2.3. Normes, mesures de confiance et renforcement des capacités
2.3.1. Normes volontaires
🎯Quelles sont les normes ?
🎯Comment interagissent-elles avec le droit international ?
🎯Comment les mettre en œuvre dans tous les États africains ?
Les normes offrent des standards de comportement, façonnés par des termes de droits et d’obligations. Bien que non contraignantes, elles reflètent les attentes, augmentent la prévisibilité, réduisent les risques de perceptions erronées et contribuent à la prévention des conflits.
Bien qu’ils ne remplacent pas les obligations contraignantes des États en vertu du droit international, les normes et principes convenus par l’AGNU se voient conférer la plus haute autorité. Dans le contexte du cyberespace, les normes sont particulièrement importantes pour les opérations en temps de paix afin de traiter des aspects qui ne sont pas suffisamment ou clairement couverts par le droit international existant.
Le Cadre décrit et élabore 11 normes pour un comportement responsable des États dans le cyberespace (illustration 5).
L’étude de cas
« Putting Cyber Norms in Practice: Implementing the UN GGE 2015 recommendations through national strategies and Policies », un rapport rédigé par Mika Kerttunen et Eneken Tikk, commandé par le GFCE avec le soutien du FCDO britannique dans le cadre du processus Global CCB Research Agenda 2021, fournit nombre d’études de cas pour présenter les approches qui peuvent être, et ont été, adoptées pour mettre en œuvre les normes de comportement responsable de l’État qui font partie du Cadre. Le guide comprend également des exemples notables de pays africains.
L’Ile Maurice, par exemple, a pris un certain nombre de mesures pour mettre fin à la criminalité et au terrorisme, qui ont directement contribué à la mise en œuvre de la norme ONU GGE sur la coopération pour mettre fin à la criminalité et au terrorisme (13(d)). Les principales étapes comprennent : la loi sur la prévention du terrorisme (2002) a intégré des systèmes d’information dans la description des actes de terrorisme ; la loi sur l’utilisation abusive de l’informatique et la cybercriminalité a défini les cybercrimes (2003) ; la loi sur l’entraide judiciaire dans les affaires pénales et connexes (2003) qui jette les bases de la coopération internationale ; la stratégie nationale de cybersécurité (2014) a donné la priorité à la défense contre la cybercriminalité ; la stratégie de lutte contre la cybercriminalité (2017) appelle à une réponse plus efficace en matière d’application de la loi et de justice pénale, met l’accent sur l’harmonisation des cadres juridiques dans son approche de lutte contre la cybercriminalité et définit la collaboration avec des homologues internationaux comme l’un des sept objectifs ; le système mauricien de signalement en ligne de la cybercriminalité (MAUCORS) a été conçu pour faciliter le signalement sécurisé de la cybercriminalité en ligne et développer une meilleure compréhension de la cybercriminalité qui touche les citoyens. Le Kenya est un autre bon exemple de contribution à cette norme, car il est membre du Commonwealth, du Harare Scheme et du London Scheme concernant l’entraide judiciaire en matière pénale au sein du Commonwealth.
Des exemples notables de contributions à la mise en œuvre de la norme relative à la coopération interétatique en matière de cybersécurité (13(a)) sont la Stratégie régionale de cybersécurité et de cybercriminalité de la Communauté économique des États de l’Afrique de l’Ouest (CEDEAO) (2021) et le Cadre stratégique national sud-africain sur la cybersécurité (2015). La norme relative au respect des droits de l’homme et de la vie privée (13(e)) est avancée par le parlement ivoirien, qui a reconnu et affirmé que l’accès à Internet et aux réseaux de communication électronique est un droit humain fondamental et un bien universel. Parallèlement, la loi sur la cybersécurité du Ghana, qui facilite la coopération entre la CERT nationale et les CERT d’autres pays, contribue à la norme relative à la non-atteinte aux équipes d’intervention d’urgence (13(k)).
2.3.2. Mesures de confiance
🎯Que sont les mesures de confiance (MDC) ?
🎯Quelle est l’importance des MDC régionales ?
