Apport des théories de la gouvernance des entreprises pour définir
1
Apport des théories de la gouvernance des entreprises
pour définir une gouvernance du cyberespace
Dr Sandro Arcioni, chef d’entreprise, enseignant-chercheur, lieutenant-colonel, expert en
opérations d’influence et cyberdéfense, Suisse (sa[email protected])
RESUME
Le Cyberespace est un espace qui devrait être métagouverné, mais en fait il ne l’est pas !
Pourtant la cybersécurité est aussi importante pour un chef d’Etat que pour une nation. La
visibilité et la compréhension des « cybermenaces », leur classification et les outils pour y
faire face sont la meilleure façon d’anticiper et de se préserver contre les cyberagressions :
unir les forces, se protéger, identifier, informer, dénoncer, aider. La détection d’événements
ne doit plus seulement être basée sur une détection par signatures mais sur une approche
comportementale. Il faut comprendre la volonté et l’idée de manœuvre de l’attaquant et
rechercher son identité. Peu de nations sont capables de le faire faute de moyens
technologiques importants et d’un savoir-faire hors du commun nécessaires.
L’intérêt de cet article est une réflexion et une application des modèles de gouvernance à
d'autres organisations que les entreprises commerciales. Entant donnée que les organisations
sportives se trouvent déjà dans une économie relationnelle et le cyberespace également, il
s’agit d’utiliser les modèles de gouvernance des organisations sportives, relavant de modèles
de gouvernance particuliers de la gouvernance d’entreprise afin de donner des pistes pour
l’application d’une métagouvernance du Cyberespace.
Par exemple, par la mise à disposition de ses bons offices, la Suisse pourrait offrir à
l’ensemble des nations un « Observatoire Mondial de Contrôle et d’Observation des
Cyberagressions » et une aide aux nations qui ressentiraient le besoin de se prémunir contre
des cyberagressions et/ou d’identifier les belligérants qui leur auraient fait subir des
désagréments ou des destructions dans le but d’améliorer déjà la gouvernance du cyberespace
et sa régulation en faisant condamner ces agressions sur le plan international.
Mots-clés : Gouvernance, IT-Gouvernance, Cybersécurité, Cyberagressions, Intelligence
économique, Cybercriminalité, Cyberterrorisme, Cyberguerre, Observation
comportementale.
2
Apport des théories de la gouvernance des entreprises
pour définir une gouvernance du cyberespace
La Suisse a, de tout temps, fait figure de précurseur dans le domaine des organismes
internationaux d’entraide sur le plan humanitaire. C’est en 1863 qu’un groupe de citoyens de
la ville de Genève, dont faisaient partie Gustave Moynier, Henri Dunant (prix Nobel de la
paix en 1901) et Guillaume-Henri Dufour, crée une nouvelle organisation : le Comité
International de la Croix Rouge, qui est actuellement la plus ancienne organisation
humanitaire existante. Fortes de cette tradition, la Suisse et Genève verront s’installer sur le
territoire de la Confédération un grand nombre d’organisations internationales à buts
philanthropiques ainsi que de nombreuses agences importantes des Nations unies telles que :
Organisation mondiale de la santé (OMS) ;
Organisation météorologique mondiale (OMM) ;
Organisation mondiale de la propriété intellectuelle (OMPI) ;
Organisation internationale du travail (OIT) ;
Union internationale des télécommunications (UIT) ;
Haut-Commissariat des Nations unies pour les réfugiés (HCR) ;
Organisation internationale pour les migrations (OIM) ;
Haut-Commissariat des Nations unies aux droits de l'homme (HCDH) ;
Centre du commerce international (CCI).
En matière de résolution de conflits, la Suisse offre également ses bons offices par des
proposition de « territoire neutre » pour des négociations, des centre de compétences dans les
domaines du déminage, des armes chimiques, du nucléaire, etc.
