Illustration: Sophie Benmouyal
« Si tu veux la paix, prépare la guerre. » La professeure en cybersécurité Karine Pontbriand prend cet adage à la lettre. Elle souhaite que nous nous armions pour le prochain champ de bataille : le cyberespace.
Ils ont beau faire moins de bruit que les bombes et les chars d’assaut, les conflits politiques qui se déroulent en ligne n’en sont pas moins inquiétants. Il y a bien sûr la Russie contre l’Ukraine, la Chine contre Taiwan et le Maroc contre l’Algérie, mais aussi la Corée du Nord, qui se finance grâce aux attaques informatiques… Le concept est désormais bien concret.
Si bien que la Croix-Rouge veut qu’un emblème numérique soit créé pour protéger ses systèmes informatiques et ceux des centres médicaux partenaires, en vertu du droit international humanitaire, tandis que les spécialistes des États membres de l’OTAN se réunissent annuellement pour simuler les pires attaques et les surmonter. À une époque où nos infrastructures essentielles sont de plus en plus numériques, la question devient en effet pressante.
Professeure à l’Université Deakin, en Australie, la Québécoise d’origine Karine Pontbriand est spécialiste en cybersécurité. Avec le directeur du Groupe de recherche en cyberdiplomatie et cybersécurité de l’Institut d’études internationales de Montréal, Claude-Yves Charron, elle a codirigé l’essai Préparer la cyberpaix, qui sera publié à la fin mai. Nous l’avons rencontrée.
***
Québec Science : Vous publiez un livre sur la cyberguerre et son pendant plus positif, la cyber-paix. Pourquoi aborder ce sujet ?
Karine Pontbriand : La question de la cyberguerre est encore peu couverte par la recherche, surtout francophone. Dans les médias, on entend souvent parler de cyberattaques et de cybersécurité, mais l’ensemble des questions politiques qui se déroulent en coulisse y est peu développé.
Les États utilisent de plus en plus le cyberespace comme outil pour faire avancer leurs intérêts au détriment de la sécurité de cet espace vital dans le fonctionnement de nos sociétés modernes. Pourtant, nous sommes tous interconnectés dans cet espace transfrontalier : une cyberattaque en Europe de l’Est peut avoir des répercussions jusqu’en Amérique du Nord. Les États n’ont donc pas le choix de collaborer pour essayer de stabiliser le cyberespace et de limiter les effets négatifs des attaques.
QS Quelle place occupe le cyberespace pour les États ?
KP Les cyberattaques ne sont qu’un outil de plus dans leur arsenal, qu’ils emploient dans leur jeu de force continuel. Elles permettent de s’immiscer dans les affaires internes d’un autre État, par exemple, en manipulant des élections, en empêchant la sortie d’un film, pour semer le doute dans une population et s’en prendre au tissu social, pour nuire à un autre État financièrement. Certaines attaques peuvent avoir des conséquences concrètes, notamment quand elles en ciblent des infrastructures essentielles telles que les réseaux électriques ou les systèmes de transport. De plus en plus, les États et d’autres acteurs, tels que les terroristes, utilisent les cyberattaques dans le cadre de leurs attaques. Malheureusement, ce sont souvent les citoyens qui en sont les principales victimes.
QS On prédisait, aux débuts de la guerre en Ukraine, que celle-ci allait rapidement se répandre dans le monde numérique. Ça n’a pas été le cas. Qu’est-ce que cela nous dit sur l’avenir des guerres ?
KP C’est vrai que plusieurs experts ont été surpris des effets limités des cyberattaques russes en Ukraine, soulevant des questions : la Russie est-elle moins habile dans le cyberespace qu’on ne le pensait ? L’Ukraine avait-elle de meilleures cyberdéfenses ? Dans tous les cas, quand on parle de cyberguerre comme guerre du futur, je pense qu’il faut considérer ça avec un bémol : les cyberattaques ne sont qu’un seul type d’arme, qu’un outil parmi tous ceux dont un État dispose.
Et elles sont plus compliquées à utiliser qu’on ne le pense : il ne s’agit pas de peser sur un bouton ! Elles peuvent prendre beaucoup de temps à planifier et les effets sont souvent plus discrets que les chars d’assaut disposés le long de la frontière, ou les bombes lancées sur un centre-ville ennemi. Les armes traditionnelles demeurent les plus efficaces pour causer des dommages physiques.
QS La Chine accuse l’Occident d’avoir un « biais stéréotypé » envers elle quant à ses cyberactivités. Cette critique est-elle valide ?
KP Je pense qu’il faut se méfier de la Chine à bien des égards, et dénoncer ses pratiques douteuses, notamment sur le plan des droits de la personne et du cyberespionnage industriel. Or, il est vrai que les pratiques de certains États comme les États-Unis ne sont guère meilleures : on n’a qu’à penser aux révélations d’Edward Snowden sur le programme de surveillance très étendu de la National Security Agency.
