essentielles ». Les entreprises basculent leurs systèmes industriels (type Scada ou SAP) en systèmes cognitifs à forte valeur ajoutée (plateformes, IA, etc.). Seul, le secteur de la défense a su s’appuyer sur le « concept interarmées de cyberdéfense », écho du Cyber Command américain (2009), à un moment où s’organise le commandement d’une cyber-armée (décembre 2016/juillet 2017) en tant que pendant de celui des opérations spéciales (COS), et que les Armées se lancent dans la transformation numérique (février 2018) pour relever le défi de la bataille avec des accents gaulliens. Ce qui introduit, pour la conduite de la guerre comme pour toute autre décision stratégique, un besoin de continuité dans le renseignement ou l’information assuré par l’innovation numérique. Ce besoin s’accompagne d’une adaptation de mesure et d’agencement des différents processus décisionnels utiles en temps réel. Il nécessite la protection des réseaux, mais surtout une gestion précise des informations (data) et des identités « sensibles » issues de l’espace numérique, soit par la signature électronique assurée d’une garantie régalienne, soit par des tiers de confiance ou par délégation. Ce besoin passe in fine par une différenciation entre contenant (SI) et contenu informationnel (data) dans cette technologie de rupture (disruptive technology) fondamentale. En effet, est transposée dans le cyberespace la sempiternelle question de confiance ou sécuritaire, avec pour réponse jadis le chiffrement, aujourd’hui élargi à la cryptologie : il s’agit d’assurer les qualités d’un message transmis (confidentialité, sécurité, authenticité, intégralité) entre deux personnes. Avec une double interrogation pour l’Etat en termes de sécurité nationale : imaginer le by design de la protection des informations les plus sensibles, et donc comment bénéficier des innovations du secteur privé ?
A partir des années 2001-2004, le risque numérique interpelle les administrations et entreprises, tous les directeurs ou dirigeants qui « ne sont pas suffisamment prudents en matière de protection de l'information » au point que les Echos rappelle régulièrement la nécessité d'une « hygiène de sécurité informatique », ainsi que l’ANSSI celle des « 40 règles d’hygiène informatique ». Et Alain Juillet : « Les entreprises ne sont pas préparées contre les risques du cyberespace » car « la guerre est aujourd’hui numérique ». Le rôle attribué aux hackers russes dans les piratages qui pèsent lors des campagnes électorales américaine ou européennes (novembre 2016 et en 2017) – mais aussi aux iraniens, chinois, nord-coréens ou pakistanais (comme le ransomware à souche WanaCrypt0r en mars-mai 2017) – crée des craintes en termes de sécurité globale, au point d’en considérer certains comme des Etats voyous (rogue states). Les incidents révélés sont de plus en plus complexes (Estonie, Ukraine, Arabie saoudite, etc.) ; l’existence de vulnérabilités liées à des failles (ou exploits) dans les systèmes IT d’automatisations type Scada/ICS, ou d’activités en réseaux (électricité, eau, transports, etc.) avec la gestion de leurs PIV (points d’importance vitale), et plus généralement de « systèmes de systèmes », y compris sur le plan militaire, conduisent à envisager la sécurité autrement : d’une part par intégration by design dans une interaction avec les éditeurs de logiciels, et par détermination des informations sensibles (ou sensitive data) menacées de pillage d’autre part. Sachant que toute avancée technologique comme l’intelligence artificielle (IA), le machine learning, la réalité augmentée, etc. sont autant de nouvelles armes pour des guerres hybrides, cybercriminalité organisée ou toute cyberattaque incluses, que des outils utiles à ces derniers.
