[DOSSIER] Quel droit pour la « cyberguerre » ?

Dans une récente interview accordée à l'excellente chaîne Thinkerview (à 11 minutes et 50 secondes), Alekseï Pouchkov, homme politique et diplomate russe, évoque la question du droit encadrant la « cyberguerre ». Il affirme que Vladimir Poutine a proposé à Donald Trump de commencer à travailler sur ce nouveau droit de la nouvelle guerre lors de leur première rencontre à Hambourg en juillet 2017. Une initiative qui semble d'abord avoir été favorablement accueillie par le président américain, qui s'est ensuite ravisé comme le dénonçait ici Sputnik News. En juillet 2018, le sujet de la cybersécurité s'invitait de nouveau entre les deux chefs d'Etat, s'agissant du rôle de la Russie dans les élections américaines sans que la question du droit de la cyberguerre ne fasse l'objet de nouvelles communications publiques.


I) Le « vide juridique »

L'argumentation russe relayée par A. Pouchkov se fonde sur un fait objectif : il n'existe à l'heure actuelle aucun droit spécifique à la « cyberguerre » pour encadrer l'usage de cette nouvelle forme de violence, même si le principe d'applicabilité du droit international (et notamment de la Charte des Nations unies) à l'environnement informatique semble admis par les groupes d'experts gouvernementaux réunis sur ce sujet dans le cadre des Nations unies. Lorsque la nature particulière de l'espace cyber n'impose pas une adaptation des règles pré-existantes, on ne voit en effet pas pourquoi celles-ci ne s'appliqueraient pas ipso facto. La question d'un droit particulier et nouveau se pose en revanche dans l'éventualité où des phénomènes cyber, parfaitement inédits, n'entreraient pas naturellement dans les catégories du droit traditionnel.

Rappelons quelques attaques spectaculaires qui ont montré que les offensives informatiques pouvaient causer de graves dommages jusque dans le monde physique :

- En 2007, une attaque (de type déni de service) attribuée à la Russie visait les instances étatiques de l'Estonie. Cette attaque relativement anodine quant à ses conséquences directes est néanmoins l'acte fondateur qui incita l'Occident, et notamment l'OTAN, à engager une réflexion sur la « cyberguerre ».

- En 2010, StuxNet est découvert. Ce virus élaboré par les Etats-Unis d'Amérique et Israël perturbaient le fonctionnement de centrifugeuses utilisées dans le programme nucléaire iranien jusqu'à la destruction de certaines d'entre elles. Récemment, une nouvelle attaque du même type pourrait avoir de nouveau touché l'Iran.  

- En 2014/2015 des attaques attribuées à la Chine compromettent des données concernant des agents fédéraux aux Etats-Unis.

- En 2015, une attaque attribuée à la Russie affecte le réseau électrique ukrainien causant un « blackout » partiel.

Une forme de violence politique aux conséquences plus ou moins graves existe donc manifestement dans le cyberespace, bien que l'attribution certaine des attaques constatées à des instances étatiques soit souvent difficile. Mais aucun texte propre à cette matière ayant une réelle force juridique ne s'impose, alors qu'il existe depuis toujours un droit de la guerre qui comprend deux branches : le jus ad bellum qui limite les cas d'ouverture de guerre, et le jus in bello qui régule les modalités d'usage de la violence en situation de guerre. Parmi les plus fameux textes de droit de la guerre, on peut citer les Conventions de Genève de 1949.

Mais l'épisode russo-estonien de 2007 a fait date, et 10 ans après paraissait le Manuel de Tallinn 2.0 (une première version moins complète avait été publiée en 2012), du nom de la capitale estonienne où l'OTAN installa son Centre d'excellence de cyberdéfense coopérative. Fruit d'une collaboration entre des experts indépendants, le commandement cyber US et le Comité International de la Croix-Rouge (acteur majeur du droit de la guerre), ce texte propose une transposition du droit traditionnel de la guerre aux opérations de « cyberguerre ». Ce n'est cependant qu'un travail de doctrine au sens juridique du terme (ie un texte savant sans portée effective), et l'OTAN elle-même ne le présente pas comme sa propre doctrine officielle en la matière bien qu'elle ait initié ce projet.

