Processus de Pall Mall : Lutter contre la prolifération et l’usage irresponsable des capacités d’intrusion cyber disponibles sur le marché (Lancaster House, Londres, 6 février 2024)

Nous, participants représentant les États, les organisations internationales, le secteur privé, le monde universitaire et la société civile, nous sommes réunis pour participer à une conférence internationale organisée par le Royaume-Uni et la France. La conférence a permis de discuter des enjeux de la prolifération et de l’usage irresponsable des capacités d’intrusion cyber disponibles sur le marché et lancé le Processus de Pall Mall.

1. Reconnaissant la nécessité de renforcer l’action internationale et les consultations multi-acteurs sur cette question tout en soulignant le besoin de maintenir le développement et l’utilisation de capacités d’intrusion cyber d’une manière qui soit légitime et responsable, nous décidons de lancer un processus international inclusif, le Processus de Pall Mall. Ce processus définira des principes directeurs et mettra en avant des options à la disposition des États, du secteur privé et de la société civile concernant le développement, la facilitation, l’acquisition et l’usage de capacités d’intrusion cyber disponibles sur le marché. Le Processus de Pall Mall s’appuie sur une approche globale de la société appliquée au cyberespace et reconnaît l’importance des partenariats public-privé et de la coopération multi-acteur pour rendre le cyberespace plus sûr.

2. La montée en puissance du marché permettant le développement, la facilitation, l’acquisition et l’usage de capacités d’intrusion cyber disponibles sur le marché suscite des interrogations et des préoccupations quant à ses effets sur la sécurité nationale, les droits de l’Homme et les libertés fondamentales, la paix et la sécurité internationales, ainsi qu’un cyberespace libre, ouvert, pacifique, stable et sûr.

3. Ce marché en croissance, avec ses effets transformationnels sur le paysage cyber, élargit considérablement le groupe potentiel d’acteurs étatiques et non étatiques ayant accès à des capacités d’intrusion cyber de nature commerciale, accroît les risques d’usages malveillants et irresponsables et rend plus difficiles l’atténuation des menaces qui en découlent et la protection contre celles-ci. Ces menaces, qui pèsent notamment sur la stabilité cyber, les droits de l’Homme, la sécurité nationale et la sécurité numérique dans son ensemble, sont appelées à s’intensifier durant les années à venir.

4. En l’absence d’action internationale multipartite, le développement, la diversification et l’insuffisante supervision de ce marché augmentent la probabilité de ciblages accrus à des fins lucratives ou de compromission d’un large éventail de cibles, journalistes, militants, défenseurs des droits de l’Homme et fonctionnaires notamment. Ce phénomène porte également le risque de faciliter la diffusion de capacités cyber potentiellement destructrices ou perturbatrices à un plus large éventail d’acteurs, y compris des cybercriminels. Une dissémination incontrôlée peut faciliter l’accès à des capacités de pointe et, par conséquent, accroître pour la cyberdéfense la complexité des incidents à détecter et à maîtriser. Cette tendance risque de contribuer à une escalade involontaire dans le cyberespace.

5. Le marché englobe une grande variété de produits et de services qui évoluent et se diversifient constamment. Il comprend un écosystème interconnecté de chercheurs, de développeurs, de brokers, de revendeurs, d’investisseurs, de sociétés, d’opérateurs et de clients. Pour soutenir les discussions sur les menaces existantes et les risques potentiels, nous proposons quelques définitions de travail à l’annexe A.

6. Nous reconnaissons que, sur l’ensemble de ce marché, nombre de ces outils et services peuvent être utilisés à des fins légitimes mais ne doivent pas être développés ou utilisés d’une manière qui menace la stabilité du cyberespace ou les droits de l’Homme et les libertés fondamentales, ou qui soit incompatible avec le droit international applicable, notamment le droit international humanitaire et le droit international des droits de l’Homme. Ils ne doivent pas non plus être utilisés sans garanties adéquates ni mécanisme de supervision. Nous sommes déterminés à étudier les paramètres de leurs utilisations légitimes et responsables par les États, la société civile, les acteurs légitimes de la cybersécurité et du secteur privé à travers le processus de Pall Mall.

7. Nous rappelons que le droit international existant s’applique au comportement des États dans le cyberespace et que tous les États membres de l’ONU se sont engagés à agir conformément au cadre pour un comportement responsable des États dans le cyberespace. Nous réaffirmons que les États doivent s’efforcer de prévenir la prolifération d’outils et de techniques informatiques malveillants et l’utilisation de fonctionnalités cachées dangereuses, respecter les droits de l’Homme et encourager le signalement responsable des vulnérabilités informatiques, dans le respect des normes 13(e), (i) et (j) des rapports de 2015 et 2021 du Groupe d’experts gouvernementaux chargé d’examiner les moyens de favoriser le comportement responsable des États dans le cyberespace dans le contexte de la sécurité internationale, qui ont été approuvés par consensus par l’Assemblée générale des Nations Unies.

