Aux côtés de la terre, de l’air, de la mer et de l’espace strato-atmosphérique, le cyberespace constitue la cinquième composante du territoire d’un Etat. Or, de par la dépendance grandissante des Etats et des populations aux services assurés par le Net, il s’agit d’un enjeu sensible de par son caractère global et des difficultés qui découlent de cet état de fait.
Légiférer Internet se révèle complexe car il s’agit d’un espace transfrontière au sein duquel des délits et des crimes peuvent être commis. La cybercriminalité explose et avec elle l’importance de la notion de cybersécurité, mais aussi de cyberdéfense car certaines attaques visent des infrastructures « essentielles » et des données sensibles ; elles peuvent dans ce cas constituer de véritables armes dans le cadre d’une guerre interétatique. Les conséquences de telles atteintes pourraient profondément déstabiliser un Etat, voire une région entière. Le Net est ainsi devenu un vecteur de conflits et un terrain sur lequel une guerre peut être livrée. Internet est d’ailleurs devenu une composante de défense nationale de plus en plus centrale visant à rendre un Etat ou un ensemble d’Etats résilients vis-à-vis des cybermenaces, mais aussi d’une potentielle cyberguerre.

Introduction : plantons le décors :

Quelques notions de cyber-vocabulaire :

Cyberespace : « espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques » ;
Cybersécurité : « état recherché par un système d’information lui permettant de résister à des évènements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ». Cette notion « fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense » ;
Cybercriminalité : « actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible » ;
Cyberdéfense : « ensemble des mesures techniques et non techniques permettant à un Etat de défendre dans le cyberespace les systèmes d’information jugés essentiels ».
(Défense et sécurité des systèmes d’informations – Stratégie de la France – SGDSN/ANSSI 2011)

La notion de cyberguerre est sujette à débat : en effet, dans la mesure où il n’y a pas de recours direct à des armes létales, certains experts préfèrent qualifier les conséquences des cyberattaques de cyberconflictualités, bien qu’elle puisse faire partie d’une guerre classique usant d’armement létal ou en induire une. De ce fait, ces termes seront dans le cadre de cet article employés en tant que synonymes.
Il s’agit avant tout d’une forme de conflit particulière car elle emporte une forme de rupture stratégique de par l’universalité de son champ d’action d’une part, et la multiplicité des opportunités ouvertes à l’attaquant d’autre part. Olivier Kempf, directeur de la VIGIE, lui prête trois dimensions : militaire (le pan cyber d’une guerre), géopolitique (les relations interétatiques ou entre les Etats et les organisations internationales ou les groupes politiques ou militaires), et économique. Trois couches constituent en plus le cyberespace : physique dans le sens des infrastructures matérielles ; technique, soit le codage et la programmation ; et sémantique, c’est-à-dire le sens de la donnée, de l’information qu’elle délivre.
La cyberguerre déplace également le champ des acteurs de la guerre. A la suite de la Guerre Froide, la classification internationale majoritairement admise est que peuvent prendre part à une guerre des acteurs étatiques et non étatiques. Or, le cyberespace permet la participation directe d’individus, combattants officiels comme civils. En parallèle, les cyberagressions comprennent plusieurs types d’action : technique visant à entraver et / ou détruire un système informatique via l’usage de logiciels malveillants pour espionner ou détruire, subversifs visant à manipuler de manière globale ou plus ciblée des groupes d’individus ; ces différents modes opératoires pouvant s’additionner.