Avec les années et l’arrivée sur le marché de nouvelles technologies, la Suisse se doit de
rester créative et visionnaire. Avec ces nouvelles technologies, les modèles de gouvernance
traditionnels se voient bouleversés surtout lorsque les frontières disparaissent. Dès lors, la
gouvernance du cyberespace peut être comparée à la gouvernance des organisations
internationales sportives qui se gouvernent sans frontières ni territoires nationaux. La
prospective pour un pays comme la Suisse doit l’aider à s’engager dans la création de
nouveaux organismes internationaux d’entre-aide et apporter également ses connaissances en
matière de gouvernance et de fédéralisme.
Le but de cet article est d’analyser les nouveaux besoins en de matière gouvernance du
cyberespace, de l’anticipation et de la résolution de conflits en son sein, par une approche de
régulation.
3
1. Introduction
Les guerres telles que la « grande guerre », la deuxième guerre mondiale, les guerres
modernes : Guerre du golf, Irak, Afghanistan, Lybie, etc. ainsi que les guerres civiles
(Syrie,...) représenteront toujours l’horreur et la souffrance pour les populations. Aujourd’hui
la réalité a dépassé la fiction d’hier et la menace de la cyberguerre est bien avérée. Ne parlons
même pas de la « guerre des étoiles » démesurément coûteuse, qui a déjà condamné en partie
l’économie américaine sous la présidence Bush.
En quoi ce nouveau type de guerres menacent-t-elles les populations ? Au même titre que la
guerre conventionnelle, la cyberguerre cible les mêmes objectifs mais n’utilise aucun des
moyens militaires traditionnels mais uniquement la réflexion, le chantage, l’influence et les
nouvelles technologies : l’informatique et les réseaux de télécommunication. Très peu
coûteuse pour l’attaquant, elle profite alors à toute nation ou groupuscule qui désire nuire à
une autre nation ou à un autre groupe de population. L’Internet est devenu un champ de
bataille extraordinaire pour un très grand nombre d’opérations de ce genre.
La prospective est « la démarche qui vise, dans une perspective à la fois déterministe et
holistique, à se préparer aujourd'hui à demain »
1
. « Elle ne consiste pas à prévoir l'avenir mais
à élaborer des scénarios possibles sur la base de l'analyse des données disponibles (états des
lieux, tendances lourdes, phénomènes d'émergences) et de la compréhension ainsi que la prise
en compte des processus socio-psychologiques » comme le rappelle Michel Godet (1997) :
« si l'histoire ne se répète pas, les comportements humains se reproduisent ». La prospective
doit donc aussi s'appuyer sur des analyses rétrospectives de la mémoire historique du passé
humain et écologique (par exemple, les impacts environnementaux et humains des
modifications « géoclimatiques »).
Le cyberespace, constitué par le maillage de l’ensemble des réseaux, est radicalement
différent de l’espace physique. Il est sans frontière, en constante évolution, anonyme et
l’« identification certaine » d’un agresseur y est délicate. Un peu comme les frontières des
pays/nations face aux changements climatiques.
N’entrons pas dans les détails des domaines de l’intelligence économique, de la défense, de la
prospective du « métier » du chef d’Etat, de son comportement dans les processus
diplomatiques, des pratiques de gouvernance, des prospectives sectorielles et des impacts
environnementaux.
1
http://fr.wikipedia.org/wiki/Prospective
4
Sur le plan international, les nouvelles capacités d’influence des ONG s’accompagnent d’une
transformation des modes d’exercice du pouvoir. Les organisations ne gouvernent plus ou ne
contrôlent plus complètement leurs structures. Quand elles y parviennent, c’est en vertu de
leurs capacités à négocier les buts à atteindre plutôt qu’en dictant des objectifs ou des
missions à des collaborateurs et/ou des partenaires passifs.
On décrit habituellement cette évolution en parlant d’un passage d’une logique de
gouvernement à une logique de gouvernance. Selon Pérez (2003), « la gouvernance se réfère à
un dispositif institutionnel et comportemental qui régit les relations entre les dirigeants d’une
entreprise – plus largement, d’une organisation – et les parties concernées par le devenir de
ladite organisation, en premier lieu celles qui détiennent des « droits légitimes » sur celle-ci ».
