Dans le cyberespace, Microsoft joue une étonnante partition. Depuis deux ans, l’entreprise mène un lobbying très actif pour la « paix dans le cyberespace ». Elle milite pour que les attaques informatiques épargnent les infrastructures civiles, citant notamment l’épisode du virus informatique WannaCry. Ce dernier avait déferlé sur des centaines de milliers d’ordinateurs en mai 2017 – ce qui avait été rendu possible par une faille dans Windows – et avait lourdement perturbé le fonctionnement des hôpitaux britanniques.

L’entreprise a notamment proposé rien moins qu’une « convention de Genève pour le cyberespace », ainsi que la création d’une entité internationale chargée de désigner les coupables des cyberattaques. Aujourd’hui, elle concurrence les diplomaties traditionnelles : c’est avec Microsoft que le ministère français des affaires étrangères a directement négocié la teneur de l’appel de Paris pour la confiance et la sécurité dans le cyberespace, qu’Emmanuel Macron a présenté lundi 12 novembre.

L’activisme de l’entreprise sert-il à détourner les attentions de sa lourde responsabilité en matière de sécurité informatique ? En effet, ses logiciels équipant une grande partie des ordinateurs en fonction dans le monde, Microsoft est en première ligne s’ils comportent une faille exploitée par des pirates. De passage à Paris, son président et directeur juridique, Brad Smith, a répondu à nos questions.

Pourquoi, chez Microsoft, êtes-vous si actifs dans la diplomatie internationale autour du cyberespace ?

Le cyberespace est devenu un nouveau vecteur d’attaques et un moyen de mener la guerre. Quand on parle de conflits dans le cyberespace, il s’agit de conflits qui touchent des centres de stockage de données, des câbles sous-marins, des téléphones, des ordinateurs. Et la plupart d’entre eux sont des propriétés privées. En tant qu’entreprise, nous faisons partie du champ de bataille. Nous sommes devenus les premiers intervenants lorsqu’il y a une attaque, et nous devons aider nos clients. Nous avons été tirés, contre notre gré, au cœur du conflit, et nous voulons contribuer à y mettre un terme.

Certains Etats vous perçoivent comme des diplomaties privées. Est-ce le cas ou estimez-vous simplement être une entreprise défendant ses intérêts ?

Nous pensons que personne, aucun gouvernement, aucune technologie ne devrait être au-dessus des lois. C’est fondamental. Nous ne faisons pas la loi, les gouvernements la font et l’appliquent. Le rôle des gouvernements est plus important que celui des entreprises. Mais nous avons un rôle et une responsabilité importante, qui nous amènent à discuter avec des gouvernements. Ce type d’approche est de plus en plus courant dans le champ des technologies.

Quelles sont vos relations avec les diplomaties traditionnelles ? Comment perçoivent-elles l’action d’une entreprise américaine comme la vôtre ?

La vision qu’ont les gouvernements des entreprises n’a pas beaucoup changé. Ils savent qu’elles sont mondialisées, tandis que les pays sont définis par leurs frontières. Les entreprises peuvent avancer plus vite, mais elles restent soumises à la loi. Les gouvernements peuvent être intéressés par les informations dont nous disposons, voire par nos idées, mais notre rôle est secondaire.

Votre activisme sur les questions de diplomatie numérique est-il un moyen de limiter votre responsabilité vis-à-vis d’éventuels problèmes de vos logiciels, qui équipent de nombreux appareils connectés dans le monde ?

Trois entreprises jouent un rôle important en termes de logiciels dans le monde : Apple avec iOS, Google avec Android et Microsoft avec Windows. Notre rôle en matière de sécurité est de trois ordres : nos technologies elles-mêmes, l’analyse que nous faisons des menaces et notre parole en matière de politiques publiques. Cela n’altère en rien nos responsabilités.

Comment expliquez-vous que Google ou Apple ne soient pas aussi actifs que vous l’êtes ?

Vous devriez leur demander. Je pense que Google commence à faire davantage dans ce domaine. Toutes les grandes entreprises technologiques ont une importante responsabilité. Nous devons travailler ensemble, mais également avec les gouvernements et la société civile. Je pense que c’est le cœur de l’approche pluriacteurs : si le siècle dernier a largement été dominé par la diplomatie bilatérale ou multilatérale, nous sommes peut-être dans l’ère de la diplomatie qui rassemble tous les acteurs.

Il faut aussi se demander quel était le message du monde des affaires il y a cent ans, avant la deuxième guerre mondiale, quand le nuage de l’oppression est apparu en Allemagne et a jeté son ombre sur l’Europe. La réponse, c’est que les entreprises, à l’époque, sont restées silencieuses. Les entreprises ne doivent pas le rester. Quand nous voyons ce type de problème, nous devons nous exprimer, de manière responsable – c’est-à-dire en développant des principes bénéfiques pour le monde – et respectueuse, tout en reconnaissant les limites de nos actions.

Vous avez défendu l’idée d’une convention de Genève pour le cyberespace. Qu’en est-il de cette idée ?

J’ai formulé cette idée il y a un an. Notre but, à long terme, c’était de protéger les vies et les infrastructures civiles en temps de paix. Depuis un an, certaines étapes ont été franchies et c’est une bonne chose. L’appel de Paris est un tournant décisif pour la cybersécurité, parce qu’il se concentre sur ce qui nous semble être les principes les plus fondamentaux : la lutte contre les attaques indiscriminées visant des innocents, la protection des opérations électorales.

Pensez-vous qu’il soit vraiment possible de pacifier le cyberespace ? Pensez-vous que les Etats vont arrêter de s’espionner ?

L’espionnage fait partie de l’activité des Etats depuis leur apparition. Nous ne défendons pas l’arrêt de cette activité quand elle est faite légalement et de manière responsable. Ce sur quoi nous nous concentrons, à ce stade, c’est la protection des civils, des citoyens innocents, des hôpitaux, des écoles. Il faut se rappeler que la première guerre mondiale était la première guerre de l’histoire à faire tant de morts. Pourquoi ? A cause de la technologie. C’était à cause de l’artillerie, des canons qui pouvait être positionnés à Verdun et toucher Paris. Le monde, à l’époque, n’a pas mesuré les nouvelles menaces créées par ces technologies.

Emmanuel Macron a dit, dimanche 11 novembre, que certains événements contemporains lui rappelaient la situation des années 1930. Pensez-vous que les cyberattaques et l’état de perpétuel conflit du cyberespace soient des signes ?

Une des tendances évidentes dans les années 1930 était l’affaiblissement de la démocratie et de ses institutions. Aujourd’hui, la technologie est utilisée pour s’attaquer à la démocratie. On a vu le piratage de comptes e-mail de candidats à des élections et la militarisation de ces messages. Nous constatons aussi que les systèmes électoraux font l’objet de repérages en vue d’attaques. Il y a un troisième problème : la démocratie s’affaiblit lorsque les gens arrêtent de s’écouter, quand ils ne parviennent plus à distinguer ce qui les unit. Cela a été le cas en Allemagne ou en Italie dans les années 1930. Nous voyons des signes similaires aujourd’hui, et la technologie les renforce.