Quelques notions de cybergéopolitique :

La géopolitique s’intéresse aux rivalités de pouvoir sur un territoire. Au sein du cyberespace, les antagonismes tendent à reproduire les tendances ayant cours dans le réel, et de même les rivalités passées se recoupent y compris au sein du cyberespace.
Un bipolarisme se dégage ainsi de ce territoire, entre les conservateurs de l’uniléralisme – les USA et l’Union européenne – et les partisans du multipolarisme, soient les grandes puissances comme la Chine ou la Russie. Les anglo-saxons particulièrement sont d’âpres défenseurs de la démarche unipolaire dans le cadre des cyberconflictualités : les USA notamment se placent en avant et ont érigé une forme de hiérarchie des puissances dans le cyber selon laquelle l’Union européenne se distingue comme une sorte de ‘zone grise’, avec de relations oscillant entre rivalité et coopération. Toutefois, l’asymétrie reste de mise entre ces deux puissances du fait la dépendance européenne envers les USA en termes de cyberdéfense particulièrement.
Parallèlement, la Chine et la Russie, ennemis héréditaires de l’Occident et en particulier des Etats-Unis, constituent ainsi des cyber-adversaires logiques : ils menacent ainsi régulièrement de doubler les réseaux afin de diminuer la cyber-prégnance américaine.

C’est ainsi que, à la manière des conflits classiques, l’Union européenne peine à se rassembler autour des enjeux armés et de défense, et se tourne donc dans le domaine du cyber vers l’Organisation du Traité Atlantique Nord.

Une Union européenne qui peine à se rassembler :

Le domaine de la défense au sein de l’Union européenne reste un champ de compétences que les Etats peinent à lui déléguer, et ce malgré la globalité grandissante des menaces pesant sur la sécurité des Etats membres. Le manque de confiance, de coordination et de coopération entre eux est symptomatique de la cyberdéfense – et même de la défense tout court – balbutiante(s) de l’Union. De ce fait, penser une défense globale collective, et a fortiori une cyberdéfense, reste extrêmement complexe : ni la Commission européenne ni l’Agence européenne de défense ne peuvent endosser un rôle moteur sans impulsion nationale ; seul le Service d’Action Extérieure de l’Union en a la compétence, en collaboration étroite avec les Etats membres néanmoins, pour mener des travaux allant dans ce sens.

Des cyberstratégies étatiques propres à chaque Etat membre :

Ainsi, chaque Etat membre est souverain dans l’élaboration de sa stratégie de sécurité et de défense. Chacun met donc l’accent sur des thématiques plus ou moins fluctuantes : l’Italie par exemple évoque très peu l’enjeu cybersécuritaire dans son dernier Livre Blanc et sa Stratégie de sécurité nationale. La Pologne en revanche prend les risques de cyberconflits et de cybersécurité très au sérieux : renforcer les compétences techniques ainsi que l’intégration dans la sphère militaire de ces problématiques constituent des priorités. L’Espagne se positionne de manière plus nuancée, invoquant les limites notamment en termes de budget et d’investissement imputées à la crise économique et financière de 2008 : le partenariat avec les USA est clairement vu dans ce cadre comme un atout face à un enjeu global, bien qu’autant vecteur de risques que d’opportunités.

 

« Or, la protection du cyberespace demande une stratégie toute particulière de par sa transversalité : entrent donc en jeu l’Etat mais aussi les institutions, les administrations ou encore le secteur privé et les individus eux-mêmes »

Le Livre Blanc espagnol détaille les raisons qui ont poussé le gouvernement à inclure si étroitement le cyber dans sa stratégie de sécurité et de défense. Sont ainsi mis en avant la dépendance croissante de la société aux services numériques, leur accès facile, le faible coût des cyberattaques, la grande diversité de cibles potentielles – institutionnelles comme privées, économiques, médiatiques, politiques, sécuritaires, voire vitales. Or, la protection du cyberespace demande une stratégie toute particulière de par sa transversalité : entrent donc en jeu l’Etat mais aussi les institutions, les administrations ou encore le secteur privé et les individus eux-mêmes. La crise de 2008 est également un catalyseur : en effet, l’instabilité financière et économique qui en résultent favorisent les remous sociaux ainsi qu’une opposition croissante envers l’Etat et sa légitimité pouvant conduire à une instabilité chronique négative au développement des entreprises et à la reprise économique.
Différents facteurs de risque sont développés. Les capacités techniques et les catastrophes naturelles constituent les premières sources d’instabilité des réseaux et de la sécurité du cyberespace car ils reposent sur des infrastructures dont l’intégrité peut être facilement mise à mal. De ce fait, la sûreté, la disponibilité et la confidentialité des réseaux constituent des priorités pour les Espagnols – ce qui n’est pas le cas pour la totalité de ses voisins. L’espionnage également est appréhendé comme une menace majeure, tant sécuritaire qu’économique ou politique : les données « sensibles » qui transitent par les réseaux peuvent être vitales pour le bon fonctionnement des infrastructures de base de l’Etat, de son administration et des entreprises privées.
De par sa globalité, ses cibles multiples et ses retombées multidimensionnelles, l’Etat espagnol prône une forme de réponse collective via l’institution de partenariats publics-privés. Cette proposition, en plus d’une meilleure résilience, d’une meilleure formation des professionnels et d’un renforcement de la coopération tant avec les autres Etats que les acteurs non étatiques comme les firmes, visent à remplir trois objectifs : la prévention, la détection et la capacité de réponse aux cyberattaques.

