En l'honneur de la Journée mondiale de l'éthique, le 18 octobre, Carnegie Council et l'université de New York (NYU) ont organisé une réunion spéciale sur les cyberrelations internationales et l'éthique. Cet événement a permis aux étudiants et aux professeurs d'appliquer la pensée systémique à l'examen des défis techniques, géopolitiques et éthiques complexes qui englobent les relations entre les États dans le cyberespace.
La présentation était codirigée par Christopher Ankersen, professeur à l'université de New York, et Zhanna Malekos Smith, ancien professeur d'ingénierie des systèmes à West Point, l'académie militaire des États-Unis, et actuellement chercheur invité à l'adresse suivante : Carnegie Council. L'article suivant est un résumé des remarques de Zhanna Malekos Smith et comprend des notes supplémentaires de la présentation que les éducateurs peuvent utiliser dans leurs propres plans de cours.
Tout d'abord, discutons de ce que nous entendons par éthique.
Si l'éthique a une myriade de définitions, les penseurs italiens Luca et Francesco Cavalli-Sforza l'ont décrite comme la "science du bonheur". Ce concept fait référence à la capacité d'une personne à ressentir de l'empathie pour la souffrance d'autrui. Ce concept fait référence à la capacité d'une personne à ressentir de l'empathie pour la souffrance d'autrui, ce qui nous éloigne d'une perspective égocentrique dans l'examen de nos relations et de notre environnement, et nous incite à agir pour aider ceux qui en ont besoin. "Tout comme le cristal prend la couleur du tissu sur lequel il repose, l'éthique affecte également notre propre bien-être", écrit Matthieu Ricard dans son ouvrage intitulé Le bonheur : Un guide pour développer la compétence la plus importante de la vie.
Selon Ricard, écrivain français d'origine népalaise et moine bouddhiste, la pratique consistant à se mettre à la place de l'autre et à essayer d'imaginer ce que c'est que d'être le destinataire d'un certain acte ou d'une certaine expérience fait partie de la construction d'une éthique de la compassion. À son tour, la pratique de l'éthique de la compassion dans la vie quotidienne permet également de mieux comprendre les perspectives différentes des nôtres, ce qui favorise l'empathie et, en fin de compte, le bonheur.
Du point de vue des relations politiques, la construction d'une éthique de la compassion nous permet également de mieux comprendre nos alliés, nos partenaires et nos adversaires.
En guise de méthodologie d'enseignement, le public de l'université de New York a assisté à un jeu de rôle en direct sur les dilemmes éthiques dans les cyberrelations internationales. L'exercice a aidé les étudiants à décortiquer les différentes perspectives des parties prenantes de cette communauté et à considérer l'écosystème des facteurs qui accompagnent la gestion des risques programmatiques dans le cadre de la pensée systémique.
Nous espérons que cet article servira de référence aux éducateurs qui souhaiteraient intégrer le mini-jeu cybernétique suivant et les questions de discussion dans leur propre salle de classe en tant qu'activité d'apprentissage amusante et interactive avec les étudiants et les professionnels.
Avec des remerciements particuliers à M. Alvaro Jimenez Jimenez.
Note de cas d'enseignement
La cybersécurité est souvent décrite comme un sport d'équipe. Imaginez que vous et une équipe d'experts soyez nommés membres d'une commission nationale d'éthique du cyberespace. Votre objectif est de parvenir à un consensus sur une approche stratégique visant à promouvoir le respect des normes internationales dans le cyberespace et à défendre les intérêts nationaux des États-Unis dans le cyberespace.
Le dialogue platonicien suivant met en lumière les points de vue de cinq parties prenantes controversées et leurs opinions sur le comportement responsable de l'État dans le cyberespace. Cinq acteurs jouent le rôle d'un faucon politique, d'une colombe, d'un membre de l'industrie, d'un cynique politique humoristique et du modérateur de la réunion, généralement joué par l'éducateur qui dirige cette simulation. Pourquoi une forme de dialogue ? Le philosophe grec de l'Antiquité Platon appréciait cette forme de test des arguments, reconnaissant que la recherche de la vérité ne peut se faire que par le dialogue.
Après que les élèves aient joué le dialogue devant la classe, demandez-leur de former de petits groupes de discussion de cinq personnes, chacune choisissant de jouer un personnage de la distribution ci-dessus, et de travailler ensemble sur les trois questions de discussion pendant 15 minutes. Les questions de discussion sont énumérées à la fin de cet article. À la fin de ce tour de table, réunissez la classe et demandez à un représentant de chaque groupe de discussion de faire part à la classe des impressions et des réflexions de son groupe sur les questions.