Ce travail n'en est pas moins significatif. Le parti pris de rechercher la transposition du droit de la guerre existant aux opérations cyber plutôt que de travailler à l'élaboration de règles nouvelles et spécifiques est intéressant. A finalité identique, on ne voit en effet pas pourquoi le droit applicable aux opérations conventionnelles ne pourrait pas aussi encadrer les opérations cyber. Le Manuel de Tallinn 2.0 a pourtant été publié 5 mois avant l'invitation lancée par Vladimir Poutine à Donald Trump d'initier une réflexion sur le droit de la cyberguerre, ce qui laisse supposer que ce travail suggéré par l'OTAN en réaction à une offensive attribuée à la Russie ne convainc pas Moscou.       

Les Nations unies ont à plusieurs reprises travaillé sur ce sujet. C'était l'objet des réunions des UNGGE réunissant régulièrement des experts gouvernementaux, avec un succès variable selon les éditions. Elles ont cependant, comme nous l'avons évoqué, permis de poser le principe de l'applicabilité du droit international au cyberespace.

Mais lors de la dernière réunion, en 2017, la possibilité de mettre en œuvre des contre-mesures, la légitime défense et le droit des conflits armés dans le cyberespace prévue au paragraphe 34 du projet de rapport final a fait obstacle au consensus. Souhaité notamment par les Etats-Unis, ce point a été dénoncé (entre autres) par la Russie, qui y voit une façon d'étendre l'influence normative occidentale et de militariser le cyberespace à l'avantage des plus grandes puissances technologiques sans prendre en compte les propriétés particulières du milieu concerné. Le danger pointé par la Russie est notamment celui d'une attribution hasardeuse des opérations. Pour un exemple concret de la difficulté à attribuer et donc à riposter en temps utile, nous renvoyons notamment à cet article de Victoria Castro sur le cas WannaCry, publié sur le très intéressant blog Cyberguerre de Numerama.  

II) Un phénomène insaisissable

Le problème de la « cyberguerre » est d'être un phénomène relativement insaisissable. Comme le note David Cumin (Maître de conférence HDR à l'Université Lyon 3) dans son Manuel de droit de la guerre (Larcier, 2014), « de telles opérations étant le plus souvent secrètes, leur imputation à tel Etat ou collectivité est difficile. De même, il est difficile de distinguer entre une opération constitutive d'une simple atteinte à la sûreté de l'Etat, appelant des mesures de police, et une opération constitutive d'un emploi de la force armée, justifiant la réaction militaire au titre de la légitime défense, individuelle, coalisée ou collective. »

L'élaboration d'un droit de la cyberguerre, c'est-à-dire la mise en forme de cette guerre, implique de distinguer ce qui relève de la criminalité et ce qui relève de l'hostilité. Savoir qui est belligérant, qui est neutre, qui agit et qui subit, qui est civil et qui est militaire etc. La chose n'est pas évidente – le Manuel de Tallinn tente de résoudre ces difficultés. Mais le terme de « cyberguerre » semble se répandre en englobant de très nombreux phénomènes qui, au sens (strict) du droit de la guerre, ne relèvent peut-être pas d'une mise en œuvre de l'hostilité.

C'est une difficulté que relève ici Clémentine Bories dans la Revue des Droits de l'Homme, défendant un point de vue intéressant : les phénomènes que l'on désigne par le terme de « cyberguerre » dépassent pour beaucoup le stricte cadre juridique de la guerre et ne peuvent être envisagés à travers le seul jus in bello, d'où un nécessaire recours au droit international des droits de l'homme, lequel ne concerne pas que les conflits armés. Et de fait, une partie de ces phénomènes relève beaucoup plus certainement de la « guerre économique », de la « guerre de l'information » et d'autres activités stratégiques. Cela servirait alors l'argumentation russe selon laquelle englober le plus de phénomènes possibles et leur appliquer le droit de la guerre traditionnel revient à militariser le cyberespace.

