Que contient la nouvelle cyber-stratégie internationale des États-Unis ?

Lors de la conférence RSA du 6 mai, les États-Unis ont dévoilé une stratégie visant à construire un écosystème numérique plus fort et plus sécurisé à travers le monde. Le Stratégie internationale des États-Unis en matière de cyberespace et de politique numérique La philosophie sous-jacente de l'ICDPS est la « solidarité numérique » face aux menaces croissantes de la Russie, de la Chine, de la Corée du Nord et de l'Iran.

Mais quel impact cela aura-t-il, le cas échéant, sur les entreprises ordinaires ? À tout le moins, cela devrait rappeler une fois de plus la nécessité d’une bonne gouvernance numérique.

Plonger plus profondément

Ce document n'apparaît pas dans le vide. Il s'appuie directement sur celui des États-Unis Stratégie nationale de cybersécurité de l'année dernière, qui avait son propre pilier dédié à la collaboration et au consensus internationaux. La diplomatie est l’un des trois principes qui sous-tendent le dernier document, qui affirme qu’il appliquera la « gouvernance internationale » à une multitude de domaines différents, allant des logiciels d’application aux câbles sous-marins.

Les deux autres principes fondamentaux de l’ICDPS sont le recours à l’action positive pour diffuser les avantages de la technologie et l’accent mis sur la cybersécurité et la résilience.

La stratégie mettra en œuvre ces principes dans quatre domaines d’action clés. Le premier consiste à créer un écosystème numérique ouvert et sécurisé. Cet écosystème repose sur les réseaux de télécommunications, qui ont leur propre sous-section dans le document, traitant explicitement des télécommunications 5G et 6G à venir. Un autre domaine d’intérêt est le cloud et les centres de données. Les câbles sous-marins (qui ont la fâcheuse habitude d'être coupé ou fouiné) et les satellites (le gouvernement américain a récemment découvert avec inquiétude que La Russie prévoyait un système antisatellite spatial) sont également des domaines d'intérêt.

Le deuxième domaine d’action appelle à des accords sur la gouvernance des données avec des partenaires internationaux respectueux des droits de l’homme. L’ICDPS appelle à la libre circulation des données entre les pays et souligne le travail que les États-Unis ont déjà réalisé pour élaborer des règles de confidentialité transfrontalières avec d’autres pays. Il a également mené une fouille latérale en Europe : « La montée d’un discours croissant sur la souveraineté numérique qui a été adopté par certains de nos proches partenaires et alliés a le potentiel de saper les objectifs clés de l’économie numérique et de la cybersécurité », a-t-il déclaré.

Un autre point central dans ce domaine d’action est le développement de normes ouvertes et impartiales. Ici, le document s’en prend explicitement à la Chine, qui, selon lui, prône une « approche descendante en matière d’élaboration de normes » et utilise son influence économique pour obtenir le soutien à ses propositions de normes. Le Département d’État a raison, car la Chine fait pression sur elle-même. normes Internet à l'UIT, et a aidé à construire des infrastructures pour les régimes autoritaires en utilisant son propre équipement.

Le document souligne également la nécessité d'élargir la participation civile aux décisions technologiques, à la promotion des droits civils en ligne et à l'établissement d'un traité sur la cybercriminalité respectueux des droits. Sa liste de choses à faire couvre également la promotion d’une IA digne de confiance et la lutte contre la désinformation.

Tenir les mauvais acteurs pour responsables

Le troisième domaine d’action se concentre sur la recherche d’un consensus parmi les acteurs étatiques en faveur d’un comportement responsable dans le cyberespace. Il se concentre spécifiquement sur le comptage des menaces pesant sur les infrastructures critiques. Il n’est peut-être pas surprenant que le document cite la Russie, la Chine, la Corée du Nord et l’Iran comme principaux agitateurs.

Ce pilier d’activité comprend le renforcement des infrastructures critiques contre les cyberattaques lancées par d’autres États grâce à la coopération internationale et l’isolement des mauvais acteurs sur la scène mondiale. Cela implique de réaffirmer les traités de défense mutuelle avec d’autres pays dans la mesure où ils s’appliquent au cyberespace. Article cinq du Traité de Washington de l'OTAN – qui permet aux membres de s'entraider en cas d'attaque – vient ici à l'esprit étant donné les tensions persistantes entre la Russie et les pays de l'alliance à propos de l'Ukraine.

La lutte contre les activités criminelles – en particulier les ransomwares – a sa propre section dans le troisième pilier, en résonance avec l’appel en faveur d’un traité sur la cybercriminalité dans le deuxième pilier. La stratégie dénonce « certains États » (ils parlent de vous, la Russie) qui « utilisent des acteurs de ransomware comme mandataires ou ferment les yeux sur leurs activités et l'impact significatif de leurs cyberattaques sur les infrastructures critiques ».

Fait intéressant, il existe également une section dédiée aux logiciels espions. En mars, les États-Unis ont ajouté six pays aux dix premiers pays ayant signé un engagement de la Maison Blanche pour contrer la prolifération de cette catégorie d’outils d’attaque. Israël, qui abrite le tristement célèbre groupe de logiciels espions NSO, est remarquablement absent.

Enfin, le quatrième domaine de la stratégie se concentre sur le renforcement de la politique numérique et des cybercapacités au niveau international. Dans ce domaine, les États-Unis s’engagent à travailler avec d’autres États pour les aider à renforcer leur cyber-résilience, notamment en créant de nouveaux outils et de solides réseaux de collaboration pour les aider à faire face aux défis émergents tels que les attaques contre les infrastructures.

Un rôle du secteur privé ?

Que devrait retenir le secteur privé de tout cela ? La stratégie appelle spécifiquement à une approche multipartite de ses objectifs de solidarité numérique, qui inclut les entreprises, et pas seulement les gouvernements. Bien qu’il s’agisse de discussions politiques de haut niveau dont les résultats devraient se traduire au fil du temps, les entreprises qui adhèrent à de bonnes pratiques de gouvernance numérique – allant de l’hygiène de la cybersécurité à l’utilisation responsable des nouvelles technologies – évolueront dans la même direction générale que le stratégie.

C'est un problème épineux que cette affaire de cyber-diplomatie internationale. À ce niveau, les États-Unis évoluent dans un domaine où il existe très peu de lois et où les agences de renseignement travaillent souvent à huis clos, disant une chose et faisant une autre.

D’un côté, les États-Unis doivent exercer le même type d’influence sur la politique mondiale dans le cyberespace qu’ils ont exercé pendant si longtemps dans le monde physique, d’autant plus que le domaine numérique est devenu un théâtre critique de guerres secrètes de toutes sortes ; infrastructurel, économique et informationnel.

Cet effort ambitieux demande beaucoup de crédibilité et de poids. Pourtant, c'est la même nation qui, numériquement, espionné ses propres citoyens massivement, prétendument entreprises étrangères piratées, l'a mis sur écoute propres alliés aux plus hauts niveaux, et miné normes de cryptage pour introduire des faiblesses techniques. Parmi bien d’autres escapades.

Et bien sûr, dans moins de six mois, tout pourrait à nouveau changer, à mesure que la médaille politique tourne à nouveau aux États-Unis. Si une nouvelle administration tristement isolationniste prend le pouvoir, que se passera-t-il alors ? Dans le monde grisant de la politique mondiale, rien n’est sûr et tout est à gagner.