Défi de la souveraineté autour de la valorisation d’une nouvelle unité, la donnée (data). Le manque de sensibilisation s’explique par la dissonance cognitive (gap culturel) des « élites » responsables politiques, y compris des corps intermédiaires. Comment ne pas s’en étonner ? La transformation profonde de nos sociétés européennes bouleverse nos modèles économiques, ainsi que nos organisations « en silos » ou statutaires peu « agiles » à s’adapter en cyber-résilience. La question de la coordination des services, voire de leur professionnalisation lors de toute maturation de conceptions reste toujours problématique pour mieux définir la doctrine et les orientations stratégiques par le politique. L’acceptation de toute nouvelle doctrine bouscule inévitablement les situations acquises (establishment). Pourtant elle s’opère irrésistiblement sous l’effet de deux phénomènes : la digitalisation exponentielle du moindre composant de l'activité humaine, individuelle ou en entreprise ; et sa structuration en réseaux, en « réseaux de réseaux » interconnectés ce qui valorise les conditions d’usage de la bande passante. C’est un enjeu stratégique pour une ambition de souveraineté numérique. La question n’est pas nouvelle, et remonte au programme Ariane (1973). Lanceur de satellites participant à l’autonomie stratégique de la France et de l’Union européenne, Ariane joue un rôle majeur dans la collecte de données transitant sur les différents réseaux (web) de l’Internet. La connexion satellitaire, jadis concurrente aux réseaux d’antennes de la téléphonie mobile, en devient un allié en tant qu’acteur de la 5G, futur standard de téléphonie mobile. Elle constitue une nouvelle étape dans le portage et la valorisation de la data en tant que solution complémentaire : elle apporte une couverture globale, améliore la vitesse, la latence et la capacité des réseaux mobiles grâce à la bande passante ouverte à un très large spectre de fréquences (de 600 MHz à 50 GHz). Leur contrôle s’ajoute aux précédents contrôles cités ci-dessus. Enjeu de souveraineté numérique, elle oblige à une interaction forte entre éditeurs, industriels et prestataires de services, et à une dynamique bottom up sous l’effet croissant d’applications ou de plateformes recherchées par les « métiers ». Elle devient un atout de souveraineté pour toute puissance en devenir.
De nouveaux triptyques s’inventent autour des actifs informationnels, extraits du Big Data nourri par la multiplication des capteurs et l’Internet des objets (IoT) cernant de plus en plus l’entreprise « agile » et l’individu « nomade » (automobiles, wearables, etc. équipés de multifonctionnalités multimodales). Déluge déstructuré de data stockées dans les clouds, réconciliées et analysées par des algorithmes toujours plus puissants, le captage de la valeur devient l’enjeu en tant que ressource inépuisable, en constante expansion. Orientée par l’intelligence artificielle (IA) capable de dialoguer au travers nos langages et les réseaux neuronaux (machines ou deep learning), bâtisseurs de réalité augmentée ou de réalité virtuelle aux incidences applicatives nombreuses (santé, transports, smart cities, etc.), la data devient une sensitive data de hauts de bilan convoités ou pillés par des fonds inamicaux (unfair competition) qui profitent d’un cyberespace intrusif car ouvert « sans frontières ».
Les premiers acteurs de l’Internet étaient animés par la philosophie libertaire, parfois de contre-culture style punk née dans les années 1960-70, ou par le principe de la liberté d’accès au logiciel (1983, projet GNU ou de la Free Software Foundation) avec un code source ouvert (use of free ou open source). Le cyberespace semblait contraire à toute régulation, emblématique de cyber-utopies libertaires, au point de bâtir le « projet » d’une nouvelle ressource mondiale à libre accès. Le concept de global commons désignant les océans ou l’air s’élargirait désormais au cyberespace comme autres « biens communs », avec une dérivée des creative commons en matière de droits d’auteur (copyright). Ce serait une sorte d’espace public mondial ou d’écosystèmes à construire hors « frontières » (A Déclaration of the Independance of Cyberespace, de John P. Barlow, février 1996) ; mais la tentation de les contrôler, puis de se les approprier dans une territorialité hors sol est possible sur un plan technique bien que contraire de l’approche « naturaliste » sous influence des principes de transparence et de liberté.