On peut analyser dans le même sens les déclarations récentes de la société russe Kaspersky qui se fondent, elles aussi, sur un aspect particulier du cyberespace à savoir sa production et sa sécurisation par de très nombreux acteurs privés, et ceci dans un contexte où les frontières sont, sinon inexistantes, largement atténuées. L'implication des entreprises qui font le cyberespace dans l'élaboration de la réglementation le concernant pourrait être envisagée, dans une démarche moins polémique et protectionniste, ou du moins pour discuter la place particulière de ces acteurs non-étatiques dans ces nouvelles formes de conflictualité.       

La nature particulière du milieu cyber est à la racine de la difficulté juridique qui nous occupe. David Cumin suggère très judicieusement de l'analyser à travers le prisme de la guerre aérienne ou maritime. Cela nous semble particulièrement opportun, surtout pour ce qui est de l'analogie avec l'espace maritime. Outre la fluidité (relative) du cyberespace qui permet une comparaison avec ce milieu (la mer libre, que l'on oppose à la terre ferme), il faut aussi noter qu'on y retrouve des pirates, des corsaires, des flux commerciaux et d'autres échanges encore.

III) Perspectives

Où va-t-on ? Si la solution proposée par le Manuel de Tallinn ne satisfait pas la communauté internationale, tout comme elle ne semble a priori pas satisfaire la Russie, il faudrait non pas transposer mais créer ex nihilo (mais peut-être avec les références évoquées au point précédent) des règles propres à une « cyberguerre », ou plutôt à l'usage des moyens informatiques et du cyberespace dans la guerre. Autrement dit, plutôt que d'englober le plus de phénomènes possibles dans les catégories juridiques connues en droit de la guerre comme le programme de recherche de Tallinn s'y essaie (la différence de contenu entre la première et la seconde édition est à cet égard révélatrice, car la première se concentrait sur les opérations d'ampleur aux conséquences graves, la seconde embrasse quant à elle le plus grand nombre d'opérations), il faudra délimiter un champ particulier. C'est l'avantage dont la Russie pourrait espérer jouir en entreprenant de nouvelles négociations : elles permettraient éventuellement de restreindre le champ du droit qu'il s'agirait de créer, les Etats les plus offensifs en la matière ont donc tout intérêt à jouer cette carte pour tenter de soustraire certaines opérations au droit de la guerre.

Le Manuel de Tallinn 2.0 lui-même semble montrer des limites qui inciteraient à réfléchir à un droit sui generis. De fait, des opérations cyber peuvent avoir des conséquences extrêmement importantes sans être aussi spectaculaires qu'une opération menée via l'espace physique, et alors une réaction physique semblerait disproportionnée bien qu'elle soit potentiellement licite selon les conceptions proposées par le Manuel de Tallinn. La perception particulière des opérations cyber, et surtout de celles qui n'ont pas de conséquences graves et immédiates dans l'espace physique, fait ressurgir sous un jour nouveau la distinction légalité/légitimité comme le fait apparaître cet article de Forbes. Aussi, le caractère secret et incertain des offensives cyber suscite une angoisse particulière qui peut conduire à sur-réagir. Parce que l'état de la menace n'est pas encore clair dans les esprits, ces nouvelles pratiques sont perçues comme particulièrement dangereuses et crisogènes. Les esprits doivent appréhender cette nouvelle menace et, sans doute, repenser en conséquence le rapport à la conflictualité.

Dans une note de recherche publiée par l'IRSEM, François Delerue estime que la Commission du Droit international (CDI) des Nations unies pourrait être saisie de cet enjeu, ce qui aurait le double avantage de permettre un travail juridique sans l'interférence des considérations purement politiques qui s'insinuent dans les réunions des groupes d'experts gouvernementaux, ni sans avoir l'étiquette atlantiste du Manuel de Tallinn.      

Commentaires

Posts les plus consultés de ce blog

[RECENSION] Le renseignement humain à l'ère numérique de Terry Zimmer

[REPORTAGE] Journée « Temporalités des crises » à Lyon

[FLASH] La France a désormais une doctrine militaire de « lutte informatique offensive »