Par ces mesures et sa prise en compte des cybermenaces, la position du gouvernement espagnol, même si elle n’est pas celle de tous les Etats membres, est finalement plutôt proche de celle de l’Union et des institutions européennes. Toutefois, si la volonté d’engagement est réelle, la mise en oeuvre se révèle plus délicate à réaliser.

Une Europe présente dans le cyberespace, mais une cyberdéfense européenne toujours très timide :

En effet, si l’Union européenne peine à inclure le cyberespace au domaine militaire – et le domaine militaire à sa compétence -, la notion de cybersécurité est quant à elle bien prise en compte : la directive portant sur la sécurité des réseaux et de l’information, dite SRI, a été élaborée en 2013 dans le cadre de la Stratégie numérique commune. Définitivement votée en mai 2016, elle doit être pleinement mise en place par les Etats membres pour 2018.
La directive SRI se divise en deux pôles d’action principaux, avec d’une part l’instauration d’un seuil de sécurité numérique minimum, et d’autre part la mise en place d’une obligation de signalement de toute attaque ou tentative d’attaque aux autorités européennes compétentes. Ces éléments étaient auparavant laissés au bon vouloir des entreprises, administrations et autres acteurs concernés et fonctionnaient sur la base du volontariat. Or, révéler ces informations ne pesait pas que sur le seul enjeu de la sécurité de l’entreprise ou de ses consommateurs et pouvait aussi emporter des conséquences d’ordre économique : perçues comme présentant un manque de professionnalisme ou vu comme vulnérable, elles pouvaient ainsi perdre la confiance de ses consommateurs comme de ses partenaires. Peu de firmes acceptaient ainsi de rendre public ce genre d’informations sensibles.
L’un des principaux enjeux des dispositions de la directive SRI concerne la détermination de son spectre de compétences puisqu’elle stipule que devront se plier à ses règles les prestataires de services « indispensables » et / ou « essentiels ». Peuvent donc être concernées entreprises privées, administrations publiques ou encore ONG, c’est-à-dire tous les acteurs ayant des activités liées à la santé, à la finance, aux transports ou encore à l’énergie notamment. Outre le signalement obligatoire, ils vont également devoir partager toutes les informations et données pertinentes, que ce soit au niveau national ou européen, privé comme public. La coopération constituera en parallèle le maître-mot de la stratégie européenne visant à la régulation du cyberespace et à sa sécurisation.
De par la prégnance des enjeux et des activités concernés, la directive SRI et a fortiori la cybersécurité et la cybercriminalité s’intègrent de plus en plus au sein de la Politique de sécurité er de défense commune (PSDC).

Toutefois, les potentiels cyberconflits et la question de la cyberguerre restent des sujets sur lesquels les Etats membres peinent à adopter une posture commune. L’Union se concentre ainsi bien davantage sur la gestion de la cybercriminalité. D’ailleurs, l’adoption d’une stratégie et d’une directive dédiées à la cybersécurité démontre qu’elle se concentre sur sa dimension privée, laissant le domaine du conflit de côté. Le domaine militaire a toujours constitué une sorte de ‘zone grise’ européenne et les Etats membres ont ainsi favorisé une étroite collaboration avec l’OTAN, intégrant par là les USA, le Canada et le Royaume-Uni après sa sortie de l’Union. Il s’agit donc d’une collaboration plus large et de moyens autrement plus importants visant avant tout un dessein de défense.