Des principes désormais revendiqués par l’ONU suite aux affaires Snowden, Wikileaks, aux activismes hackistes (tel Anonymous) ou par des ONG contestant la légitimité des États, et donc de leur souveraineté, par simple idéologie. Cette approche va plus loin avec la neutralité du net ou les conditions de diffusion de la connaissance, voire des œuvres posant la question des droits d’auteur (copyright) selon deux conceptions totalement opposées entre l’Union européenne et les Etats-Unis dont les GAFAM, et peut-être les BATHX chinois font écho. Des rapports de force qui semblent pencher vers ces derniers au détriment des Etats. Considérons à ce stade que le cyberespace en constante expansion se structure autour de trois axes en termes de souveraineté numérique, et donc de compétitivité (contrôle de la valeur) :
- une connaissance optimisée de l’environnement concurrentiel mondial par l’accès à une plus grande mobilité et à une meilleure visibilité pour les acteurs économiques dans leur positionnement sur le marché grâce à l’inévitable traçabilité de tout « clic » sur le web (celui de surface référencé comme sur le deep web), parfois dans la constitution d’écosystème de confiance basée sur la conformité (compliance) ou la certification (ISO 27001)
Mais cette « trace » a un revers : elle devient une cible de forces obscures émanant de rogue states, du terrorisme ou de la cybercriminalité organisée ce qui conduit à « la militarisation du cyberespace (...) [qui] passe par un renforcement des capacités défensives, voire offensives des États » et donc à la gestion de cyber-crise, à la cyber-résilience, voire à la cyber-dissuasion (avec la question des représailles comme le hacking back) ;
- le retour des Etats grâce à un renouvellement des concepts et des pratiques juridiques par l’adaptation du droit en général (extraterritorialité de droits nationaux, type ITAR ou OFAC ; inter-regulation de secteurs déjà régulés ; droit fiscal avec la taxation des GAFAM, la lutte contre le terrorisme, la cybercriminalité ou blanchiment), et de l’adaptation du cadre juridique et administratif des activités de renseignement issu du cyberespace, selon l’adage privacy versus security (mars 2016, Apple versus FBI).
A un moment où les Etats s’engagent dans le domaine de la sécurité des réseaux, de la protection des données, dont celles de la vie privée (PNR, Safe Harbor puis Privacy Shield, RGDP et Cloud Act de 2018) ou celles relevant du secret des affaires (trade secrets), de la lutte contre la fraude (directive eIDAS), c’est la mise en cohérence de ce nouvel espace grâce au retour de la puissance publique (État) et du régalien en tant que régulateur et protecteur des libertés liées aux identités numériques, et protecteur du secret des données ou de l’information sensible ;
- la reconnaissance d’une territorialité du cyberespace par ses éléments physiques afin d'éviter un cyber-Pearl Harbor touchant des infrastructures vitales ou « sensibles » (avec leurs PIV ou PSO et zones névralgiques) gérées en réseaux (toute énergie, eau, transports, etc.) pour assurer la continuité de leurs activités (SAIV). Ce qui introduit le cyberespace dans une doctrine militaire à préciser (cyberguerre).
Du virus Stuxnet (2007-2010), véritable cyber-arme proliférant ponctuellement dans les automates industriels (API) ou les systèmes SCADA (Thyssen-Krupp, Sony Pictures, TV-5, etc.), aux black-out de systèmes nationaux plus larges (Estonie en 2007, Ukraine en 2016), ce sont des « tests » d’une cyberguerre qui participent à une guerre commerciale avec des alliances qui se forment (comme entre la NSA et l’unité 8200 israélienne) ou qui s’élargissent pour peser sur toute une économie (WannaCry, logiciel de ransomware mondial en mai 2017).
Ce qui oblige une prise de conscience, une sensibilisation et une réelle coordination nationales ou européennes entre public et privé, et une adaptation du droit soumis à des compétences territoriales.
B. Le défi géopolitique révèle la confrontation dans de nouveaux rapports de force tant sur le plan défense et sécurité (hardwar et cyberwar) que dans le domaine économique ou de la désinformation (unfair competition ou soft war), avec un avantage pour les Etats-Unis engagés depuis les années 1990 dans une nouvelle réflexion stratégique (NSA, et création d’un Cyber Command en 2010) pour le maintien d’une puissance globale. Ceci souligne le caractère dual de la suprématie, civile et militaire avec un avantage pour le premier dans les Etats de droit, autre caractéristique de nos secteurs stratégiques.
La cyber-menace semble entretenir l’idée d’un retour de la guerre froide moins par le piratage qui aurait pesé sur les dernières élections américaines (novembre 2016) que par certains enjeux régionaux (mer de Chine), voire par l’institution d’un « nouvel ordre mondial » conforme aux ambitions de la Chine désireuse de contester l’hégémonie des Etats-Unis. Dès 2009, le gouverneur de la PBoC, Zhou Xiaochuan, évoque la possible réforme du SMI dans le prolongement de la position traditionnelle française (2011). Avec son entrée au sein de l’OMC, puis du FMI comme membre à part entière (2001), l’introduction du yuan dans le panier des DTS, càd comme monnaie de réserve (octobre 2016) après l’euro (en 1999), apparaît davantage comme un geste politique qu’économique même si, selon la PBoC, « l'intégration dans les DTS est une étape clé dans l'internationalisation du renminbi ; c'est aussi l'affirmation du succès du développement économique de la Chine et le résultat des réformes et de l'ouverture du secteur financier ». Mais le yuan demeure une monnaie « freely used rather than freely tradable ».
