Droit international

Le CICR réinvente son avenir cyber, mais pas en Suisse – Heidi.news


Dans le fracas de cette crise, il y a pourtant un domaine qui passe inaperçu: le remarquable travail de pionnier numérique que le CICR accomplit. Il ne s’agit rien moins que d’élargir le droit international humanitaire au cyberespace. Les enjeux sont d’importance: où se situe la frontière entre les civils et les acteurs étatiques dans une cyberguerre? Que signifie la mission du CICR «Protéger la vie et la dignité» lorsque des personnes sont victimes d’une guerre dans le cyberespace? Et comment l’immunité du CICR peut-elle être invoquée sur la toile?

Occasion manquée pour la Suisse

L’organisation humanitaire, engagée dans des opérations d’urgence en Ukraine avec plus de 800 collaborateurs sur le terrain mais aussi au Soudan et dans une centaine d’autres pays du monde, développe en parallèle de nouvelles technologies et des prototypes en collaboration avec des scientifiques, par exemple pour placer des données sous protection humanitaire ou faire en sorte que la souveraineté numérique ne reste pas qu’un concept utopique.

En d’autres termes, le CICR, fondé en 1863 en réaction aux atrocités de la bataille de Solférino, est en train de se réinventer numériquement. Sauf qu’il ne le fait pas en Suisse, ni à Genève, où il a été fondé et a son siège, mais au Luxembourg.

C’est là que l’organisation met en place ce qu’elle appelle une cyberdélégation, comme elle l’a annoncé en novembre 2022. Huit mois plus tard, l’antenne technique est prête pour des expériences de recherche dans les centres de données luxembourgeois hautement sécurisés, qui bénéficient d’une protection diplomatique.

C’est donc l’histoire d’une institution vieille de 160 ans qui doit se réinventer pour sauver ses valeurs de neutralité et d’impartialité dans le cyberespace. Et de la Suisse, qui a manqué l’occasion de devenir le lieu de la réinvention de son fleuron humanitaire.

Une cyberattaque contre la Croix-Rouge

La stricte impartialité du CICR lui permet d’agir au-delà des lignes de front, son travail humanitaire découlant du droit international, en vertu des Conventions de Genève. En Ukraine, en Afghanistan ou au Soudan, les blessés ou les prisonniers de guerre, quelle que soit la partie en conflit, sont soignés, les convois et le personnel du CICR ne sont pas attaqués, son aide n’est pas touchée, sa légitimité n’est pas remise en question.

Mais dans le cyberespace, tout cela ne vaut rien.

Sur les théâtres de guerre en ligne, les principes du droit international sont violés quotidiennement. La population civile et l’infrastructure non militaire sont attaquées. Les données des citoyens sont pillées. Des possibilités d’attaque sont recherchées dans les systèmes informatiques des hôpitaux ou des fournisseurs d’eau. Des campagnes de désinformation sont fabriquées sur TikTok, Instagram ou X (ex-Twitter).

Les organisations humanitaires sont également prises pour cible, comme en novembre 2021, lorsque 515’000 données personnelles ont été dérobées lors de la plus grande cyberattaque jamais menée contre le CICR.

Les faiblesses numériques des ONG

La base de données concernée contenait des informations sensibles sur les lieux de séjour de personnes en détresse. Il s’agit de données de femmes afghanes réfugiées ou d’habitants de l’Etat insulaire des Tonga qui ont dû fuir après un tsunami. Certains sont considérés comme particulièrement vulnérables, notamment les mineurs.

«Avec l’attaque contre le CICR, c’est justement une organisation qui avait déjà beaucoup investi dans sa cyberdéfense qui a été touchée», explique Charlotte Lindsey, du Cyberpeace Institute, une ONG basée à Genève spécialisée dans la protection numérique pour les organisations à but non lucratif.

Ses chiffres pour la Suisse sont alarmants: seules 21 % des ONG suisses effectuent des sauvegardes complètes de leurs données ou utilisent l’authentification à deux facteurs pour se connecter en toute sécurité à leurs systèmes, ce qui est aujourd’hui la norme.