 

« Mme Federica Mogherini: ‘For most Europeans security is a top priority today. And they know far too well that, amidst the deep uncertainty that surrounds us, we are safer and stronger when we work together, as a true Union’ »

L’idée d’une défense commune et autonome européenne est cependant récemment revenue sur le tapi, motivée en partie par les propos tenus par le très-sûrement-prochain Président des Etats-Unis, Donald Trump. Ce dernier avait en effet indiqué vouloir le retrait des USA de l’organisation – bien qu’il se soit quelque peu rétracté ces derniers jours. C’est dans ce cadre que le Service européen de l’Action extérieure a présenté un nouveau plan visant à transposer la Stratégie globale européenne en mesures et actions concrètes. Il fait suite également à l’appel à la solidarité européenne de la France après les attentats du 13 novembre 2015. Plutôt bien accueilli par les ministres des affaires étrangères des pays membres, il doit être présenté aux chefs d’Etat et de gouvernement durant le prochain Conseil européen prévu pour décembre 2016. Cette initiative viendrait renforcer l’Union européenne, comme l’explique Mme Federica Mogherini : « For most Europeans security is a top priority today. And they know far too well that, amidst the deep uncertainty that surrounds us, we are safer and stronger when we work together, as a true Union ». L’objectif de ce plan, outre une meilleure coopération intra-européenne, serait une intégration des enjeux sécuritaires tant internes qu’externes, avec cependant une limite non négligeable : celle de ne pas créer de doublon avec les compétences de l’OTAN ni avec celles des Nations-Unies.

 

« le plan du SEAE, s’il plaide pour une défense européenne plus globale, n’appelle nullement à l’autonomie, et encore moins à l’autosuffisance »

Les principales mesures de ce plan se concentrent sur l’amélioration du Dispositif de réponse aux crises de l’Union, renforcer la coordination principalement entre civils et militaires, la rédaction d’un rapport annuel de coordination dans le domaine de la défense, et enfin l’exploration du potentiel d’une coopération structurée entre les Etats membres sur les questions touchant à la sécurité et à la défense.
Dans ce cadre, la cybersécurité et la cyberdéfense sont mises en lien avec la quasi-totalité des menaces que les pays membres et l’Union sont susceptibles de rencontrer : les attaques cybernétiques sont en effet pour la grande majorité des répliques d’actions classiques menées cette fois dans le cyberespace. Sont donc particulièrement mis en lumière les enjeux liés au terrorisme, à la résilience des réseaux, aux menaces hybrides. Mais d’une part la cyberguerre en tant que telle n’est pas directement citée, et d’autre part il est répété à de nombreuses reprises que « NATO remains the foundation for the collective defence for those States which are members of it. The specific character of the security and defence policy of all EU Member States will be fully respected ».

L’OTAN reste donc la principale structure européenne de défense globale, y compris dans le domaine du cyber : la déclaration conjointe du Sommet de Varsovie du 08 juillet 2016 vient appuyer – sans qu’elle n’emporte de valeur contraignante – la volonté de collaborer étroitement, y compris dans le cadre de la cyberdéfense.
Plusieurs parlementaires européens avaient pourtant appelé à une défense commune et autonome de l’Europe en proposant la création d’un QG militaire proprement européen, mais le plan du SEAE, s’il plaide pour une défense européenne plus globale, n’appelle nullement à l’autonomie, et encore moins à l’autosuffisance. Il n’existe donc pas réellement d’Europe de la défense, d’armée européenne et a fortiori de cyberdéfense globale européenne. Si la majorité des Livres blancs nationaux évoque cette menace transfrontière, l’OTAN occupe le rôle de plateforme structurée de collaboration et elle entend bien le rester.