Au lieu de saisir cette occasion pour approfondir ses réformes économiques afin de « promouvoir la croissance mondiale » comme annoncé lors de sa présidence du G20 de 2016, la Chine reste profondément protectionniste, et peu encline à tolérer, pour le yuan, des fluctuations « libres » introduites dans les accords de la Jamaïque (1976) signés entre pays de l’OCDE. Après l’effondrement du système soviétique (1991), l’accélération du multilatéralisme prôné par l’OMC (Doha Round, 2001-2006) est favorable au fair trade avantageux pour les pays émergents, désormais intégrés dans la global value chains (GVCs). Ils se regroupent en différentes organisations régionales avec la formation des BRICS (2001-2011), regroupant 40% de la population mondiale et 23% du PIB mondial. Ils signent, notamment dans la sphère Pacifique, des accords « stratégiques » pour aboutir au Trans-Pacific Partnership, ou TPP (2002-2016) semble ouvrir la voie vers un « next world gold standard system », envisageable par la Chine dès 2009 avec la crise bancaire. Défiance à l’égard du dollar et de l’or-papier, la Russie et la Chine, suivies par les pays de l’Organisation de coopération de Shanghai (OCS), privilégient l’or dans leurs réserves comme peut l’attester l’ouverture du Shanghai Gold Fix (concurrent du London Gold Fix) en avril 2016 pour l’or à support physique. En termes d’endettement, la Russie a une dette de 18% de son PIB (contre 200% au Japon, 103% aux Etats-Unis et 92% pour l’UE), tandis que la Chine a une dette publique et privée de l’ordre de 250% (essentiellement privée en raison d’une politique accommodante) tandis qu’elle est créditrice d’un montant de créances croissant à l’égard des pays africains, et qu’elle reste la première détentrice de bons du Trésor américain (1.170 Mds $, soit 7,2% – à égalité avec le Japon – de l’encours total estimé à 14.700 Mds $, mais 29,2% des 4.000 Mds $ détenus par les Etats étrangers). Les ventes de la PBoC pour soutenir le yuan, les dévaluations de l’été 2015 et la baisse des réserves monétaires observées depuis le pic de 2014 (4.220 Mds $) à env. 3.160 Mds (2/3 en dollars, 1/5 en euros et 10% en £) expliquent une hémorragie de capitaux (IDE) en baisse pour la première fois depuis 2003 suite à la défense du yuan versus la remontée des taux d’intérêt aux Etats-Unis et l’effet de la politique commerciale du président Trump. La relance par la consommation (été 2018) est un symptôme de faiblesse. Tout en cherchant à stabiliser le yuan par un durcissement des restrictions sur les transferts de capitaux, sur les investissements des entreprises à l'étranger et sur les opérations de conversion pour les particuliers, et peut-être combiné avec la baisse des subventions publiques, la remontée des taux d'intérêt aux Etats-Unis peut continuer d'alimenter les fuites de capitaux chinois vers des placements plus rémunérateurs, et donc renforcer la pression sur le yuan. D’où le dilemme pour la Chine soit d'entamer davantage ses réserves de change, soit de tolérer la chute continue du yuan, quitte à déstabiliser son économie, à intensifier les inquiétudes des épargnants, et à terme la soutenabilité du plan Made in China 2025 et la solidité d’un régime autoritaire. Dès lors, l’éclatement de la crise bancaire, puis financière conduit à poser la question récurrente de savoir quel type de monnaie de réserve internationale est nécessaire pour assurer la stabilité financière et faciliter la croissance économique mondiales ? La Chine a cru que l’heure était venue de revenir au GES 2.0, mais la réforme du système monétaire international ne peut venir de pays émergents ou en développement pris dans le double piège du maintien du rythme rapide de la croissance économique et de la transition énergétique.
