Source et contexte: RISCS (Research Institute for Sociotechnical Cyber Security) publie une analyse d’Andrew Dwyer sur la deuxième conférence du Pall Mall Process (Paris, avril 2025), initiative lancée en 2024 par le Royaume‑Uni et la France pour freiner la prolifération et l’usage irresponsable des capacités d’intrusion commerciales (CCICs).
Le texte rappelle que les CCICs (de la découverte de zero-days à la vente d’outils et services) alimentent à la fois des usages légitimes et illégitimes. Si l’attention médiatique s’est concentrée sur le spyware (ex. Pegasus/NSO Group), l’écosystème est plus large et rend les interdictions totales irréalistes, d’autant que de nombreux États n’ont pas de capacités « in‑house ».
Le Pall Mall Process vise à intervenir sur ce marché en combinant des obligations « dures » (ex. contrôles à l’export) et « souples » (codes de pratique). Après une déclaration initiale signée par 38 États/organisations (févr. 2025), le code de pratique issu de la conférence de Paris n’a réuni que 25 signataires, illustrant des divergences internes (expertise limitée, tensions civil/militaire, désaccords sur la légitimité des usages) et des critiques, dont l’idée qu’un resserrement du marché pourrait être perçu comme néo‑colonial par des États dépendants de l’offre commerciale.
En toile de fond, l’OEWG de l’ONU (2021–2025) a entériné en juin 2025 le cadre existant (droit international applicable, 11 normes non contraignantes) et un futur Mécanisme Global, mais sans avancées substantielles. Le Processus, plus restreint et majoritairement européen/libéral, pourrait donc devenir un vecteur parallèle, même si des propos controversés lors de la conférence (sur les développeurs de CCICs) ont montré la fragilité d’un consensus autour de la « responsabilité ».
L’auteur met en avant les principes du Processus (et du NCF britannique) — accountability, précision, oversight, transparence — mais juge la « responsabilité » trop contestée géopolitiquement. Il propose d’opérer par « permissibilité » (définir des activités permises/interdites et des garde‑fous comme le « know your customer ») pour élargir l’adhésion étatique et industrielle. Conclusion: texte d’analyse politique visant à clarifier les tensions entre contre‑prolifération et dynamiques de marché, et à suggérer une voie praticable à court‑moyen terme. 🌍
🔗 Source originale : https://riscs.org.uk/2025/08/12/prefiguring-responsibility-the-pall-mall-process-and-cyber-intrusion-capabilities-andrew-dwyer