SCRIPT :
Le grand dialogue éthique du cyberespace
Scène : Dans un lieu gouvernemental ultrasecret, nous rejoignons les membres de la Commission nationale d'éthique du cyberespace, assis autour d'une table de conférence. Nous voyons un faucon politique, une colombe, le modérateur, un acteur du secteur et un critique acerbe. Écoutons-les maintenant.
Modérateur : Merci à tous d'être venus. Comme vous le savez, l'administration Biden-Harris a publié la nouvelle stratégie nationale de cybersécurité 2023, qui met l'accent sur la manière dont le gouvernement doit s'associer au secteur privé pour garantir les meilleures pratiques et répondre aux cyberactivités malveillantes. Je propose que nous nous réorientions d'abord vers les cinq piliers de la stratégie. Des objections ?
Faucon : Inacceptable ! En tant que nation, nous n'avons pas réussi à établir une doctrine cybernétique claire. Nous avons besoin d'un cahier des charges ! Nous devons définir des attentes - quelque chose - pour indiquer au monde quand et comment les États-Unis réagiront aux cyberattaques. Mes amis, nous ne pouvons pas nous permettre de rester les bras croisés alors que d'autres États se contentent d'écrire les règles du jeu !
Snark : (ton très sarcastique) Calmez-vous. Et vous envoyez assez de signaux au monde comme ça ; on nous a dit de laisser nos téléphones à l'extérieur.
Hawk : Il s'agissait d'un oubli mineur.
Le président : Pour en revenir à la question principale, Mesdames et Messieurs, avant que cette commission d'éthique ne discute de toute nouvelle affaire, il est impératif que nous abordions d'abord-(coupure de la parole)
Faucon : Nous devons tracer une "ligne rouge" dans le cyberespace ! Une ligne rouge signalant que si un gouvernement, un acteur non étatique ou un hacktiviste solitaire pose ne serait-ce qu'un orteil sur cette ligne rouge, nous sommes prêts à l'accueillir, verrouillés et prêts à danser !
Snark : (ton très sarcastique) Rappelle-moi de ne jamais aller danser avec toi.
Faucon : Il n'y a pas de quoi rire ! Saviez-vous que "les systèmes du ministère de la Défense sont sondés par des utilisateurs non autorisés environ 250 000 fois par heure, soit plus de 6 millions de fois par jour". Incroyable !
Colombe : Je pense que Hawk soulève un point valable. Il semble que nous soyons en train de construire cet "avion politique" tout en le pilotant ; cependant, je mets en garde contre une politique de la ligne rouge, car elle réduit nos options de réponse.
Industrie : (Ton triste) Je pensais que du café serait servi lors de cette réunion.
Snark : Je blâme le gouvernement.
Industrie : Il devrait au moins y avoir des petits muffins aux pépites de chocolat ou des tranches de fruits !
Snark : Du jus d'orange fraîchement pressé, peut-être ?
Hawk : (D'un air bourru) J'aime les gaufres.
Président : Assez !
Colombe : (un peu irritée) Ahem ! Comme je le disais, une fois qu'un agresseur a franchi cette proverbiale ligne rouge, et qu'il n'y a pas d'action de suivi, cela devient embarrassant et inefficace. Par exemple, vous souvenez-vous qu'en 2012, le président américain Barack Obama a déclaré que sa "ligne rouge" avec le président syrien Bachar el-Assad était l'utilisation d'armes chimiques, mais qu'il n'a pas appliqué cette ligne après que le régime d'Assad a tué près de 1 500 personnes lors d'une attaque à l'arme chimique ?
Le président : Dove, je vous remercie pour cet éclairage, mais nous devons procéder de manière séquentielle dans l'ordre du jour pour formuler une stratégie cybernétique cohérente. Non seulement pour définir la vision des États-Unis en matière d'opérations cybernétiques, mais aussi pour indiquer à la communauté internationale comment nous considérons que le droit international s'applique à la conduite des États dans le cyberespace. Tout d'abord, nous devons parvenir à un consensus sur ce qui constitue un acte de guerre dans le cyberespace. À l'heure actuelle, il n'existe pas de définition juridique internationale standard d'une "cyberattaque", et j'imagine que chacun d'entre nous dans cette salle a une opinion différente sur ce qu'est ou n'est pas une cyberattaque. Alors, discutons-en.
