Dystopia: une fiction glaçante pour penser la cybersécurité internationale
Le 12 mai dernier, la première Geneva Cyber Week s’est ouverte sur un scénario catastrophe à faire froid dans le dos. Dans un État imaginaire, transports, hôpitaux et réseaux tombent les uns après les autres. Une manière d’aborder concrètement les enjeux liés à la coordination en cas d’incident cyber.
La première édition de la Geneva Cyber Week s’est ouverte le 12 mai dernier avec la Cyber Stability Conference 2025 organisée par l’Institut des Nations Unies pour la recherche sur le désarmement (UNIDIR). Pour amorcer les échanges, les organisateurs ont choisi de confronter les participants à un scénario fictif, mais technologiquement crédible. Dans la contrée imaginaire de Dystopia, la crise débute par des signaux discrets: quelques retards de vols, des pannes électriques isolées. Puis tout s’accélère.
Des données erronées transmises aux cockpits entraînent une collision entre deux avions de ligne. Le trafic aérien est suspendu. Les véhicules autonomes, la logistique automatisée et les feux de signalisation pilotés par intelligence artificielle cessent de fonctionner, provoquant une paralysie totale des réseaux de transport. Dans les hôpitaux, les coupures de courant affectent les services d’urgence. Une contamination d’un grand lac, combinée à des défaillances dans le traitement de l’eau, déclenche une panique sanitaire. En 24 heures, c’est l’ensemble des services essentiels de Dystopia qui vacille.
Une dystopie basée sur l’ICT Intrusion Path
Ce scénario n’a pas été présenté comme une anticipation ni une reconstitution. Il a été conçu comme un outil pédagogique destiné à illustrer la rapidité avec laquelle une cyberattaque peut se propager dans un environnement hautement numérisé. Le récit s’appuie sur un cadre d’analyse développé par l’UNIDIR, l’ICT Intrusion Path, qui permet de décomposer une attaque en plusieurs étapes, depuis les premiers signes d’observation jusqu’à la compromission des systèmes internes.
Le contenu de la conférence n’a pas fourni de détails techniques sur la manière dont les défaillances pourraient s'enchaîner lors de ce type d'incident, mais certains éléments permettent d’esquisser une logique de propagation. Dystopia est décrite comme une région ayant connu une transformation numérique rapide, où l’essentiel des services publics et des infrastructures repose sur un petit nombre de fournisseurs cloud. Cette concentration a rendu les opérations digitales plus efficaces, mais aussi fortement interconnectées et donc vulnérables. Dans le scénario, une faille dans cet environnement cloud largement mutualisé a été exploitée par un acteur malveillant, avec des effets en cascade sur l’ensemble des systèmes critiques.
Le cas de l’attaque WannaCry de 2017 ayant frappé le NHS au Royaume-Uni, cité lors de la conférence, illustre comment des vulnérabilités critiques, bien qu’identifiées par des chercheurs en cybersécurité, peuvent tarder à être communiquées aux parties concernées. Faute de coordination entre agences nationales ou d’un cadre clair pour la divulgation.
Des normes pour éviter ce type de scénario catastrophe
Le récit de Dystopia a ainsi servi de fil rouge aux échanges sur la coopération internationale en matière de cybersécurité. Le cadre des Nations Unies sur le comportement responsable des États dans le cyberespace, en particulier, a été mis en avant. Parmi les onze normes adoptées à l’ONU, plusieurs auraient pu limiter les conséquences du scénario: divulgation responsable des vulnérabilités, protection des infrastructures critiques, ou encore coordination en cas d’incident transfrontalier.
Le message de la conférence est clair: face à des menaces systémiques, interconnectées et en constante évolution, les réponses ne peuvent être que collectives. À condition toutefois que les normes existantes soient mises en œuvre de manière concrète, cohérente et équitable.
Ndlr: Cet article s’appuie sur le visionnage en différé de la conférence, disponible sur YouTube.
