Même si les traités formels de cybersécurité sont inapplicables, il est peut-être encore possible de fixer des limites à certains types de cibles civiles et de négocier des règles de base. La question de savoir si Joe Biden a réussi à lancer un tel processus lors de sa rencontre avec le président russe et s’il peut se clarifier prochainement.
Lorsque le président américain Joe Biden et le président russe Vladimir Poutine ont tenu leur premier sommet à Genève le mois dernier, les cyberarmes ont occupé une place plus importante que les armes nucléaires à l’ordre du jour. Le monde a changé depuis la guerre froide, mais qu’est-ce que Joe Biden a accompli, si tant est qu’il ait accompli quelque chose ?
Depuis plus de deux décennies, la Russie propose un traité des Nations unies sur la cybercriminalité. Mais les États-Unis considèrent qu’un tel pacte est invérifiable. Contrairement aux armes nucléaires, la différence entre une cyberarme et un autre code informatique peut dépendre simplement de l’intention du programmeur.
Au lieu d’un traité, la Russie, les États-Unis et 13 autres États ont accepté des normes volontaires, définies par des groupes d’experts gouvernementaux sous l’égide de l’ONU, interdisant les attaques contre les infrastructures civiles des autres pays et n’excluant pas les actes illicites commis à partir de leur territoire. Bien que ces normes aient été réaffirmées à l’ONU au printemps dernier, les sceptiques notent que peu de temps après avoir accepté un rapport de 2015, la Russie a attaqué le réseau électrique de l’Ukraine et s’est ingérée dans l’élection présidentielle américaine de 2016.
Cyberespionnage
Contrairement aux États-Unis, qui ont créé un cybercommandement (USCYBERCOM) en 2010, la Russie n’a jamais officiellement admis disposer de cybercapacités offensives. Les deux pays pénètrent dans les réseaux de l’autre pour recueillir des renseignements, mais il est parfois difficile de tracer une ligne entre l’espionnage et la préparation du champ de bataille. C’est pourquoi les États-Unis se sont plaints au début de l’année de l’attaque russe contre la société américaine SolarWinds, qui aurait infecté au moins neuf grandes agences gouvernementales et plus d’une centaine d’entreprises importantes.
Même si les traités formels de contrôle des armements sont inapplicables, il peut toujours être possible de fixer des limites à certains types de cibles civiles et de négocier des règles de conduite approximatives. Par exemple, en dépit de profondes divergences idéologiques, les États-Unis et l’Union soviétique ont négocié en 1972 un accord sur les incidents en mer afin de limiter les comportements navals susceptibles d’entraîner une escalade dangereuse.
L’espionnage n’est pas contraire au droit international et un accord visant à l’interdire ne serait pas crédible. Néanmoins, les États-Unis et la Russie pourraient négocier des limites à leur comportement concernant l’étendue (et non l’existence) de leur cyberespionnage. Ils pourraient également convenir de fixer des limites à leur intervention dans les processus politiques nationaux de l’autre partie. Même s’il n’y a pas d’accord sur des définitions précises, ils pourraient échanger des déclarations unilatérales sur les domaines d’autolimitation et établir un processus consultatif régulier pour contenir les conflits.
Profitez d'un accès illimité aux idées et opinions des plus grands penseurs du monde, y compris des lectures hebdomadaires, des critiques de livres et des interviews !
Offre de l'été : 70€ au lieu de 78€
S'abonner maintenant !
Instaurer des digues
Cette approche semble avoir été celle explorée par Biden à Genève. Selon les comptes rendus de presse, M. Biden a remis à M. Poutine une liste de 16 secteurs d’infrastructures critiques – dont l’énergie, la santé, les technologies de l’information, les services financiers, les produits chimiques et les communications – qui, selon lui, « devraient être interdits d’attaque, point final ».
Dans un sens, ce n’est pas nouveau. La liste de ce que les Américains considèrent comme des infrastructures critiques est publiée depuis longtemps sur le site web de l’Agence américaine de cybersécurité et de sécurité des infrastructures. Mais c’est différent lorsqu’un chef d’État remet une liste à un autre.
Après la réunion, M. Biden a révélé qu’il avait demandé à M. Poutine ce qu’il ressentirait si les pipelines russes étaient mis hors service par un ransomware, comme l’a été en mai le pipeline américain Colonial par des criminels opérant depuis la Russie. Cela serait très coûteux pour l’économie russe, qui dépend fortement des pipelines pour exporter son gaz naturel. Les Américains n’ont pas attribué l’attaque par ransomware contre Colonial au gouvernement russe, mais les experts américains ont noté que les bandes criminelles en Russie semblent opérer en toute impunité tant qu’elles n’attaquent pas des cibles russes.