Colombe : Je propose que nous adoptions la définition fournie dans le Manuel de Tallinn sur le droit international applicable à la cyberguerre. La règle 30 stipule qu'une cyberattaque est une "opération cybernétique, qu'elle soit offensive ou défensive, dont on peut raisonnablement s'attendre à ce qu'elle cause des blessures ou la mort de personnes, ou des dommages ou la destruction d'objets".
Snark : Qu'en est-il de l'atteinte aux données ? Votre définition semble insuffisante car elle ne mentionne pas expressément l'endommagement ou la destruction des systèmes, des données et des informations.
Faucon : Nous sommes des pédants désolés. Écoutez, mes amis, nous devrions moins nous préoccuper de trouver une définition précieuse et nous concentrer davantage sur les actes répréhensibles dans le cyberespace qui constituent un acte de guerre. Les exemples typiques d'activités cybernétiques qui constituent un "recours à la force" au sens de l'article 2, paragraphe 4, de la Charte des Nations unies sont (1) les opérations qui déclenchent la fusion d'une centrale nucléaire, (2) les opérations qui ouvrent un barrage au-dessus d'une zone peuplée et provoquent des destructions, ou (3) les opérations qui désactivent le contrôle du trafic aérien et provoquent des crashs d'avions.
Le président : Bien sûr, tous ces exemples comportent une forme de destruction de haut niveau, qu'il s'agisse de la perte de vies humaines ou de dommages physiques catastrophiques. Mais qu'en est-il de la cyberactivité qui n'équivaut pas à une attaque armée mais qui fait des ravages par d'autres moyens insidieux ? Pourquoi nous concentrons-nous uniquement sur les effets cinétiques ? L'attaque de nos systèmes électoraux et judiciaires ne devrait-elle pas constituer un acte de guerre ?
Dove : Je suis d'accord, il est dangereux d'essayer de s'en tenir à la définition militaire traditionnelle d'une attaque armée comme ayant des effets physiques, cinétiques ; cela ne tient pas compte des nuances des opérations cybernétiques agressives. D'un point de vue éthique, cependant, une opération cybernétique qui porte atteinte à des données ou produit de la désinformation doit-elle être traitée comme une attaque armée ? Je crains que nous ne soyons en train d'abaisser le seuil de conflit pour que les États entrent en guerre.
Snark : Eh, je pense que le futur visage du conflit sera beaucoup plus subtil : pensez aux tactiques de la zone grise, comme les opérations d'information et l'ingérence de la Russie dans l'élection américaine de 2016 et les campagnes d'influence étrangères malveillantes de la Chine en Occident. Nous n'avons pas besoin de nous attarder sur le fait qu'un coup de poing au visage est un coup de poing au visage. C'est une évidence. Les actes de sabotage, les opérations d'influence, l'espionnage et la coercition économique ne sont pas nouveaux, mais la capacité de propager et d'amplifier les effets dans le cyberespace l'est.
Hawk : Ce qui me ramène à ce que je disais au début.
Snark : Vous aimez les gaufres.
Faucon : Non ! Oui ! Pas maintenant ! Nous avons besoin d'un manuel de réponses aux cyberattaques afin que nos adversaires sachent parfaitement quel type d'inconduite cybernétique déclenchera une réponse de notre part et à quoi s'attendre.
Président : Pour revenir à l'essentiel, pouvons-nous tous convenir qu'une cyberattaque contre nos infrastructures critiques protégées constitue un acte de guerre ? Pour rappel, en vertu du Patriot Act de 2001, les infrastructures critiques comprennent " les systèmes et les actifs, physiques ou virtuels, si vitaux pour les États-Unis que leur incapacité ou leur destruction aurait un impact débilitant sur la sécurité [...]".
Tous : Continuez.
Le président : D'accord, en supposant que nous soyons d'accord sur ce point, en classant certains systèmes et actifs comme "infrastructures critiques", nous signalons en fait à nos adversaires que ces cibles sont "hors limites" et que, si elles sont endommagées, il y aura de graves conséquences.
Industrie : Qu'en est-il de l'infrastructure électorale ?
Snark : Oui, que faire, camarades ?
Le président : Elle est déjà incluse. Rappelons qu'en 2017, l'ancien secrétaire du DHS, Jeh Johnson, a décidé que l'infrastructure électorale devait être désignée comme infrastructure critique dans le cadre des "installations gouvernementales".
