Par Alix Desforges, Chercheuse à la Chaire Castex de cyberstratégie
La cybersécurité de la région Asie-Pacifique est caractérisée par une grande disparité de capacités et de maturité entre les pays. Les initiatives de coopération internationale se heurtent aux conflits territoriaux et historiques toujours irrésolus qui fragmentent le paysage géopolitique du cyber en Asie, fortement structuré par la rivalité entre les Etats-Unis et la Chine. Cette perspective Europe-Asie sur la cybersécurité est basée sur les débats qui se sont tenus le 7 juillet 2016 lors du colloque international « Géopolitique du Cyber en Asie » organisé par la Chaire Castex de cyberstratégie, en partenariat avec l’Institut Français de géopolitique (Paris 8), l’East-West Institute et Asia Centre, et avec le parrainage du Forum International de Cybersécurité (FIC).
Ce colloque visait à comprendre les enjeux géopolitiques de la cyberdéfense et de la cybersécurité en Asie, tout en apportant une perspective croisée entre l’Europe et l’Asie sur les questions liées au rôle du secteur privé dans la cybersécurité, la protection des données et les enjeux de souveraineté. Cet événement a réuni des intervenants de haut niveau, à l’invitation de la titulaire de la Chaire Castex Frédérick Douzet, dont Martin Libicki (RAND Corporation), Elina Noor (Institute of Strategic and International Studies – Malaisie), Angela McKay (Microsoft), Cai Cuihong (Université de Fundan), Ian Brown (Oxford University) ou encore Caitriona Heinl (RSIS Singapour).
Un marché dynamique porté par une forte volonté politique de développer des technologies locales
Les pays asiatiques considèrent l’innovation technologique comme un important levier pour leur développement économique. Le secteur télécom s’inscrit au sein de chaque pays comme l’un des moteurs essentiels. A l’aune des révélations Snowden, il constitue également une opportunité afin de structurer une offre nationale de produits et de services de cybersécurité, face à la prédominance des entreprises américaines sur le marché, et qui s’affichent comme étant plus sûrs et de confiance.
Toutefois, les disparités de capacités en matière de cybersécurité entre les pays de la région Asie-Pacifique restent très importantes. La structuration d’une offre nationale requiert en effet un investissement financier et humain que tous les Etats de la zone ne sont pas en mesure de fournir de façon continue. Les pays les plus avancés ont mis en place des stratégies d’exportation ambitieuse en direction des pays les moins avancés. Les Etats œuvrent pour contrôler davantage l’environnement stratégique de leurs entreprises et incidemment leur propre environnement en tant qu’Etat souverain.
De la souveraineté des Etats dans le cyberespace
Pour appuyer leur stratégie économique et industrielle, plusieurs Etats asiatiques ont développé le concept de souveraineté dans le cyberespace. Egalement populaire dans plusieurs pays européens, ce concept révèle une prise de conscience des enjeux d’autonomie stratégique liés à la cybersécurité mais constitue aussi l’expression de rivalités de pouvoir face, principalement, à la puissance américaine. Outre-Atlantique, ce concept est perçu comme du protectionnisme économique.
L’un des Etat qui a mené la réflexion la plus aboutie et élaboré une stratégie globale à partir du concept de souveraineté dans le cyberespace est, sans conteste, la Chine. Le concept a fait l’objet de communication jusqu’au plus haut de l’Etat puisque le Président Xi en a lui-même énoncé les caractéristiques. Il est élaboré autour de quatre principes : 1. le droit de juridiction : un Etat a le droit de gérer ce qu’il se passe dans son cyberespace ; 2. le droit d’indépendance : un Etat a le droit de gérer ses systèmes de façon indépendante ; 3. le droit de défense : un Etat a le droit de se défendre contre des attaques ; 4. le droit d’égalité : les réseaux et ressources partagés et la gouvernance d’Internet doivent être gérés de façon équitable entre les Etats.
En pratique, la Chine s’attaque sur plusieurs fronts à la suprématie américaine. Dans le cadre de ses politiques économiques et industrielles, elle impose des conditions restreignant l’accès d’entreprises étrangère au marché et encourage le développement de géants du web nationaux. Les Facebook, Twitter, Uber et LinkedIn ont tous leur équivalent chinois. En matière de diplomatie, elle a investi les instances de gouvernance de l’Internet et les enceintes de discussions de normes de comportements responsables des Etats dans le cyberespace et s’illustre par son implication et sa force de proposition.