8. En outre, nous encourageons le secteur privé à respecter et défendre les droits de l’Homme, notamment comme énoncé dans les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme. Tous les acteurs, notamment les États et le secteur privé, doivent s’efforcer de faire en sorte que le développement, la facilitation, l’acquisition, l’exportation et l’usage de capacités d’intrusion cyber disponibles sur le marché ne portent pas atteinte à la stabilité ni ne menacent les droits de l’Homme et les libertés fondamentales, y compris dans le cyberespace. Nous encourageons la communauté multi-acteur à continuer d’accroître sa sensibilisation et ses efforts pour empêcher que les capacités d’intrusion cyber ne fassent l’objet d’une utilisation irresponsable.

9. Reconnaissant l’importance du renforcement des capacités dans le domaine de la cybersécurité et l’importance de la résilience cyber à travers la préparation, l’atténuation, la réponse, le rétablissement et l’apprentissage face à des cyberattaques destructrices ou perturbatrices, nous encourageons vivement les États, le secteur privé, la société civile, le monde universitaire, les membres de la communauté technique et les particuliers à continuer de développer à l’échelle mondiale les capacités cyber à des fins défensives pour assurer un accès sûr, sécurisé, inclusif et fiable aux opportunités offertes par les technologies numériques. Nous reconnaissons les effets positifs que la recherche de bonne foi en matière de sécurité informatique, la divulgation de vulnérabilités et les bug bounties à des fins de cyberdéfense, ainsi que les tests d’intrusion, peuvent avoir sur la cybersécurité. Nous reconnaissons le rôle vital que joue le secteur privé pour renforcer la cybersécurité et aider les victimes à faire face aux activités cyber malveillantes.

10. Nous saluons les efforts déjà déployés par les États pour prendre des mesures pour lutter contre ce défi, notamment grâce aux cadres internationaux de contrôle des exportations existants et le développement de mesures nationales par les juridictions internes. Nous reconnaissons les efforts déployés par la société civile et le secteur privé pour améliorer la sensibilisation à cette question à l’échelle internationale, notamment par des enquêtes déterminantes, le signalement et l’aide aux victimes.

11. Dans la perspective de la future coopération multi-acteur et pour contribuer au processus de Pall Mall, les axes suivants nous paraissent utiles pour encadrer nos échanges futurs entre États, représentants du secteur privé, de la société civile et du monde universitaire :

11.1. Redevabilité - Nos activités devraient être menées de manière légale et responsable, conformément au cadre pour un comportement responsable des États dans le cyberespace, au droit international existant et aux cadres nationaux. Des mesures devraient être prises, en tant que de besoin, pour demander des comptes aux États dont les actions ne respectent pas le droit international des droits de l’Homme, et aux acteurs non étatiques dans le cadre national.

11.2. Précision - Le développement et l’usage des capacités devraient être pratiqués avec précision de manière à éviter ou atténuer les conséquences non intentionnelles, irresponsables ou illégales.

11.3. Supervision - Des mécanismes d’évaluation et de diligence requise devraient être mis en place (tant par les utilisateurs que par les fournisseurs, notamment les États et les acteurs du secteur privé) pour veiller à ce que les activités soient menées de manière légale et responsable, et puissent prendre en compte des principes tels que la légalité, la nécessité, la proportionnalité, la vigilance, reposant sur le droit et les normes internationaux existants.

11.4. Transparence - Les interactions commerciales devraient être menées de façon à ce que l’industrie et les utilisateurs connaissent les chaînes d’approvisionnement, en favorisant la confiance et la fiabilité dans le cadre de comportements commerciaux responsables des fournisseurs concernés.

12. Pour faire suite à notre participation aux échanges tenus aujourd’hui, nous nous engageons à mener un dialogue suivi et inclusif à l’échelle mondiale, de manière complémentaire aux autres initiatives multilatérales, et nous attendons avec intérêt les progrès à venir dans les prochains mois dans le cadre de ce processus. Une conférence de suivi sera organisée en France en 2025 pour examiner les progrès accomplis dans le cadre de ce programme et faire avancer les discussions.

