Numérique
Penser la souveraineté numérique, c’est assurer la défense des libertés et des droits, des valeurs et des intérêts d’un État.
Par Par Frans Imbert-Vier et Philippe Muller Feuga* - Janvier 2019
La transformation schumpétérienne portée par l’information (la donnée) modifie les rapports de force à l’instar des révolutions industrielles des deux siècles précédents. Non sans incidence sur la stratégie de sécurité nationale, jusqu’à remettre en cause les relations entre l’État souverain et ses citoyens (le contrat social).
L’information numérique est l’objet d’une accumulation exponentielle, le Big Data, et devient un enjeu de puissance et d’influence par le cyberespace devenu malgré lui la nouvelle scène politique mondiale.
Le cyberespace est une quatrième dimension complétant notre réalité (les 3D), celle du virtuel où tout est traçable, mais aussi dissimulable, ou presque : data is digital.
A l’euphorie libertaire californienne prophétisant une new frontier de liberté célébrée par la « Déclaration d’indépendance du cyberespace » (Davos, 1996), succède une défiance symbolisée par la formule (personal) privacy versus (national) security. Un désir de libre chiffrement de l’information privilégie le premier terme de cet adage, mais la défiance fondée sur des vulnérabilités avérées conduit au second par la mise en place du contrôle, voire d’une censure d’État.
Est-ce la fin de l’État de droit souverain et du renseignement, ou l’émergence d’un État à surveillance de masse, nourri de données et armé d’une intelligence artificielle (IA) pour parer à toute attaque, opération de déstabilisation ou menace sur les intérêts fondamentaux d’une Nation ?
Une cyberguerre hors territorialité
Aux cyberattaques l’État doit répondre en s’appuyant sur le principe de réalité. Il dispose, depuis les années 1980, de technologies capables de réévaluer les concepts de confidentialité et de secret dans le traitement des données. Entre temps, les événements ont conforté ce constat : l’effondrement du système soviétique (1989-1991) et la menace islamiste radicale (à partir de 2001) défient défense et sécurité nationales.
Par la transformation numérique concomitante à la fin de la guerre froide, les frontières traditionnelles s’effacent. Les Etats, n’ayant pas anticipé ces phénomènes, peinent à y opposer leur souveraineté. La protection des informations « sensibles » faiblit face aux intrusifs GAFAM (Google, Apple, Facebook, Amazon, Microsoft) américains, concurrencés par les BATHX (Baitu, Alibaba, Tencent, Huawei et Xiaomi) d’un marché chinois où le PIB de l’industrie numérique dépasse celui des Etats-Unis (rapport du BCG, 2017) ce qui ne va pas sans difficulté !
Plus significative est la cyberguerre discrète, « hors limites » car « globale », par l’installation furtive d’armes non conventionnelles – sans en connaître leur « attribution » – permettant la captation ou le pillage d’actifs informationnels. Or, 24 agences (sur 26 !) américaines sont dédiées exclusivement à l’Intelligence économique (IE), autrement dit à l’espionnage industriel ou financier. Les cibles ? Installations vitales, start-up, incubateurs technologiques, centres de recherche, mais aussi le politique et son écosystème d’influence, les lobbyistes.
Guerre invisible et sécurité internationale
Vu par l’Union européenne, l’Internet reste un espace neutre et sans frontières, bien que géré par l’ICANN proche du Department of Trade (DoT), et qu’une des premières décisions de l’administration Trump abolit la neutralité du Net (juin 2018) libérant la bande passante, outil stratégique. Le cyberespace n’est pas neutre. Il engendre deux problématiques majeures : la protection de la vie privée, et une sécurité nationale, nourrie de renseignements sur les menaces intérieures ou extérieures.
Aux États-Unis, l’intelligence économique – orientation prise par la National Security Strategy dès 1990 – est une politique agile disposant des outils de la communauté du renseignement intérieurs et extérieurs, civils et militaires, ainsi que d’un arsenal juridique (CFIUS) souverain à capacité extraterritoriale. Elle bouscule notre concept de sécurité nationale qui est à réviser, en France comme en Europe. Or, la France est le dernier des cinq membres permanents du Conseil de sécurité (ONU) à ne pas avoir doté son arsenal politique d’outils comparables.
Transformer le bouclier et le glaive pour les adapter à l’ère du numérique, c’est traiter la traçabilité de l’information dans un cadre sécurisé, fiable et souverain, respectueux des règles démocratiques, pour préserver ses cinq éléments constitutifs (authenticité, confidentialité, disponibilité, intégrité et territorialité) de sa digitalisation pour transmission.
La donnée personnelle n’en est pas la seule concernée. La directive sur le secret des affaires (2016) est totalement obsolète compte tenu de l’avancée des technologies numériques. Notre cadre législatif et règlementaire doit se doter d’un arsenal technique agressif dans une cyberguerre ou « concurrence déloyale » pour protéger nos « secrets », défendre nos infrastructures critiques ou lutter contre l’extraterritorialité de l’ITAR qui pèse sur notre dépendance, ou du Cloud Act (2018) qui contourne magistralement nos propres réglementations, à commencer le RGPD.
La sécurité internationale et le retour des États
Le cyberespace se présente avec une dualité capable de répondre aux inquiétudes naissantes des citoyens. Capable de créer de nouvelles croissances, amorce d’une nouvelle économie créatrice d’emplois qui restent à inventer. Entre une « tyrannie douce » (Tocqueville) par le contrôle des comportements individuels, voire une orientation d’élections (activités de Cambridge Analytica) et une surveillance de masse comme en Chine, tout aussi imitée par les GAFAM qui nous tracent sans vergogne pour le compte de la NSA, doit être menée une réflexion sur l’avenir d’une société numérique souveraine en termes de codes de conduite et de droit international structurant la nouvelle ère ou Information Age autour de la confidentialité et du secret.
Cette réflexion est esquissée par la première conférence internationale « Construire la paix et la sécurité internationales de la société numérique » (Unesco, avril 2017) organisée à l’initiative de l’ANSSI par son directeur général précisant un principe d’indépendance : « Un État ne doit jamais construire sa cyberdéfense en interdépendance avec d’autres États, y compris alliés ». En clair, à chacun sa technologie. Ce qui amorce les contours du nouveau « contrat social » capable de rétablir la cyber-confiance, voire la « désescalade » en situation de cyber-conflits.
A l’ère de l’information, le principe d’autorité suprême d’indépendance d’un Etat s’affirmera dans le cyberespace, au détriment des GAFAM ou des BATHX. Toutefois, si la cyber-sécurité ou la cyberdéfense visent à protéger l’intégralité des composants d’une information (data), le statut politique de l’État hôte en tant qu’Etat de droit (degré de souveraineté numérique) conditionne cette protection.
*Frans IMBERT-VIER, Directeur Général d’UBCOM en charge de la Protection du Secret des entreprises
Philippe MULLER FEUGA, Ancien Responsable de la Mission Protection du secret (MPS/HFDS/SGDSN), Secrétaire général du Club des Officiers de sécurité (ClOS) et Membre du Comité scientifique de l’EFCSE (European Federation of CyberSecurity Experts)