A ses côtés, un autre géant du continent eurasiatique a développé le même type de stratégie, la Russie. Elle conçoit sa souveraineté dans le cyberespace en l’intégrant dans une doctrine plus large sur la guerre informationnelle. Le cyberespace est perçu par les autorités russes comme une façon supplémentaire de « l’Ouest » d’imposer son « impérialisme moral ». A ce titre, la doctrine russe ne parle pas de cyberespace mais d’espace informationnel. La Russie a mis en place une doctrine dans laquelle l’information est une arme aussi puissante que les virus et vers informatiques, en s’appuyant sur le développement d’un câble reliant l’Europe à l’Asie, —un transsibérien numérique—, sur la puissance de grandes entreprises du web liées au pouvoir politique (tel que Yandex et Vkontakte) mais surtout sur une sphère d’influence linguistique et culturelle qui englobe son étranger proche. Ainsi, l’impact médiatique d’une attaque informatique est plus important que les dommages directs qu’elle cause.
Quels impacts pour les entreprises ?
La mise en œuvre du concept de souveraineté entraîne des conséquences pour les entreprises en Asie. Des restrictions d’accès au marché pour les entreprises étrangères permettent par exemple de protéger des entreprises nationales. Les impératifs géopolitiques et de sécurité des Etats influent également sur la conception de la technologie à la fois en termes de réduction du nombre et de la sévérité des vulnérabilités dans le code source mais également dans la gestion du risque de la chaîne logistique : Qui a accès au code source tout au long de la conception du produit ? Comment garantir d’assurer son intégrité à sa livraison ? La construction de la confiance entre les entreprises et les Etats passe notamment par le développement de mesures de transparence, mais peut également passer par une adaptation du business model (exemple : joint-ventures).
Les entreprises ont un rôle important à jouer dans l’élaboration des normes de comportements responsables des Etats dans le cyberespace. Il est en effet dans leur intérêt de contribuer à la stabilité de l’ensemble, une stabilité qui leur permet d’opérer à l’échelle mondiale et de réfléchir à leurs responsabilités propres. A ce titre, Microsoft a publié des propositions de normes de comportements responsables des entreprises mondiales du secteur des technologies de l’information et de la communication afin de contribuer à un cyberespace plus sûr. Les normes proposées par Microsoft évoquent à la fois des pratiques internes à l’entreprise (ne rien faire qui puisse porter atteinte à la sécurité des produits et services) mais aussi des règles concernant la façon dont l’entreprise interagit avec son environnement. Ceci implique, par exemple, de tenir une ligne de conduite globale et cohérente, quel que soit l’Etat dans lequel l’entreprise souhaite s’implanter. Le principal objectif est de toujours développer le meilleur produit ou service (le plus sûr) pour les consommateurs, en conciliant sécurité et vie privée au moment où les entreprises se heurtent souvent à des demandes des Etats allant à l’encontre de cet objectif.
Vie privée et protection des données personnelles, l’influence européenne ?
La question de la législation en matière de protection des données est soumise aux mêmes tensions et impératifs géopolitiques. Les pays d’Asie-Pacifique les développent activement en s’inspirant des lois nationales européennes mais également des Etats-Unis. De façon significative, la directive de l’Union Européenne de 1995 sur la protection des données personnelles a constitué un outil efficace dans l’exportation de la conception européenne de la vie privée en Asie, où la notion de « privacy » ne va pas de soi. Dès le début des années 2000, plusieurs pays asiatiques (Malaisie, Singapour par exemple) ont mis en place des législations abordant tous les aspects de la protection des données à l’image de ce qui se fait en Europe sans toutefois recouvrir totalement le concept de privacy tel qu’il existe en Europe.
En Chine, la question de la protection des données personnelle est abordée sous l’angle du e-commerce et de la protection du consommateur, et non de la protection de la vie privée. La régulation du Ministère de l’Industrie et des Technologies de l’Information de 2013 a introduit quelques standards européens tels que la limitation des données personnelles collectées ou l’obligation d’obtenir l’accord de l’utilisateur pour la collecte de ses données. Toutefois, l’influence du concept de vie privée à l’européenne en Chine reste très limitée. En effet, cette régulation ne concerne que le secteur des télécommunications et de nombreuses modalités d’application ne sont pas précisées. La philosophie de cette régulation reste basée sur une perspective e-commerce et de protection du consommateur. L’évolution des pratiques en matière de protection de la vie privée en Chine devrait à l’avenir davantage intervenir par l’introduction volontaire de normes commerciales des entreprises pour la protection des données de leurs utilisateurs.
Les actes du colloque international « Géopolitique du Cyber en Asie » seront disponibles prochainement sur le site de la Chaire Castex de cyberstratégie www.cyberstrategie.org.
« La Chaire Castex de cyberstratégie mène une recherche scientifique pluridisciplinaire et innovante visant à définir les enjeux géopolitiques, stratégiques et juridiques du cyberespace. Elle forme une équipe de jeunes chercheurs, contribue aux discussions internationales et participe à l’effort national pour l’élaboration d’une cyberstratégie destinée aux entreprises, au gouvernement et à la société civile. »
Frédérick Douzet, Titulaire de la Chaire Castex de Cyberstratégie