Pays et organisations internationales représentés :

• Allemagne
• Australie
• Belgique
• Canada
• Corée du Sud
• Chypre
• Conseil de Coopération du Golfe (CCG)
• Danemark
• Estonie
• Etats-Unis
• Finlande
• France
• Grèce
• Irlande
• Italie
• Japon
• Malaisie
• Norvège
• Nouvelle-Zélande
• Pologne
• République tchèque
• Roumanie
• Royaume-Uni
• Singapour
• Suède
• Suisse
• Union Africaine

Acteurs du secteur privé représentés :

• BAE Systems Digital Intelligence
• ESET
• European Cyber Conflict Research Incubator CIC
• Google
• HackerOne
• Luta Security
• Margin Research
• Meta
• Microsoft
• NCC Group
• NextJenSecurity
• Sekoia.io
• YesWeHack

Acteurs de la société civile représentés :

• Alejandro Pisanty
• Allison Pytlak, Cyber Program Lead, The Stimson Center
• Atlantic Council
• CyberPeace Institute
• Gefona Digital Foundation
• GEODE (Institut français de géopolitique, Paris VIII)
• ICT4Peace
• Professor Nnenna Ifeanyi-Ajufo
• Paris Peace Forum
• Royal Holloway, University of London
• Royal United Services Institute
• Shadowserver Foundation

 
ANNEXE A : Définitions de travail pour faciliter les discussions sur les capacités d’intrusion cyber disponibles sur le marché

Pour disposer de termes communs dans nos discussions, nous proposons les définitions de travail ci-après qui couvrent les principaux aspects du marché de l’intrusion cyber. Nous sommes conscients que ces définitions ne sont pas exhaustives ni définitives et pourront être revues tout au long du processus de Pall Mall. Elles sont utilisées ici à titre indicatif et n’ont pas vocation à être complètes et contraignantes.

I. Les capacités d’intrusion cyber disponibles sur le marché désignent les outils et services mis à disposition par les entreprises spécialisées dans l’intrusion cyber ainsi que les capacités similaires haut de gamme élaborées par d’autres entreprises. Les fournisseurs de capacités peuvent également fonctionner sur la base de modèles de services à la demande (« -as-a-service »). Le service à la demande désigne un modèle dans lequel une entité développe, fournit et entretient des capacités destinées à un client. Ce type de services comprend notamment :

i. Des services d’accès à la demande (« access-as-a-service ») par lesquels une entité fournit le vecteur d’accès donnant aux utilisateurs finaux la capacité d’accéder sans autorisation à des systèmes informatiques ; et
ii. Des logiciels malveillants [1] à la demande (« malware-as-a-service ») mis au point, entretenus et fournis par des fournisseurs et destinés à être utilisés contre des cibles pour le compte d’un client.

II. Les entreprises d’intrusion cyber désignent des entités commerciales proposant des produits ou services prêts à l’emploi destinés à pénétrer des systèmes informatiques ou à interférer avec ces derniers à des fins commerciales. De telles entités peuvent comprendre des développeurs et vendeurs d’exploits et de vulnérabilités, des entreprises développant et vendant des produits d’intrusion cyber ou proposant des services de piratage informatique. Ces entités comprennent notamment :

i. Des entreprises de services de piratage informatique (« hacking-as-a-service »), qui fournissent à titre de service la capacité de pénétrer un système informatique, et souvent aussi l’infrastructure associée. Les clients spécifient en général leurs besoins, notamment les cibles choisies, et utilisent les informations qui découlent de la prestation. Cela n’inclut pas les tentatives d’accès consenti, sous la forme par exemple de tests de sécurité ; et
ii. Des pirates indépendants (« hackers-for-hire »), qui sont des individus ou des groupes d’acteurs non-affiliés recrutés par des États, des entités ou même des individus pour pénétrer des systèmes informatiques à la demande de leurs clients. Ils utilisent leurs propres outils et techniques et savent qui est pris pour cible, voire dans certains cas choisissent eux-mêmes les cibles.

III. Le marché des exploits et vulnérabilités désigne le commerce d’exploits et vulnérabilités zero-day [strong] permettant des intrusions cyber. Il ne désigne pas la rémunération commerciale de la recherche de vulnérabilités en matière de cyberdéfense, telles que les tests de sécurité ou les programmes « bug bounty » à des fins de cyberdéfense.

IV. Un logiciel commercial de surveillance intrusive, parfois désigné par le terme « logiciel espion », désigne les logiciels et les outils disponibles sur le marché qui donnent à l’usager la capacité d’accéder à distance à un système informatique, sans le consentement de l’usager, de l’administrateur ou de son propriétaire, afin d’accéder, recueillir, exploiter, extraire, intercepter, retirer, altérer, effacer ou transmettre du contenu, notamment les informations enregistrées ou transmises par un appareil connecté à internet. Cela comprend la capacité d’enregistrer des vidéos, des pistes audio ou des conversations ou de localiser l’ordinateur.

V. Les capacités cyber destructrices ou perturbatrices désignent des capacités reposant sur des moyens informatiques pour endommager un système informatique. Cela peut comprendre des outils conçus à des fins d’intrusion ou d’interférence avec des technologies opérationnelles, tels que des logiciels rançonneurs, ou rançongiciels, ou des wipers.