La gouvernance d’une organisation repose sur des hommes et ce sont ces derniers qui
structurent l’organisation et configurent le pouvoir qui la dirige.
Le cyberespace en fait partie et par sa configuration supranationale, ressemble plus à une
organisation internationale sportive (Comité International Olympique – CIO –, Fédération
Internationale de Football Associations – FIFA –, etc.) qu’à l’organisation d’un territoire
d’une nation, si l’on ose la comparaison.
Dès lors, le point le plus discuté de la gouvernance des organisations sportives est celui du
rôle et du contrôle des mandataires sociaux au sein des personnes morales. Les dirigeants
d’une organisation – société commerciale, établissement public, association à but non lucratif,
etc. – s’expriment et agissent « au nom » de cette organisation. Dans cette logique, les
dirigeants peuvent signer des contrats, faire des opérations et transactions de type financier,
matériel et humain à grande échelle. Les questions relatives à leur nomination comme
mandataires sociaux, aux conditions d’exercice et de contrôle de leurs mandats sont de ce fait
légitimes (Suchman, 1995) et font de la gouvernance des organisations un point essentiel des
systèmes de management de ces dernières. Il va de soi que l’éthique des dirigeants, tout
comme la configuration du pouvoir de l’organisation dans laquelle ils vont évoluer, auront
une importance capitale sur les modalités de la gouvernance de cette organisation. Ceci
justifie l’importance accordée à l’analyse organisationnelle (structure de l’organisation,
organigramme clair et transparent, définitions des rôles et des tâches des acteurs sans
ambiguïté) et comportementale (comportement des acteurs dans l’organisation, influence des
prises de décisions dues à un comportement de l’acteur sur l’organisation, etc.). Par contre,
dans le cyberespace la notion de la légitimité des acteurs est encore bien différente puisqu’il
n’y a pas de notion d’identification systématique des acteurs ; ces derniers pouvant aisément
se cacher derrière une autre identité que la leur ou rester anonyme. Il existe bien une charte de
5
l’utilisation de l’Internet, c’est-à-dire du cyberespace, mais finalement est-elle respectée si
une partie des acteurs peuvent rester anonymes ?
Cet article vise à sensibiliser les chefs d’Etat aux impacts de la cybersécurité sur leur nation et
encourager la Confédération suisse à poursuivre ses efforts de création d’organes
internationaux en matière de bons offices pour répondre aux besoins futurs des nouveaux
enjeux mondiaux.
2. Que dit la littérature ?
Nous distinguerons trois approches de la littérature : la « corporate governance » à la
métagouvernance, la gouvernance des organisations internationales sportives et l’études des
technologies.
2.1 De la corporate governance à la métagouvernance
Les travaux de Pérez (2003) apportent une dimension nouvelle dans l’analyse de la
gouvernance des organisations. Pérez propose une compréhension des fondements et des
problèmes posés par la « corporate governance », tels qu’asymétrie d’information,
enracinement des dirigeants, procédure pour les « discipliner », etc. A cet effet, Pérez propose
d’analyser :
le dispositif propre à l’organisation : la souveraineté de l’assemblée générale, le rôle du
conseil d’administration, la composition et le renouvellement du conseil d’administration,
la composition des différentes commissions et des comités ad hoc, le statut et la fonction
du président et/ou directeur général ;
le dispositif d’appuis : le contrôle des comptes (auditeurs, experts et certificateurs),
l’évaluation financière et organisationnelle (analystes financiers et agences de notation),
intermédiaires financiers (parties prenantes, investisseurs) ;
le dispositif de régulation : les organisations professionnelles, les tutelles administratives,
les autorités de régulation, les instances juridictionnelles ;
les outils opérationnels de la « corporate governance » orientés vers les parties prenantes :
un indicateur de financement, un indicateur de performance (mesure de la création de
valeurs), un principe de mesure comptable, un mécanisme incitatif (rémunérations
motivantes des dirigeants), un mécanisme disciplinant ;
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
1
/
26
100%