L’avantage technologique des Etats-Unis laisse davantage penser à une « guerre sans visages », à la fois guerre hybride (terrorisme et criminalité organisée) et guerre asymétrique compte tenu des moyens disproportionnés en termes de dépenses militaires rapportées au PIB, et d’actions cyber imprévisibles ou de l’ombre, ou « guerre fantôme » sans oublier les effets électromagnétiques peu coûteux mais efficaces déstabilisateurs – événements épisodiques face aux acteurs majeurs ou Big Five (les GAFAM et Twitter, et bientôt les BATXH chinois) dans l’accès, puis le contrôle et le stockage des données « sensibles » (data war issue du Big Data et du cloud). L’Union européenne (UE) y semble désemparée à la recherche de sa souveraineté numérique que d’autres Etats veulent mener à terme – il est vrai qu’il s’agit de pays autoritaires comme la Chine, la Russie, ou la Turquie avec leur moteur de recherche et leur service e-mail (sans réel conséquence dans des cyberattaques comme WanaCry de mai 2017 en Chine pour les machines dépendantes des anciennes versions Windows XP encore installées…) –. Dès lors, l’UE se trouve en porte-à-faux avec ses principes fondateurs. Ainsi, la libre circulation des données dans l’espace européen est défendue par Bruxelles en omettant la dimension extérieure de la construction européenne (principe de réciprocité), ce qui affaiblit les pays membres.
A ce jour, la bataille des infrastructures est perdue en Europe comme celle des composants, d’origine américaine ou chinoise (Huawei), mais l’UE garde des atouts et peut s’imposer dans l’industrie du logiciel. Le gap technologique européen est toutefois tempéré par les décisions de la CJUE [rejet de l’accord Safe Harbor (octobre 2015), puis adoption du Privacy Shield (juillet 2016)], par la contestation de l’arrangement fiscal accordé par l’Irlande à Apple (août 2016), ou tout simplement pour abus de position dominante (Google versus Commission européenne ou la Russie en 2016). Est-ce le retour de l’Etat régulateur dans une territorialisation des acteurs par usage de marqueurs et en leur opposant l’existence d’un « territoire fiscal du résident » pour leurs activités ? par la taxation des GAFA simpliste, et non mise au service de la souveraineté numérique ? Constitution d’une cyber-armée face à des opérations de déstabilisation ou d’attaques menées à des fins stratégiques (repérages, espionnage, tests d’intrusion, etc.) ? L’intelligence économique si souvent ignorée peut-elle être valorisée ? Selon le processus initié par les traités de Westphalie (1648) mais quelque peu éthéré avec la constitution du cyberespace, tout territoire s’identifie à un Etat qui y exerce la souveraineté politique, et donc ses pouvoirs régaliens. Dans cette logique, ce rapport de force, en fait classique, pose la question non pas de la construction européenne qui est une nécessité (premier marché du monde), mais de la gouvernance de l’Union européenne capable de construire une puissance européenne par une Commission dépassée par les événements, comme le montrent l'échec de la Stratégie de Lisbonne de 2000 (pourtant réaffirmée en 2005 et 2010), le rejet du TECE lors des referendums de 2005 qui explique le Brexit (juin 2016), les réticences de la Wallonie au traité CETA (octobre 2016) sur le recours aux tribunaux internationaux et l’euroscepticisme.
En l’absence de souveraineté, le « projet européen » se dilue dès l’apparition d’une crise faute de volonté politique, ou d’une logique de puissance associée à une vision stratégique pour rivaliser avec ses concurrents technologiques : les institutions européennes sont incapables de prendre leurs responsabilités face au double enjeu numérique (souveraineté et sécurité), de défendre le principe de réciprocité, de demander une administration partagée de l’Internet grâce à une réforme de l’organisme privé californien, l’ICANN appelé à demeurer sous la tutelle du Département du Commerce américain suite à l’élection de Donald Trump (janvier 2017), ou de prendre position sur le projet des tribunaux d'arbitrage dans les négociations transatlantiques (TTIP ou TAFTA, et CETA avec le Canada). Les réactions à la supposée « guerre commerciale » déclenchée par le président Trump ou à la dénonciation du projet d’accord nucléaire avec l’Iran (2018) montrent l’angélisme européen engagé dans une politique consensuelle d’« apaisement » sans aucune considération stratégique ou interprétation des véritables « buts de guerre » dans une « guerre sans visages » (comparable aux années 1935-1939).