Les mesures de confiance visent à prévenir l’hostilité, à réduire les tensions, à éviter l’escalade du conflit et à renforcer la confiance mutuelle entre les États. Le cadre des Nations Unies décrit un certain nombre de mesures de confiance volontaires pour accroître la coopération et la prévisibilité, et réduire les malentendus. Les MDC demandent, entre autres :
- L’échange d’informations sur les stratégies et politiques nationales, les processus
décisionnels, les organisations nationales pertinentes et la terminologie nationale ;
sur les menaces nationales et transnationales, les cyberincidents identifiés, les
vulnérabilités des produits et les fonctions cachées, les meilleures pratiques en
matière de traitement des cyberincidents et les classifications nationales des
incidents ; - La désignation de points de contact nationaux aux niveaux politique et technique,
ainsi que la création d’un répertoire de personnes ressources ; - La création et la coopération entre les CERT/CSIRT nationales, y compris pour les
infrastructures essentielles ; - La protection des infrastructures que les États considèrent comme essentielles, y
compris les systèmes industriels, par l’échange d’informations et un recueil de lois et de politiques relatives aux infrastructures essentielles (IE), et le développement de mécanismes techniques, diplomatiques et juridiques pour protéger les IE, ainsi que le partenariat public-privé et la coopération multipartite pour cela ; - La coopération dans les enquêtes sur la cybercriminalité et le terrorisme, grâce à la
coopération des autorités chargées de l’application des lois, et désignation de points de contact pour l’échange d’informations sur les incidents et l’assistance aux enquêtes ; - D’élaborer des mécanismes et des processus de consultation bilatérale, régionale,
sous-régionale et multilatérale pour éviter les perceptions erronées et le risque
d’escalade ; - De développer des ateliers, des séminaires et des exercices pour prévenir et gérer
les cyberincidents.
Étant donné que des organisations régionales telles que l’OSCE, l’ASEAN et l’OEA ont élaboré leurs propres mesures de confiance et principes, dont certains ont alimenté le Cadre des Nations Unies, cela encourage le partage d’informations sur les mesures de confiance élaborées dans les forums régionaux et multilatéraux. Nous aborderons le travail des organisations régionales plus tard dans ce module.
Ressources
Le document GFCE « Overview Of Existing Confidence Building Measures As Applied To Cyberspace » donne un aperçu des MDC élaborées par l’ONU et les organisations régionales d’ici 2020.
Point de réflexion
L’un des principaux éléments du renforcement de la confiance est l’amélioration du partage d’informations entre les États et les autres acteurs, et l’établissement de relations de confiance. Dans cette optique, quels sont les bons exemples à travers l’Afrique qui suivent les MDC de l’ONU ?
Quelles sont les autres MDC qui pourraient être particulièrement pertinentes pour la coopération africaine ?
2.3.3. Renforcement des capacités
🎯Quels sont les principes fondamentaux de renforcement des cybercapacités fixés par l’ONU ?
Le renforcement des capacités est le troisième pilier du cadre international de cyberstabilité. Il existe un accord général sur l’importance du renforcement des capacités, et les processus des Nations Unies et diverses organisations régionales élaborent des mesures et des principes spécifiques.
Le rapport du GTCNL des Nations Unies de 2021 recommande que le renforcement des capacités soit un processus durable, comprenant des activités spécifiques par et pour différents acteurs, axé sur les résultats et avec un objectif clair, fondé sur des preuves, politiquement neutre, transparent, responsable et sans conditions, et entrepris en respectant pleinement le principe de la souveraineté de l’État. En outre, il doit être fondé sur la confiance mutuelle, avec une participation volontaire, axée sur la demande et adaptée aux besoins spécifiques, correspondre aux besoins et priorités identifiés au niveau national,
entrepris en pleine reconnaissance de l’appropriation nationale et protéger la confidentialité des politiques et plans nationaux. Enfin, le renforcement des capacités doit respecter les droits de l’homme et les libertés fondamentales, être sensible et inclusif à la question du genre, universel et non discriminatoire.
Le rapport de l’ONU GGE de 2021 appelle en outre à ce que le renforcement des capacités soit volontaire, politiquement neutre, mutuellement bénéfique et réciproque, et suggère qu’il devrait aider les États à : élaborer et mettre en œuvre des politiques et stratégies nationales, renforcer les CERT, améliorer la résilience des infrastructures essentielles, renforcer les compétences et les capacités pour répondre aux incidents, approfondir la compréhension commune de la manière dont le droit international s’applique au cyberespace et mettre en œuvre des normes volontaires.
Ressources
Dans la vidéo de Diplo, plusieurs cyber ambassadeurs discutent du renforcement des cyber capacités, en particulier des besoins nécessaires pour développer les capacités de cyber diplomatie.
Contribuer et s’engager
Pour en savoir davantage sur le renforcement des cyber capacités, l’apprentissage et le développement des compétences, reportez-vous au module de connaissances 4.