En comparaison, le CICR est à l’avant-garde du numérique. En 2010 déjà, l’organisation humanitaire avait créé un poste de «Chief Information Security Officer». Malgré cela, le pire s’est produit. «Nous savions que nous pourrions un jour être une cible», explique Balthasar Stähelin, directeur de la transformation numérique au CICR. L’organisation humanitaire avait axé sa cyberdéfense sur les chaînes d’approvisionnement numériques et vérifiait les composants logiciels achetés. Mais elle n’a pas pu empêcher le piratage de 2021, car il avait été préparé de longue date et taillé sur mesure pour les serveurs d’un prestataire de services informatiques du CICR.

Le CICR dispose d’informations sur les auteurs de cette attaque, comme le confirment plusieurs sources, mais ne les communique pas. L’organisation reste neutre là aussi et ne fait pas d’«attribution», ce qui signifie, dans le jargon diplomatique et technique, pas d’attribution publique du méfait. Cela mis à part, le CICR a opté pour une approche non conventionnelle et communique ouvertement et sans ménagement sur le vol de données.

Les données sont des vies humaines

Massimo Marelli travaille depuis 14 ans (avec des interruptions) pour la Croix-Rouge. Ce juriste a commencé en 2009 comme délégué au Soudan. Il a ensuite occupé le poste de chef de la protection des données et dirige aujourd’hui la nouvelle cyberdélégation. Par un chaud après-midi de printemps, cet Italien d’origine nous reçoit dans un costume bleu à la mode dans son nouveau bureau à Luxembourg.

Sur ses étagères bien rangées sont alignés d’innombrables manuels sur la transformation numérique du CICR, qu’il a contribué à rédiger. Pendant l’entretien, il en sort un de temps en temps. Il s’étonne de la question de savoir pourquoi son organisation a décidé de passer à l’offensive après le piratage: «Nous n’avions pas le choix!».

«Numérique égale hors ligne»

Conformément à son mandat de droit international, le CICR s’engage à protéger et à soutenir les victimes de conflits armés et est donc également en possession de leurs données, explique-t-il. «Celui qui confie sa vie au CICR dans une situation d’urgence doit donc aussi être protégé dans le monde numérique». Ce n’est pas seulement depuis la cyberattaque de novembre 2021 que Massimo Marelli défend la formule: «numérique égale hors ligne». Il entend par là que les données d’une organisation humanitaire sont synonymes de vies humaines.

De fait, les données stockées au CICR ont le même statut juridique que le personnel: elles bénéficient de l’immunité. Les collaborateurs du CICR ne peuvent pas être appelés à témoigner par un tribunal international pour enquêter sur des crimes de guerre. Quant aux données enregistrées, elles ne peuvent pas être utilisées devant un tribunal.

Mais comment garantir vraiment la protection de ces données ?

Dès le milieu des années 2010, le CICR s’est demandé ce qu’il fallait faire pour pouvoir remplir sa mission sur la toile. Elle s’est concentrée sur la résilience face aux cyberattaques et sur la question de savoir comment réduire la dépendance vis-à-vis des entreprises informatiques étrangères. Car les attaques de pirates informatiques ne sont pas son seul problème.

«N’attaquez pas!» comme emblème numérique

Lorsque les entreprises et les autorités européennes utilisent des logiciels provenant des États-Unis, les lois de surveillance américaines sont suspendues au-dessus d’elles comme une épée de Damoclès. Personne n’est à l’abri de la soif de données des services secrets américains ou de son système judiciaire. Le CICR a peu de marge de manœuvre à cet égard. Déposer des documents sur Google-Drive ou envoyer des messages via Facebook-Messenger? Trop délicat.

Il faut aussi de bonnes lois

«Pour protéger nos bases de données, nous devons développer une architecture informatique spécifique. Mais nous avons aussi besoin de bonnes lois», explique Massimo Marelli. En d’autres termes, le CICR a besoin d’une véritable immunité dans le monde numérique.

Le piratage informatique de 2021 a eu un effet démoralisant. Mais il a aussi conforté l’organisation dans sa stratégie. En 2022, un projet qui était dans les tuyaux depuis longtemps a donc été accéléré: la création d’un emblème numérique pour la protection humanitaire des données. Il doit permettre d’identifier spécifiquement les serveurs et les centres de données des organisations humanitaires.

Le signal envoyé aux belligérants sur le réseau serait le même que celui de la Croix-Rouge sur les ambulances ou les hôpitaux dans les zones de guerre: n’attaquez pas ! «A l’instar du principe selon lequel le CICR n’installe jamais de camps à proximité de bases militaires, nous devons maintenant réfléchir: comment appliquons-nous ce principe dans le cyberespace?, poursuit Massimo Marelli. Comment signaler aux agresseurs potentiels que ce qu’ils veulent cibler est protégé?»