Une coopération transatlantique dans le domaine de la cyberdéfense de plus en plus forte :

Face aux difficultés que connait l’Union pour bâtir une sécurité commune, ses membres ont fait le choix de se concentrer sur une coopération renforcée transatlantique sous l’égide de l’OTAN. Cela vaut aussi au sein du cyberespace.
Pourtant, l’Union européenne demeure une sorte de « zone grise » même au sein de l’Organisation : la relation avec les USA, principaux investisseurs en termes de financements, reste profondément asymétrique, créant ainsi un lien de dépendance vis-à-vis d’un pays prochainement dirigé par un futur-Président se targuant d’un isolationnisme aigu. Entre coopération et rivalité, les relations entre l’Union et l’OTAN restent complexes, bien que la montée de menaces globales les poussent à davantage de collaboration.

La stratégie de cyberdéfense de l’Union européenne est donc grandement déléguée à la plateforme collaborative qu’est l’OTAN, notamment du fait du manque de confiance interétatique dont souffre la coopération européenne dans le domaine de la sécurité en particulier. Les moyens mobilisables pour assurer la sécurité du cyberespace restent ainsi dans le giron des Etats souverains.
L’OTAN leur permet de coopérer conjointement et de mettre en commun une partie de leurs ressources, technologies et compétences afin de faire face aux menaces militaires et non militaires qui pèsent sur les réseaux. Or, le cyberespace a ceci de particulier qu’entrent en jeu dans sa protection tant les Etats, leurs institutions et administrations que le secteur privé ainsi que les individus et groupes d’individus.

 

« Le poids des cybercapacités de chaque allié est en effet central en la matière puisque « un réseau n’est jamais plus fort que son élément le plus faible » : l’OTAN endosse dès lors un rôle de  ‘facilitateur’ »

Si les cybercapacités sont devenues des instruments étatiques légitimes désormais nécessairement inclus dans la ‘boîte à outils stratégiques’, elles sont également de plus en plus appréhendées comme des outils militaires opérationnels à part entière.
Or, l’OTAN n’a pas encore clairement défini ni son rôle ni ses habilitations dans le domaine de la cyberdéfense : ce champ de compétences reste en construction. Actuellement, d’après les politiques actuelles menées par l’Organisation, deux types de cyberattaques pourraient être transposées dans ses attributions : le cyberespionnage et l’assurance de la confidentialité des systèmes d’informations, des données sensibles ainsi que la manipulation de données et les conséquences matérielles que peuvent entrainer les atteintes à des infrastructures sensibles d’une part, et le tentative de fraudes et d’extorsions à des fins lucratives d’autre part. L’Organisation souligne cependant qu’assurer une sécurité opérationnelle du cyberespace et des infrastructures des réseaux reste très complexe du fait de l’« omniprésence » des réseaux et de l’Internet.
Deux registres sont cependant d’ores et déjà assimilés comme relevant de la compétence otanesque. Lors d’un sommet au Pays de Galle en 2014, les pays membres ont tout d’abord établi que l’Organisation donnera la priorité à la protection de ses propres réseaux et infrastructures, ce qui implique la prise en compte d’environnements à la fois vastes et divers, et donc de risques multiples. L’objectif est de s’assurer que les systèmes d’information et de communication qui constituent des appuis pour les opérations entreprises par l’OTAN et donc de protéger ses missions des cybermenaces. Par la suite, il a également été convenu de la nécessité de renforcer les cybercapacités individuelles des Etats membres. A donc été mise en place une aide tant technique que financière via l’élaboration d’un processus biennal visant à définir des objectifs communs en matière de cyberdéfense en parallèle de la mise en place d’examens réguliers. Des offres de formations spécifiques ainsi que des entrainements et exercices ont été développés notamment par l’Académie de cyberdéfense, anciennement Ecole des systèmes d’information et de communication de l’OTAN de Latina (Italie), basée dorénavant au Portugal. L’accent est dorénavant mis sur la cyberdéfense : d’ailleurs un centre d’excellence pour la cyberdéfense en coopération de Tallinn (Estonie) accrédité par l’Organisation. Mais surtout, la cyberdéfense renvoie fortement aux capacités individuelles des Etats membres.