Jeu de dissuasions et lignes rouges
Lors de la conférence de presse qu’il a donnée à l’issue du sommet, M. Biden a déclaré : « Je lui ai fait remarquer que nous disposions d’importantes capacités informatiques. Et il le sait. Il ne sait pas exactement de quoi il s’agit, mais c’est important. Et si, en fait, ils violent ces normes de base, nous répondrons par la cybernétique. Il le sait. » En d’autres termes, Biden sous-entendait une menace dissuasive si la Russie continuait à violer les normes volontaires interdisant les attaques contre les infrastructures civiles et l’utilisation de son territoire à des fins nuisibles. Poutine est intelligent, et il a certainement entendu le message, mais l’amélioration du comportement de la Russie dépend de la crédibilité de Biden.
Il peut être délicat de tracer des lignes rouges. Certains critiques s’inquiètent du fait qu’en spécifiant ce qui doit être protégé, M. Biden pourrait avoir laissé entendre que d’autres zones sont acceptables. En outre, les lignes rouges doivent être appliquées pour être efficaces. Les critiques soutiennent que l’avertissement aurait dû porter sur la quantité de dommages causés, et non sur le lieu ou la manière dont ils sont causés.
Par analogie, on ne dit pas à un hôte de fête d’éteindre toute sa musique ; on l’avertit que si le bruit devient intolérable, on appellera la police. Il reste à voir comment Poutine interprète le message de Biden dans les mois à venir, mais les deux présidents ont convenu de créer un groupe de travail sur la cybernétique qui pourrait tenter de définir les limites du « tolérable ».
Les États-Unis devront énoncer unilatéralement les normes qu’ils s’engagent à respecter. Lorsque la Russie franchira cette ligne, l’Amérique devra se préparer à des représailles ciblées, par exemple en vidant les comptes bancaires de certains oligarques privilégiés, en diffusant des informations embarrassantes ou en perturbant les réseaux russes. La stratégie de défense avancée et d’engagement persistant de l’USCYBERCOM peut être utile pour la dissuasion, mais elle doit être accompagnée d’un processus de communication discrète.
Les groupes criminels agissent souvent, à des degrés divers, comme des mandataires de l’État, et les États-Unis devront faire comprendre que le fait de servir de refuge aux cybercriminels entraînera des représailles. Et parce que les règles du jeu ne seront jamais parfaites, elles doivent être accompagnées d’un processus consultatif régulier qui établit un cadre d’alerte et de négociation. Les mois à venir pourraient bien montrer si Biden a réussi à lancer un tel processus à Genève, ou si les cyberrelations entre la Russie et les États-Unis resteront dans leur mauvais état.
Pour avoir un accès illimité à notre contenu, y compris des articles approfondis, des critiques de livres, des interviews exclusives, veuillez vous abonner.
Dans leur nouvel accord de sécurité et de technologie avec l’Australie, l’Amérique et la Grande-Bretagne ont obtenu des gains tactiques au détriment des objectifs stratégiques dans la région indopacifique. En réalité, étant donné que l’accord a profondément divisé l’Occident, le plus grand gagnant à long terme pourrait bien être la Chine.
L’adieu au statu quo allemandLe président chinois Xi Jinping accueille la chancelière allemande Angela Merkel lors du sommet du G20 à Hangzhou (Chine) le 4 septembre 2016.
Les Verts et les sociaux-démocrates ayant obtenu de bons résultats aux élections fédérales allemandes, il est probable que les chrétiens-démocrates de la chancelière sortante Angela Merkel soient relégués dans l’opposition. L’espoir est maintenant que la politique économique allemande commence à se tourner vers l’avenir, plutôt que vers le présent.
L’alliance transatlantique connaît une période de restauration après les dégâts causés par l’ancien président américain Donald Trump. Mais comme la sortie désordonnée de l’Occident d’Afghanistan l’a clairement montré, les États-Unis et leurs alliés européens doivent entreprendre des efforts déterminés pour se préparer aux formidables défis auxquels ils sont désormais confrontés.
La pandémie de Covid-19 a frappé l’Amérique latine de plein fouet, rendant encore plus difficile pour la région de poursuivre une décarbonation rapide et une résilience climatique. Mais si les responsables politiques parviennent à associer les politiques climatiques à un programme social plus large, ils peuvent commencer à transformer les coûts potentiels en avantages à long terme.
Parier sur l’ItalieMario Draghi, le premier ministre italien, s'exprime lors d'une conférence de presse à Rome, le 16 avril 2021.