Colombe : Je vois. En appliquant le terme général d'infrastructure critique protégée à ces systèmes, nous indiquons en fait aux opposants que ces systèmes sont "hors limites". Au moins, il s'agit d'une doctrine plus souple et plus respirante que celle qui consiste à tracer une ligne rouge ou à concevoir un manuel de jeu qui pourrait être obsolète au bout de quelques années, compte tenu du rythme de l'innovation technologique.
Snark : Plus sérieusement, je n'aime pas du tout l'idée du cahier de jeu. Elle est trop rigide et l'utiliser comme un "signal" à l'intention des adversaires est mal conçu, car elle affaiblit l'élément de surprise dans les cyberopérations militaires. Pourquoi annoncer notre réaction ?
Hawk : Mais un cahier des charges permet de clarifier la manière dont nous répondrions à une attaque.
Snark : C'est peut-être vrai, mais il semble que ce dont nous avons vraiment besoin, c'est d'un modèle de planification fluide de procédures opérationnelles et de plans d'urgence basés sur la cybernétique. Des options, plutôt, sur la manière dont nous pouvons répondre. Nous ne pouvons pas prévoir toutes les formes d'attaque, et un cahier des charges est beaucoup trop formaliste. En outre, nous devrions préserver notre droit de répondre à un acte cybernétique hostile au moment, à l'endroit et de la manière de notre choix ; la flexibilité est essentielle.
Colombe : La flexibilité et le bon dosage de transparence pour signaler la détermination de notre nation et promouvoir la stabilité mondiale. Selon moi, la fluidité devrait animer l'analyse d'un État visant à déterminer si "l'ampleur et les effets" d'une cyberopération atteignent le niveau d'une "attaque armée" au sens du droit des conflits armés, et comment l'État victime détermine la base juridique appropriée pour répondre par la force. En outre, pour que le modèle de planification soit pragmatique, il doit tenir compte des scénarios de conflit ambigus, par exemple lorsque le seuil de l'"attaque armée" n'est pas atteint mais que l'acte cybernétique produit tout de même des effets néfastes. Dans ce cas, il faut envisager d'imposer des contre-mesures non coercitives, telles que des sanctions économiques et des mises en accusation.
L'industrie : Il s'agit peut-être d'une solution rapide mais, à long terme, je n'en suis pas convaincu. Des contre-mesures ont été prises en 2014 lorsque le ministère américain de la justice a inculpé cinq pirates informatiques militaires chinois pour cyberespionnage économique à l'encontre d'entreprises américaines. Mais les pays continuent de se livrer à l'espionnage économique - en volant des secrets commerciaux et des données de propriété intellectuelle. Ce n'est pas une bonne chose.
Snark : Oui... Je me souviens qu'en 2016 et 2018, le ministère de la Justice a mis en accusation plusieurs pirates informatiques iraniens pour avoir ciblé des banques américaines, ainsi que le barrage Bowman à New York, et pour avoir volé la propriété intellectuelle d'universités. Certes, il s'agit d'une tape sur le poignet de l'acteur pour mauvaise conduite, mais si le gain est plus élevé que la punition, pourquoi s'arrêter ?
Industrie : Il serait bon de faire une pause-café.
Snark : (acquiesce) Sérieusement.
Colombe : Il semble que notre modèle de planification doive être flexible, en tenant compte de l'éthique bien sûr, et utiliser une approche à plusieurs niveaux pour dissuader les mauvais comportements.
Hawk : Dans ce cas, nous n'avons pas vraiment besoin d'un "livre de jeu" en soi.
Le président : Et c'est à partir de cette brique que nous allons construire. C'est parti !
FIN.
Copyright © 2023 par J. Zhanna Malekos Smith
Questions à débattre en groupe :
- À l'approche de l'élection présidentielle américaine de 2024, quel est le rôle du gouvernement des États-Unis et de l'industrie privée dans l'atténuation des risques liés aux campagnes de désinformation et aux opérations d'influence étrangères malveillantes ?
- Comment les États-Unis peuvent-ils collaborer avec leurs alliés et partenaires pour promouvoir la résilience cybernétique et l'adhésion aux normes internationales de comportement responsable des États dans le cyberespace ?
- Sans franchir la frontière juridique des activités hostiles dans un conflit armé intranational, quel est le "rôle éthique" de l'industrie privée étrangère dans le conflit entre la Russie et l'Ukraine ?
Carnegie Council for Ethics in International Affairs est un organisme indépendant et non partisan à but non lucratif. Les opinions exprimées dans cet article sont celles de l'auteur et ne reflètent pas nécessairement la position de Carnegie Council.