 

« l’OTAN peut également impacter l’élaboration des normes internationales encadrant le cyberespace et les cyber-relations. En soutenant la création de « comportements responsables » et de « mesures de confiance », l’OTAN peut contribuer à façonner le droit de la guerre numérique encore balbutiant »

Le poids des cybercapacités de chaque allié est en effet central en la matière puisque « un réseau n’est jamais plus fort que son élément le plus faible » : l’OTAN endosse dès lors un rôle de « facilitateur » visant à instituer une forme de gouvernance publique / privée sur ses réseaux, et a fortiori de l’Internet.
En parallèle du développement capacitaire et de son rôle de soutien aux échanges de renseignements interalliés et entre les différents services de police nationaux et régionaux comme Europol ou Interpol, l’OTAN peut également impacter l’élaboration des normes internationales encadrant le cyberespace et les cyber-relations. En soutenant la création de « comportements responsables » et de « mesures de confiance », l’OTAN peut contribuer à façonner le droit de la guerre numérique encore balbutiant.

Concernant la collaboration entre l’Organisation et l’Union, la volonté de coopération, de « cultiver la complémentarité » mutuelle, est plus que répétée. Un arrangement technique a d’ailleurs été signé en novembre 2016. Il se concentre sur l’institutionnalisation et la facilitation des échanges d’informations entre les centres respectifs de l’Union et de l’OTAN chargés de réagir aux attaques informatiques. L’Union semble cependant de plus en plus désireuse d’approfondir ses capacités en la matière : a ainsi été proposée la création d’un centre de commande et de contrôle européen autonome.
Ce rôle de soutien à la cyberdéfense auprès de l’Union européenne peut cependant être amené à évoluer du fait notamment de l’élection de Donald Trump à la présidence des USA : prônant un retour à la doctrine isolationniste, il a appuyé une partie de sa campagne sur la fin du financement de l’OTAN, alors que les USA supportent plus de 70% du budget de l’Organisation. Face à cette menace, le secrétaire général de l’OTAN, Jens Soltenberg, a rappelé deux éléments principaux qui replacent l’Organisation dans son contexte : d’une part, les USA ont été les premiers – et les seuls – bénéficiaires de la clause de défense collective instaurée par l’article 5 et de la solidarité des autres alliés à la suite des attentats du 11 septembre 2001. D’autre part, face à l’instabilité qui agite les frontières de l’Union européenne, la coopération de l’Union avec ses partenaires et plus que nécessaire dans la mesure où elle ne peut lutter seule sur tous ces fronts, d’autant que 80% des dépenses sont prises en charge par des alliés non européens. Il n’y a donc selon M Stoltenberg « pas d’autre moyen que de travailler ensemble » : l’OTAN apparaît dès lors comme un gage de stabilité pour l’Union européenne en jouant un rôle de coopération et de dissuasion euro-atlantique puisqu’il rappelle qu’« une attaque contre l’un est une attaque contre tous ». La proposition d’une partie des dirigeants de l’Union de se doter d’un C2 – un centre de commande et de contrôle militaire – autonome peut également apparaître comme une possibilité, mais semble difficilement réalisable. M Stoltenberg appelle plutôt les Européens à s’investir davantage dans l’Organisation tout en appuyant sur le fait que l’Union et l’OTAN ne doivent en aucun cas entrer en concurrence : « l’objectif n’est pas de construire une armée européenne, de faire de la défense collective ou de présenter une alternative à l’OTAN mais davantage de faire quelque chose de complémentaire ». En d’autres termes, « une défense européenne oui… mais en complément de l’OTAN » qui, du fait de ses 70 années d’existence, peut être adaptée aux nouvelles problématiques de défense.