L’Italie a connu plus de deux décennies de faible croissance économique et de performances inférieures à son potentiel. Mais deux facteurs semblent aujourd’hui changer la donne : la mise en place d’un gouvernement crédible et efficace et la volonté retrouvée de l’Union européenne d’apporter un soutien budgétaire solide.
Les preuves de la catastrophe qui nous attend si nous ne faisons pas face au changement climatique continuent de s’accumuler. Les récentes inondations dévastatrices en Asie et en Europe occidentale, les températures record en Amérique du Nord et les incendies de forêt qui font rage dans le sud de l’Europe nous rappellent qu’aucun pays n’est à l’abri. L’avenir de chacun d’entre eux dépend des actions de tous.
OpenClassrooms a remporté le 29 septembre le Trophée des futures licornes qui a identifié, ces quatre dernières années, toutes les start-up françaises qui ont dépassé le milliard d’euros de valorisation. Ce spécialiste de la formation en ligne succède à Believe, une plateforme musicale qui, peu après avoir reçu le Trophée 2020, s’est introduite en Bourse, levant plus de 300 millions d’euros. SAY s’invite au passage de relais.
Propos recueillis par Jean Rognetta et Ferdinand Le Coz.
La nécessité de l’AUKUS face à la ChineLe Premier ministre britannique Boris Johnson accueillant le 14 juin 2021, au 10 Downing Street, le Premier ministre australien Scott Morrison.
La diplomatie entourant le récent accord entre l’Australie, le Royaume-Uni et les États-Unis a laissé beaucoup à désirer, et le Premier ministre britannique Boris Johnson va maintenant concentrer ses efforts sur l’apaisement avec les Français. Mais cet accord ne devrait pas être le dernier entre des puissances partageant les mêmes idées pour contrer l’agression chinoise.
Connexion/Inscription
Veuillez vous connecter ou vous inscrire pour continuer. L'inscription est gratuite et ne requiert que votre adresse e-mail.
Lorsque le président américain Joe Biden et le président russe Vladimir Poutine ont tenu leur premier sommet à Genève le mois dernier, les cyberarmes ont occupé une place plus importante que les armes nucléaires à l’ordre du jour. Le monde a changé depuis la guerre froide, mais qu’est-ce que Joe Biden a accompli, si tant est qu’il ait accompli quelque chose ?
Depuis plus de deux décennies, la Russie propose un traité des Nations unies sur la cybercriminalité. Mais les États-Unis considèrent qu’un tel pacte est invérifiable. Contrairement aux armes nucléaires, la différence entre une cyberarme et un autre code informatique peut dépendre simplement de l’intention du programmeur.
Au lieu d’un traité, la Russie, les États-Unis et 13 autres États ont accepté des normes volontaires, définies par des groupes d’experts gouvernementaux sous l’égide de l’ONU, interdisant les attaques contre les infrastructures civiles des autres pays et n’excluant pas les actes illicites commis à partir de leur territoire. Bien que ces normes aient été réaffirmées à l’ONU au printemps dernier, les sceptiques notent que peu de temps après avoir accepté un rapport de 2015, la Russie a attaqué le réseau électrique de l’Ukraine et s’est ingérée dans l’élection présidentielle américaine de 2016.
Cyberespionnage
Contrairement aux États-Unis, qui ont créé un cybercommandement (USCYBERCOM) en 2010, la Russie n’a jamais officiellement admis disposer de cybercapacités offensives. Les deux pays pénètrent dans les réseaux de l’autre pour recueillir des renseignements, mais il est parfois difficile de tracer une ligne entre l’espionnage et la préparation du champ de bataille. C’est pourquoi les États-Unis se sont plaints au début de l’année de l’attaque russe contre la société américaine SolarWinds, qui aurait infecté au moins neuf grandes agences gouvernementales et plus d’une centaine d’entreprises importantes.
Même si les traités formels de contrôle des armements sont inapplicables, il peut toujours être possible de fixer des limites à certains types de cibles civiles et de négocier des règles de conduite approximatives. Par exemple, en dépit de profondes divergences idéologiques, les États-Unis et l’Union soviétique ont négocié en 1972 un accord sur les incidents en mer afin de limiter les comportements navals susceptibles d’entraîner une escalade dangereuse.
L’espionnage n’est pas contraire au droit international et un accord visant à l’interdire ne serait pas crédible. Néanmoins, les États-Unis et la Russie pourraient négocier des limites à leur comportement concernant l’étendue (et non l’existence) de leur cyberespionnage. Ils pourraient également convenir de fixer des limites à leur intervention dans les processus politiques nationaux de l’autre partie. Même s’il n’y a pas d’accord sur des définitions précises, ils pourraient échanger des déclarations unilatérales sur les domaines d’autolimitation et établir un processus consultatif régulier pour contenir les conflits.