Pis, il n'est pas certain que les membres du Parlement européen, comme ceux de la Commission européenne, aient une réelle connaissance des performances technologique et économique de l'Union face à ses principaux défis et concurrents mondiaux. Tout comme les organismes chargés de la sécurité des SI qui cherchent à protéger le contenant plutôt que le contenu stratégique même si, en France, la loi de programmation militaire (LPM) encadrant les seuls OIV les oblige à rechercher des marqueurs dans les SI et les terminaux. Pourtant, paradoxalement si la volonté politique se prononce fortement, ce double défi numérique et géopolitique est une chance pour l’Occident, et notamment pour l'Union européenne, dont la France, par la construction d’un écosystème de confiance en partenariat public-privé. Selon deux axes : l’un technologique par une réelle capacité d’innovation en logiciels et outils high tech (blockchain), notamment en termes d’identités numériques et de signature électronique (eIDAS) ; l’autre juridique, car seule capable de lutter contre tout abus dans l’utilisation des données personnelles, comme elle s’est engagée avec le Privacy Shield (juillet 2016) en attendant une réévaluation de la directive sur le secret des affaires (juin 2018) pour les autres « informations sensibles ». L’UE n’a pas pris la mesure du concept de « sécurité nationale » – trop limitée aux aspects des droits de propriété intellectuelle (ADPIC, ou accord de Marrakech en avril... 1994), ou sur les droits d’auteur (2018).
Malgré le programme sur la coordination des incidents cyber adopté aux Etats-Unis (2016) et le US Cloud Act (mars 2018), l’application de la directive NIS (Network and Information Security) ou le RGDP sont des textes capables de déclencher une prise de conscience sur la vulnérabilité de nos informations sensibles ou sensitive data.

C. Le défi démographique et culturel renvoie aux interrogations malthusiennes récurrentes à chaque transformation profonde du monde (Club de Rome en 1972), en termes de ressources, de migrations (gérées par l’ONU) et de formation dans les pays du Sud, y compris parmi les BRICS, les pays émergents et le continent africain.
L’absence ou le retard pris par ces pays dans leur transition démographique, l’incompétence de leurs dirigeants et la corruption, l’utilisation de certains différends (la question palestinienne) en fonds de commerce pour ces derniers conduisent aux déstabilisations actuelles (terrorisme, intégrisme, immigrations, etc.) et au risque de « guerre de civilisations » ou à des guerres hybrides.
La contestation des valeurs ou modes de vie occidentaux et la recherche d’un nouveau centre de pouvoir capable de rivaliser avec l’actuel centre sont des forces dynamiques non négligeables. Il faut en relativiser les effets :
- d'une part le sort des BRICS, dont la Chine, voire la Russie dont le budget national dépend à plus de 60% du cours du baril de pétrole, mais aussi l’Iran, la Turquie, l’Arabie saoudite ou l’Algérie aux alliances contre nature ou opportunistes opposé au « nouvel ordre » mondial né en 1991 : est-ce une remise en cause des principes d’organisation du monde à un moment où s’affirmerait une cyber-puissance avec la Chine et quelques alliés ?
- d'autre part la mise sous contrôle par l'Occident (Ocde ou Otan) de ces forces périphériques grâce notamment à son avance high tech à utilisation duale (drones, images satellitaires, interception de communications, cryptages, etc.) et au contrôle des flux financiers (shadow banking) : le système de compliance et l’Etat de droit sont-ils appelés à devenir des éléments de stabilité ?

D. Le défi environnemental est devenu le miroir du défi démographique. Il est dans certaines régions dramatique comme révélé à l’Est suite à la chute du Mur (1989-1991), et plus généralement dans les pays du Sud qui peuvent craindre légitimement que les normes écologiques et la question du réchauffement de la planète (COP 21 et COP 22) aient été inventées par l’Occident pour retarder leur émergence (cf. l’évolution chaotique du marché du carbone post Kyoto, 1997, ou le dernier rapport de l’AIE sur les rejets de CO2).
Le défi numérique s’incruste dans ce cyberworld en devenir par le rôle reconnu à l’ONU de la société civile, des ONG ou par l’écho donné à l’opinion publique omni dimensionnelle grâce à la mise en réseaux sur internet (cf. the rise of the network society), notamment sur les questions écologiques (tel Greenpeace), celle des biens communs (global commons) ou du terrorisme (tel Daech) et l’émergence de fake news comme moyen d’influence aussi déstabilisateurs que les « lanceurs d’alerte » au point de parler d’un cinquième pouvoir avec les réseaux sociaux.