 

« Une défense européenne oui… mais en complément de l’OTAN »

L’Union coopère également avec des acteurs internationaux, dont l’Organisation pour la Sécurité et la Coopération en Europe et les Nations Unies.
Plusieurs mesures visant à renforcer la confiance entre les Etats membres de l’OSCE ont été édictées afin de consolider la coopération entre eux, ce qui constitue l’un des éléments centraux de l’édification d’une cyberdésense et d’une cybersécurité solides. Toutefois, ces politiques en restent au stade des encouragements.
Du côté de l’ONU, dont le potentiel en terme d’échelle de coopération est sans égal, plusieurs groupes d’experts gouvernementaux ont été mis en place et tentent d’élaborer des principes, des comportements et des normes applicables aux Etats et aux autres acteurs pertinents dans le cyberespace. Les Nations-Unies soutiennent aussi l’adoption d’un Traité international règlementant le cyber et son usage. Ce qui s’en rapproche le plus actuellement a été élaboré sous l’égide de l’OTAN : il s’agit du Manuel de Tallinn.

Un Droit international du cyberconflit encore balbutiant :

Les cyberconflits constituent des formes de conflictualités à dimension potentiellement militaire : si le déclenchement d’une guerre exclusivement cyber est peu réaliste, le cyberespace est dorénavant un espace pouvant servir à des fins militaires. De ce fait, il devient un champ sur lequel le droit de la guerre doit s’étendre : le Tallinn Manual on the International Law Applicable to Cyber Warfare (Manuel de Tallinn sur le Droit international applicable à la cyberguerre) a pour vocation d’adapter le droit international de la guerre aux cyberconflits.
Après trois années de travail, une vingtaine de spécialistes a transposé le jus ad bello et le jus in bello en 95 règles adaptées à la cyberguerre en se fondant sur les traités internationaux réglementant les conflits ‘classiques’ et le droit coutumier en vigueur. Publié en 2013, il ne dispose d’aucune force contraignante mais pourrait jouer un rôle central en influençant les négociations et le Droit international en la matière, d’autant que l’interprétation de chacune des règles est explicitées. Toutefois, l’acception du droit de faire la guerre (dans le sens d’y recourir) et du droit humanitaire induite dans le Manuel véhicule une vision très américanisée du Droit international, laquelle ne correspond pas en tout point à la position la plus communément établie. Il ne s’agit donc pas d’une doctrine officielle mais ce texte constitue ce qu’il y a de plus abouti en la matière jusqu’à maintenant.