La forteresse

Mais les serveurs ainsi marqués n’attirent-ils pas d’autant plus les pirates?

Ce n’est pas la première fois que Massimo Marelli, délégué cyber du CICR, entend cette question. Il estime que c’est justement pour cette raison que le concept d’emblème numérique doit être simulé et testé dans toutes ses variantes afin d’acquérir de l’expérience. Des tests qui auront lieu dans deux centres de données protégés, l’un à Bissen et l’autre à Bettembourg, au Luxembourg.

Mais pourquoi le Luxembourg?

Murs, bastions, voûtes: Luxembourg est une ville fortifiée. Partout, de vieilles pierres qui datent de l’époque où la ville se défendait contre les grandes puissances européennes. La capitale du Grand-Duché se compose d’une ville haute élégante et d’une ville basse plutôt villageoise, entourée de parcs et de forêts. L’image de la «forteresse Luxembourg» est populaire dans le pays, explique Laurent Schmit, rédacteur en chef adjoint de Reporter.lu, un magazine en ligne. Nous l’avons rencontré au café branché Konrad, dans la Haute Ville.

Les responsables politiques luxembourgeois appliquent volontiers la métaphore de la forteresse à d’autres domaines, explique le journaliste: à l’industrie financière comme «refuge sûr de l’argent», au cyberespace comme «refuge sûr des données».

Schmit explique que la stratégie numérique de son pays consiste à attirer des groupes étrangers de renom, en leur proposant notamment une fiscalité attractive. Amazon, par exemple, a son siège européen dans le petit État. C’est également au Luxembourg que se trouve le siège de la holding israélienne NSO Group, qui a vendu des logiciels espions controversés aux gouvernements.

D’autre part, explique Schmit, le Luxembourg s’est offert depuis des décennies une souveraineté numérique en partie propre, en investissant dans une infrastructure informatique hautement sécurisée appartenant à l’État. Lequel avait déjà adopté une stratégie similaire il y a plus de 45 ans, lors de l’apparition des satellites. Aujourd’hui, la société luxembourgeoise SES est considérée comme l’un des principaux opérateurs de satellites au monde. Elle met à disposition de l’OTAN des capacités de défense contre la guerre russe en Ukraine.

Le backup de l’Etat

En 2006, le gouvernement luxembourgeois a lancé l’entreprise Luxconnect, aujourd’hui entièrement détenue par le secteur public. A l’origine, ses centres de données étaient destinés à un cloud bancaire sécurisé. Mais avec l’introduction de l’échange automatique d’informations et de règles internationales plus strictes, certaines banques ont dû réformer leurs modèles d’entreprise, explique Schmit. Cela a soulevé la question: comment utiliser autrement ces centres de données super sécurisés, mais aussi follement coûteux?

Le gouvernement de coalition en place jusqu’à aujourd’hui, composé de Verts, de sociaux-démocrates et de libéraux, a alors lancé une stratégie de diversification et a réussi un coup diplomatique en 2015 avec le concept de protection numérique de l’État.

L’idée est la suivante: le Luxembourg propose des serveurs pour le stockage sécurisé des données des citoyens d’autres pays. Le premier client était l’Estonie, un candidat idéal pour le test. Ce pays balte n’est pas seulement l’État européen modèle en matière de numérisation, il sait aussi ce que signifie être dans le collimateur de pirates informatiques.

Estonie et E-Embassy

En 2007, l’Estonie a été la cible d’une gigantesque cyberattaque qui a duré plusieurs semaines et a touché les ministères, les banques et les médias. Tallinn a soupçonné le gouvernement russe d’être à l’origine de l’attaque, tandis que des experts ont plutôt pointé des acteurs russes privés. Quoi qu’il en soit, l’un des principaux enseignements de l’incident a été que les données des citoyens estoniens devaient à l’avenir être sauvegardées en dehors des frontières nationales, afin que l’Estonie reste opérationnelle en cas de prochaine attaque.

Le Luxembourg a repris cette idée. Il a développé le concept E-Embassy.

Interrogé à ce sujet, Dejvid Adrović, du ministère luxembourgeois des Affaires étrangères, explique que E-Embassy se compose de deux éléments:

  • D’une part, les services d’un centre de données hautement sécurisé et performant. Les données des citoyens estoniens, par exemple, sont hébergées dans les centres de Luxconnect.