S'abonner à SAY
Profitez d'un accès illimité aux idées et opinions des plus grands penseurs du monde, y compris des lectures hebdomadaires, des critiques de livres et des interviews !
Offre de l'été : 70€ au lieu de 78€
S'abonner maintenant !
Instaurer des digues
Cette approche semble avoir été celle explorée par Biden à Genève. Selon les comptes rendus de presse, M. Biden a remis à M. Poutine une liste de 16 secteurs d’infrastructures critiques – dont l’énergie, la santé, les technologies de l’information, les services financiers, les produits chimiques et les communications – qui, selon lui, « devraient être interdits d’attaque, point final ».
Dans un sens, ce n’est pas nouveau. La liste de ce que les Américains considèrent comme des infrastructures critiques est publiée depuis longtemps sur le site web de l’Agence américaine de cybersécurité et de sécurité des infrastructures. Mais c’est différent lorsqu’un chef d’État remet une liste à un autre.
Après la réunion, M. Biden a révélé qu’il avait demandé à M. Poutine ce qu’il ressentirait si les pipelines russes étaient mis hors service par un ransomware, comme l’a été en mai le pipeline américain Colonial par des criminels opérant depuis la Russie. Cela serait très coûteux pour l’économie russe, qui dépend fortement des pipelines pour exporter son gaz naturel. Les Américains n’ont pas attribué l’attaque par ransomware contre Colonial au gouvernement russe, mais les experts américains ont noté que les bandes criminelles en Russie semblent opérer en toute impunité tant qu’elles n’attaquent pas des cibles russes.
Jeu de dissuasions et lignes rouges
Lors de la conférence de presse qu’il a donnée à l’issue du sommet, M. Biden a déclaré : « Je lui ai fait remarquer que nous disposions d’importantes capacités informatiques. Et il le sait. Il ne sait pas exactement de quoi il s’agit, mais c’est important. Et si, en fait, ils violent ces normes de base, nous répondrons par la cybernétique. Il le sait. » En d’autres termes, Biden sous-entendait une menace dissuasive si la Russie continuait à violer les normes volontaires interdisant les attaques contre les infrastructures civiles et l’utilisation de son territoire à des fins nuisibles. Poutine est intelligent, et il a certainement entendu le message, mais l’amélioration du comportement de la Russie dépend de la crédibilité de Biden.
Il peut être délicat de tracer des lignes rouges. Certains critiques s’inquiètent du fait qu’en spécifiant ce qui doit être protégé, M. Biden pourrait avoir laissé entendre que d’autres zones sont acceptables. En outre, les lignes rouges doivent être appliquées pour être efficaces. Les critiques soutiennent que l’avertissement aurait dû porter sur la quantité de dommages causés, et non sur le lieu ou la manière dont ils sont causés.
Par analogie, on ne dit pas à un hôte de fête d’éteindre toute sa musique ; on l’avertit que si le bruit devient intolérable, on appellera la police. Il reste à voir comment Poutine interprète le message de Biden dans les mois à venir, mais les deux présidents ont convenu de créer un groupe de travail sur la cybernétique qui pourrait tenter de définir les limites du « tolérable ».
Les États-Unis devront énoncer unilatéralement les normes qu’ils s’engagent à respecter. Lorsque la Russie franchira cette ligne, l’Amérique devra se préparer à des représailles ciblées, par exemple en vidant les comptes bancaires de certains oligarques privilégiés, en diffusant des informations embarrassantes ou en perturbant les réseaux russes. La stratégie de défense avancée et d’engagement persistant de l’USCYBERCOM peut être utile pour la dissuasion, mais elle doit être accompagnée d’un processus de communication discrète.
Les groupes criminels agissent souvent, à des degrés divers, comme des mandataires de l’État, et les États-Unis devront faire comprendre que le fait de servir de refuge aux cybercriminels entraînera des représailles. Et parce que les règles du jeu ne seront jamais parfaites, elles doivent être accompagnées d’un processus consultatif régulier qui établit un cadre d’alerte et de négociation. Les mois à venir pourraient bien montrer si Biden a réussi à lancer un tel processus à Genève, ou si les cyberrelations entre la Russie et les États-Unis resteront dans leur mauvais état.
Lire sur le même sujet Cybersécurité : l’état d’urgence de Michael Chertoff, Latha Reddy et Alexander Klimburg (paru dans SAY 4) et Le nouveau Far West du cyberespace de Richard Haass.