La Chine synthétise ces défis : confrontée au risque politique (régime à parti unique et incertitude juridique), au risque d'approvisionnement en matières premières, au risque social (inégalités flagrantes entre campagnes et milieux urbains) et au risque environnemental (comparable à l’ex-URSS), la Chine tente de créer autour d’elle un nouveau centre de pouvoir (intranet indépendant, banque de développement indépendante des institutions de l’ONU, introduction du yuan/renminbi comme monnaie internationale, etc.) face aux Etats-Unis. Dans une optique résolument globale de « conquête du monde » par une tactique de prise de contrôle discrète de sociétés (lire technologies) occidentales et avec une apparente soif d’investissements (Huawei, ZTE ou Weibo, Alibaba, etc.) et de volonté de rivaliser avec l’Occident (dans le numérique, l’industrie des télécommunications, etc.) avec quelques succès technologiques comme le lancement du satellite quantique Mozi (août 2016), comparable à ce que fut l’envoi de Sputnik en 1957. Le succès de la Chine s’est construit dans un multilatéralisme bienveillant en offrant à ses entreprises nationales un marché intérieur captif. Il n’est pas certain que celui-ci se maintienne si la Chine doit ouvrir son marché pour répondre à une concurrence loyale ce qui remet en cause les bases du régime.
Mais la Chine n’est pas une économie de marché, et demeure un « colosse aux pieds d’argile » [colosse par sa population « accro » du numérique, et argile par la superposition de financements internes mais opaques de ses infrastructures (industrielles ou de transports, et secteur immobilier), véritable système de Ponzi, le tout corroboré par des statistiques contrôlées par le parti]. Le contrôle numérique avec attribution de points à chaque citoyen ne pourra se maintenir dans un système à parti unique, de surcroît marxisant. Malgré tout son désir, l’Empire du Milieu ne peut encore rivaliser, après vingt-cinq ans de croissance à double chiffre, avec l’Occident en termes d'accumulation de savoir-faire, d'innovations, de régulation environnementale, de contrôle qualité et de management séculaires.
Ajoutons que si la cyberwar bouscule les conditions de rivalités économiques dans le nouveau cyberespace, notamment entre les deux plus grandes régions économiques du monde (EU et UE) aux destins partagés, mais concurrents, l'idée d'un déclin général en termes de compétitivité qui affecterait tour à tour le Royaume Uni, l'Europe ou les États-Unis est également à relativiser selon une variable qui est fonction de leur agile capacité à réagir.
Tout comme les chocs et contre-chocs pétroliers (1974-1979 et 1986) ont permis aux États-Unis de rétablir leur compétitivité industrielle ; tout comme la crise financière de 2007-2008 a cassé la dynamique de l'euro en tant que monnaie commerciale et monnaie de réserve (env. 26% des réserves mondiales) l’empêchant de rivaliser ou de contester la primauté du dollar (2/3 des réserves) fort de ses outils (en termes de compensation, du système swift qui connecte près de 10 000 établissements bancaires ou financiers dans le monde, de la réglementation, etc.) ; tout comme les normes internationales (Bâle III ou Solvency II) émises par le Comité de Bâle (BCBS) et élaborées avant la crise hors toute légitimité démocratique pèsent sur le financement des économies européennes, et donc leur relance, à l’inverse des Etats-Unis qui préfèrent le cadre réglementaire de leur loi Dodd Franck (2010), l'UE doit accéder au régalien, et recouvrer ou affirmer sa souveraineté entière, omni dimensionnelle, dont sa souveraineté numérique face aux Big Five et aux concurrents. Elle doit sécuriser ses réseaux stratégiques, ses infrastructures critiques, ses équipements sensibles et ses actifs informationnels. Mais autrement que par les « stratégies de Lisbonne » qui ont échoué en raison d’« une harmonisation excessive », et trop top down, à peine atténuées en adoptant une « méthode ouverte de coordination » (MOC). Grâce à une inversion de l’ordre des facteurs : les États membres de l'UE savent montrer qu'ils sont capables d’être innovants dans le numérique, le gap technologique se traduisant essentiellement par le départ de nos chercheurs outre-Atlantique faute d’une forte gouvernance en Europe.