  • D’autre part, ces centres de données ont le statut d’ambassades. Cela signifie que ni les lois européennes ni le droit luxembourgeois ne s’y appliquent. Les autorités luxembourgeoises ne peuvent pas pénétrer dans ces centres de données, les licences et les lignes sont considérées comme inviolables.

L’attention du CICR a été attirée très tôt par le concept E-Embassy du Luxembourg. «C’est exactement ce que je cherchais: des centres de données hautement sécurisés et une protection diplomatique», se souvient Massimo Marelli, cyber délégué du CICR. Il a pris contact avec le ministère luxembourgeois des Affaires étrangères et du Développement et enthousiasme est intact encore aujourd’hui:

«Le Luxembourg a été l’un des premiers pays à se pencher sur les dimensions géopolitiques d’un pays d’accueil cybernétique et à encourager les innovations dans ce domaine.»

Après la cyberattaque contre le CICR en 2021, les choses se sont soudainement accélérées.

En septembre 2022, Massimo Marelli et sa cyberdélégation ont emménagé au 1, rue Jean-Pierre Brasseur, dans un quartier périphérique de la capitale luxembourgeoise, une adresse qui abrite aussi des avocats et des fonds financiers. L’équipe luxembourgeoise du CICR est encore petite, avec onze collaborateurs. Lesquels doivent développer des solutions qui, dans le meilleur des cas, seront ensuite transférées dans le «fonctionnement normal» de l’institution et pourront être utilisées par des délégations «classiques». Entretemps, l’environnement de test chez Luxconnect a été mis en place.

Le 13 juillet dernier, le Parlement luxembourgeois a ratifié à la quasi-unanimité l’accord dit de siège avec le CICR, officialisant ainsi l’implantation de la cyberdélégation du CICR.

Qu’en est-il de Genève ?

C’est un secret de polichinelle dans le milieu des ONG genevoises: la ville internationale est dans une situation de concurrence acharnée avec d’autres cités européennes pour accueillir des organisations humanitaires. Une source ayant longtemps travaillé au CICR déclare:

«Nous avons d’abord eu des discussions avec Genève et Berne sur nos besoins en matière d’immunité numérique et signalé que nous étions en discussion avec d’autres Etats».

Mais la Suisse n’a pas vraiment pris cela au sérieux.

La version officielle du cyberdélégué Massimo Marelli est différente: le CICR a d’abord approché le Luxembourg, tout simplement parce que l’offre était déjà là. Quoi qu’il en soit, les responsables du CICR ne veulent pas que l’antenne luxembourgeoise soit considérée comme un abandon de Genève.

«Nous sommes très liés à la Suisse à tous points de vue et travaillons en étroite collaboration avec les autorités et le monde scientifique», souligne régulièrement Massimo Marelli.

Sur sa table traîne une plaque de chocolat genevois Favarger.

C’est vrai: le travail de réflexion sur les innovations numériques a toujours lieu en Suisse. Ainsi, l’EPFL a récemment publié un document sur la manière dont le CICR pourrait enregistrer les données biométriques des personnes ayant fui leur pays avec un risque d’abus aussi faible que possible. Les empreintes digitales ou les images faciales font partie des informations les plus sensibles d’une personne, mais elles simplifient également l’identification continue des personnes en fuite. C’est pourquoi le CICR a développé un concept de solution décentralisée sur smartphones avec des chercheurs de l’EPFL comme que Carmela Troncoso, professeure renommée et experte en matière de protection de la vie privée, afin d’éviter la construction de bases de données centralisées.

Valence et Berlin narguent Genève

Il n’y a pourtant pas à se féliciter de cette tendance à l’externalisation de services informatique: la numérisation des organisations internationales basées à Genève a lieu partout, sauf en Suisse. Par exemple l’UNICC, le prestataire de services techniques de l’ONU, met en place un grand centre de données à Valence. L’OMS, lui, développe son «Hub for Pandemic and Epidemic Intelligence» à Berlin.

Berne s’est-elle endormie? La Genève internationale est-elle en train de perdre le contact avec le numérique?