Un employé d’une grande compagnie de télécommunication américaine qui tentait de percer le marché en Amérique latine m’a expliqué que, lorsqu’il essaie de convaincre les gouvernements de choisir sa compagnie en mentionnant les pratiques d’espionnage de la Chine, ses interlocuteurs ne sont pas très convaincus. On lui dit : « Que ce soit la Chine ou les États-Unis qui nous espionnent, ça ne change pas grand-chose. » Ce qui les convainc, cependant, c’est que les produits chinois sont moins chers !
QS Les technologies chinoises sont accueillies avec beaucoup de méfiance chez nous ; pensons aux produits Huawei ou à TikTok. Si on les compare avec des outils américains, comme Facebook qui collecte énormément d’informations sur nous, y a-t-il vraiment lieu de s’inquiéter ?
KP Pour les citoyens, je pense que le risque est semblable. Dans les deux cas, le problème, c’est qu’on accepte de donner accès à nos données à n’importe quel tiers en échange du service. C’est le modèle d’affaires des entreprises du numérique : on les paie avec de l’information sur nous. L’important pour les entreprises, c’est la poursuite de profit, elles prioriseront toujours leurs intérêts économiques avant leur devoir patriotique.
Le risque avec la Chine, c’est que le gouvernement peut forcer les entreprises à lui fournir des informations sur les consommateurs. Mais les États-Unis tentent aussi de le faire lorsqu’il est question de sécurité nationale.
QS Quelles sont les menaces principales pour la cybersécurité canadienne ?
KP Le Canada, comme tout pays développé dont les services essentiels et l’économie dépendent de plus en plus du cyberespace, est vulnérable. La plupart de nos infrastructures essentielles sont désormais « branchées » d’une façon ou d’une autre et peuvent être victimes de pannes informatiques ou de cyberattaques. Le cybercrime – tel que l’extorsion et le vol d’identité – est un autre fléau qui touche de plus en plus les Canadiens et Canadiennes. Les menaces ne font qu’augmenter.
QS Quelle est la différence entre la cyberdiplomatie et la diplomatie numérique ?
KP La cyberdiplomatie désigne la façon dont les États discutent, négocient et adoptent des normes par rapport aux sujets qui se rattachent au cyberespace et à sa gouvernance, dont la cybersécurité internationale, le cybercrime, la liberté d’Internet et le type d’actions tolérables dans le cyberespace.
La diplomatie numérique, c’est l’utilisation des moyens technologiques numériques par les acteurs de la scène internationale dans leurs activités diplomatiques traditionnelles.
QS Les entreprises privées multinationales ont une énorme présence dans le cyberespace. Cela affecte-t-il la cyberdiplomatie ?
KP Contrairement à d’autres domaines diplomatiques qui sont normalement du ressort des États, les entreprises s’immiscent dans les discussions qui concernent le cyberespace et tentent de promouvoir certaines normes, que ce soit dans certains forums de l’Organisation des Nations unies ou encore dans des forums qu’elles créent elles-mêmes. N’oublions pas que les entreprises privées créent, développent, implémentent et gèrent la plupart des nouvelles technologies numériques et que certaines multinationales ont un chiffre d’affaires plus gros que le PIB de plusieurs États. Elles ont donc beaucoup de pouvoir, et tentent de faire pencher la balance en fonction de leurs intérêts.
QS Dans le livre que vous codirigez, vous décrivez le concept de « résilience » dans un contexte de sécurité informatique. Pourquoi cette approche vous semble-t-elle importante ?
KP Parce que la sécurité absolue n’existe pas dans le cyberespace. S’assurer qu’aucune vulnérabilité n’existe parmi les millions de lignes de code est pratiquement impossible. La résilience part de l’idée que le système va être infiltré ou perturbé un jour ou l’autre. L’objectif n’est pas d’éviter les attaques à tout prix, mais plutôt de s’assurer que, si on est victime d’une attaque, on est en mesure d’en limiter les conséquences.
QS Comment « préparer la cyberpaix » ?
KP La cyberpaix, tout comme la paix universelle, est probablement inatteignable. L’objectif réaliste est de mitiger les tensions et de viser la coopération, particulièrement autour des intérêts communs des acteurs. Dans le domaine des affaires, on parle de « coopétition », un mélange de compétition et de coopération, lorsque deux entreprises en concurrence dans le marché établissent des partenariats qui leur permettent de tirer des bénéfices communs. Au lieu d’être un jeu à somme nulle, la gouvernance internationale du cyberespace peut s’effectuer en mode gagnant-gagnant. Mais pour ça, il faut commencer par diminuer les tensions et éviter les dialogues de sourds.