A nos Etats d’imposer à leurs responsables politiques et à la Commission un changement culturel complet pour une autre idée de la gouvernance européenne dans ce nouveau contexte de compétition grâce à un « principe de subsidiarité inversé » à contre-courant du comportement de la Commission qui « a voulu interférer dans tous les domaines de la vie quotidienne, avec pour résultat un désenchantement des peuples d'Europe ». De ce constat tardif, le président de la Commission Jean-Claude Juncker conclut : « l'Union européenne ne doit pas faire ce que les États membres, les nations et les collectivités locales savent mieux faire » grâce au principe de proportionnalité impliquant de ne pas « tomber dans des efforts d'harmonisation excessive ».
En matière de politique industrielle, il s’agit de privilégier d'une part, comme aux États-Unis dès les années 1980, un partenariat public-privé, et d'autre part une approche bottom up face à l'expansion du cyberespace pour répondre aux défis d'une croissance de l’e-economy avec le « tout connecté ». Le choc du Brexit en tant que cri d’alarme peut y contribuer. Face aux « mains invisibles » de nos rivaux et aux « guerres fantômes », le retour à la compétitivité impose des règles de protection des « informations sensibles » sans que cela soit au détriment de la sécurité nationale et des libertés publiques. Les pouvoirs publics doivent être à l’écoute des opérateurs qui sont confrontés à une concurrence impitoyable, avec des équipementiers étrangers qui n’hésitent pas à vendre à perte, lors d’appels d’offre notamment ; et être capables de bloquer toute opération de fusion/acquisition (procédure dite IEF avec une gestion plus exigeante) pouvant impliquer des entreprises « rivales » (traçabilité et suivi des engagements « sensibles »). Question de souveraineté.
A nos Etats d’exiger de Bruxelles (DG de la Concurrence) de bloquer toute stratégie indirecte qui participe au concept chinois de « guerre hors limite » dans lesquelles « l’objectif affiché et l’objectif caché sont souvent deux choses différentes » et d’adopter une stratégie offensive d’une part pour élargir la base industrielle (BITD) aux biens à double usage (BDU), d’autre part par un processus d’expertise suivi de certifications et de normalisations adapté comme celui mis au point par Thalès, type ITAR-free, et enfin une fiscalité rapportée à la territorialisation des activités, par exemple à partir des adresses IP des internautes. Question de sécurité.
Dans ce contexte de cyber-confrontation planétaire au cœur duquel le retour des concepts westphaliens est attendu par la question prédominante de la souveraineté et de la sécurité nationale, la faiblesse d’une gouvernance mondiale est flagrante, et le restera, repoussant sur le long terme la mise en place de politiques volontaires dans le cyberespace. L’échec limité, mais attendu des BRICS (20% du PIB mondial et 16% du commerce mondial), dont la Chine (11% du PIB et du commerce mondiaux, mais 1 000 Mds US$ de stock d’IDE, soit 1,3% du PIB mondial et 3 000 Mds US$ de dettes équivalant au montant de ses réserves monétaires), annonce le retour de l’Occident (respectivement 62% et 60% du PIB et du commerce mondiaux), et une opportunité cardinale pour l’UE.
A condition que les États européens mettent en place une véritable gouvernance fédérale fondée sur la défense de leur souveraineté (économique et numérique), une consolidation budgétaire de l’euro-zone (frein à l’endettement) et une politique de sécurité européenne (cyber-défense, identité numérique et renseignement stratégique, pourquoi pas franco-allemand ?) amorcée par Schengen, mais à renforcer sans renier leurs valeurs autour des libertés publiques et de la protection des données personnelles, ainsi que des principes de solidarité et de responsabilité.
Il n’en demeure pas moins que la rivalité existe et que l’unfair competition élargit la notion nouvelle de « guerre asymétrique » à la sphère économique à laquelle peut répondre l’Union européenne aux attributs de puissance recouvrés.

*Ph. Muller Feuga, Ancien Responsable de la Mission Protection du secret (MPS/HFDS/SGDSN),
Ancien Auditeur au Contrôle général économique et financier des Ministères économique et financier,
Membre du Groupe de travail sur le rôle des territoires non coopératifs dans la déstabilisation de la finance mondiale,
Membre du Comité scientifique de l’EFCSE (European Federation of CyberSecurity Experts),
Secrétaire général du club des Officiers de sécurité (ClOS)