Au Parlement fédéral, on ne semble pas encore avoir entendu parler de l’antenne luxembourgeoise du CICR. Franz Grüter, président de la commission de politique extérieure du Conseil national et conseiller national UDC, s’est certes exprimé à plusieurs reprises sur les mesures d’économie actuelles du CICR. Mais quand nous lui posons la question, c’est la première fois qu’il entend parler de la cyberdélégation de l’organisation humanitaire. Et quand on le lui demande, il trouve le concept d’E-Embassy «tout à fait intéressant».

Au sens strict, la Suisse offre aux organisations internationales le même cadre juridique que le Luxembourg: l’intégrité numérique et physique. Certes, le CICR n’a pas le statut d’ambassade en Suisse, mais les bâtiments, le sol, l’infrastructure du CICR ainsi que ses prestataires de services informatiques, qui disposent de données de la Croix-Rouge, sont soumis au «principe d’inviolabilité».

«Les autorités suisses sont tenues de s’abstenir de toute forme de perquisition, de saisie (…) ou de toute autre forme de contrainte exécutive, administrative, judiciaire ou législative», écrit à ce sujet le Département des affaires étrangères (DFAE), que nous avons interrogé.

En outre, la justice suisse n’a pas le pouvoir de donner suite à une éventuelle demande d’entraide judiciaire, par exemple des Etats-Unis, et d’obliger le CICR à fournir des données.

Le Luxembourg fait-il donc simplement du meilleur marketing? Pas seulement.

Vision qui manque

D’une part, le petit État offre avec Luxconnect une infrastructure hautement sécurisée et performante qui fait défaut dans notre pays. D’autre part, l’inviolabilité du CICR accordée par la Suisse est certes appliquée dans tous les domaines – sauf en matière de cybersécurité. Le document stratégique «Politique extérieure numérique 2021-2024» ne mentionne ni priorités ni plans d’action à ce sujet. Certes, le DFAE voulait y positionner la Genève internationale comme un havre de la politique numérique internationale. Mais il manquait une vision sur la manière dont les organisations humanitaires pourraient elles-mêmes fonctionner comme des laboratoires numériques.

Cela semble désormais changer.

La cyberattaque contre le CICR a été un rappel à l’ordre pour Genève et Berne. Un rappel que les règles seules ne suffisent pas. Dans la stratégie de cybersécurité NCS récemment adoptée par la Confédération, les organisations internationales présentes en Suisse sont pour la première fois explicitement mentionnées. Ainsi, sous le point «Renforcement de la Genève internationale numérique», il est écrit que la Suisse doit examiner quelles conditions-cadres sont nécessaires pour que «ces organisations puissent se protéger contre les cybermenaces».

«La cyber-résilience dans le secteur humanitaire» doit être renforcée, déclare également à ce sujet Katharina Frey Bossoni, responsable adjointe de la division Numérisation au DFAE. «Nous travaillons à devenir également un Etat hôte numérique», dit-elle. Un dispositif de sécurité est actuellement en cours de développement dans ce sens.

Il semblerait que les hauts-fonctionnaires du DFAE se renseignent également à ce sujet. En juin 2023, une délégation dirigée par l’ambassadeur et chef de la numérisation Benedikt Wechsler s’est envolée pour Washington afin de s’entretenir avec des collègues sur place de questions relatives à la cyberdiplomatie et à la diplomatie numérique. Enfin, le Swiss Government Cloud de l’Office fédéral de l’informatique et de la télécommunication, en cours de développement, devrait être mis à la disposition du CICR, selon les informations de Republik.

Ces progrès sont urgents et nécessaires. Car les bases de données contenant toutes les données personnelles du CICR se trouvent toujours en Suisse. Pour l’instant.



Source link

Antoine Girard

Plongeant dans l'art de la plume avec une passion ardente, je suis Antoine Girard, un Artisan du Blogging tissant des récits qui embrassent le monde. Ma formation à l'École Nationale Supérieure de Chimie de Paris a enrichi ma pensée créative. Tel un alchimiste des mots, je distille des articles de nouvelles internationales tout en explorant un vaste horizon de sujets tels que le droit international, le sport, l'immobilier et l'industrie cinématographique. Transparence est mon credo, chaque article reflétant mon engagement envers l'authenticité. Rejoignez-moi dans ce voyage où les mots évoquent des images vivantes, où le droit se marie avec l'action, où les terrains de jeu se mêlent à l'écran argenté, et où chaque ligne écrit l'histoire de notre monde en mouvement.

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button