Le Manuel distingue trois situations : les cyberopérations (les mesures de coercition non militaires) en temps de paix – les plus classiques -, les cyberopérations en temps de guerre (le régime juridique applicable à la cyberguerre donc), et la cyberguerre en tant que telle – c’est-à-dire lorsqu’une ou une série de cyberopération(s) en temps de paix entraine(nt) le passage à la guerre. Le droit des conflits armés est alors applicable aux cyberopérations menées durant un conflit armé conventionnel comme à un cyberconflit. Les cyber-forces armées sont qualifiées d’armes si elles entrainent des conséquences comparables aux effets des armes conventionnelles.
La distinction combattant / non combattant est centrale dans le cadre du jus in bello en particulier et le Manuel de Tallinn s’attache à le transposer au régime des cyberconflits. Les combattants ou forces armées prennent part au conflit de manière légale et peuvent bénéficier du statut de prisonniers de guerre. Les non combattants rassemblent les civils et doivent donc être protégés. Or, dans le cadre d’un cyberconflit, le ‘champ de bataille’ est éclaté et les civils peuvent facilement être impliqués : le cyberespace donne en effet le moyen aux non combattants de prendre activement part à un cyberconflit. La cyberguerre entraine en réalité deux évolutions par rapport au conflit classique : un accès au cyber-armement (un ordinateur et une connexion Internet) simple et une cible dans le monde réel qui n’a pas besoin d’être géographiquement proche. Ces mutations sont actuellement prises en compte avec d’une part la définition d’une immunité civile permettant de conserver la distinction combattants / non combattants puisque responsabilité de l’individu en cause peut être invoquée devant un tribunal. Face à la privatisation des conflits du fait de l’implication grandissante de firmes privées et d’individus isolés via notamment la gestion de drônes ou même d’armements tels que les missiles, le développement d’un tel corpus de textes prenant en compte l’éclatement du ‘champ de bataille’ est nécessaire, y compris concernant le cyberespace.
La pratique étatique étant pour le moment inexistante dans ce domaine, l’application concrète de ces transformations reste floue. Il en va de même en ce qui concerne le droit à la neutralité dans le cadre d’un cyberconflit. Ce droit permet aux Etats qui le désirent de rester en dehors des hostilités armées opposant plusieurs Etats, mais il nécessite le respect de deux obligations : rester impartial dans son traitement des parties prenantes au conflit en premier lieu, et ne pas prendre part au conflit de quelque manière que ce soit en second lieu. Formalisées par la Convention concernant les droits et les devoirs des puissances et des personnes en cas de guerre sur terre de1907, ces règles semblent à première vue peu adaptées aux cyberguerres. En effet, les articles 5 et 8 de cette Convention stipulent respectivement qu’empêcher l’utilisation de son territoire par les belligérants constitue une obligation, mais que cette dernière ne concerne pas les câbles télégraphiques, téléphoniques, ni la télégraphie sans fil. De ce fait, il peut sembler plausible d’étendre cette exception aux technologies de l’information et aux structures de cybercommunication : un Etat neutre ne serait donc pas tenu d’empêcher le transit d’une cyberopération hostile via ses infrastructures si cette interprétation s’applique également aux infrastructures numériques actuelles. Toutefois, une autre interprétation existe, celle selon laquelle il s’agirait d’un usage prohibé de son territoire dans la mesure où le cyberespace fait partie avec la terre, l’air, l’espace strato-astmophérique et la mer des cinq composantes du territoire d’un Etat. Cette alternative démontre de la nécessité de moderniser le corpus de règles actuel afin de les transposer aux cyberconflits et aux nouveaux et désormais multiples rôles des infrastructures de communication. Cette évolution des usages de ces technologies conduit d’ailleurs à penser que l’interprétation la plus plausible du droit à la neutralité serait la seconde, c’est-à-dire que les réseaux de télécommunication et le cyberespace font parties intégrantes du territoire d’un Etat et doivent donc être fermés aux belligérants.

 

« Cette alternative démontre de la nécessité de moderniser le corpus de règles actuel afin de les transposer aux cyberconflits et aux nouveaux et désormais multiples rôles des infrastructures de communication »

Les différentes branches du Droit international dont notamment le droit des conflits armés et le droit humanitaire englobent désormais au moins en partie les différents cas de cyberconflictualités. Une transformation ainsi qu’une réinterprétation des corpus sont cependant nécessaires et il en va de même du Droit européen, même si la mise en place de nouvelles mesures afin de combler les quelques lacunes que les dispositions actuelles contiennent est un processus déjà en cours.
Un second champ parallèle et intrinsèque à la fois à la légifération de la cyberguerre doit également être pris en compte dans les négociations européennes et internationales, celui des nouvelles technologies des conflits et de leur usage, dont notamment les drônes, la robotisation des armements ou encore l’intelligence artificielle.

Conclusion :

L’Union européenne maintient sa défense, dont celle de son cyberespace, sous l’égide de l’OTAN ; ainsi, en cas de cyberconflit avéré, toute l’alliance prendrait part au conflit et ferait entrer dans le jeu les moyens et compétences communs mais aussi de chacun des alliés. La cyberguerre restant en revanche un enjeu relativement nouveau et complexe, il appartient à la communauté internationale dans son ensemble d’adapter le Droit de la guerre déjà existant et de palier aux lacunes de ce dernier si besoin est. Il faut de plus ajouter que l’explosion d’un cyberconflit seul reste peu plausible, il s’agit davantage d’un nouveau pan d’un conflit ou d’une guerre, un nouveau champ de bataille potentiel.

 

« Il faut enfin souligner que les mesures de coopération renforcée entre l’Union et l’OTAN valent également en son sein, via le Conseil de l’Union européenne, et que renforcer la défense de l’Union renforce celle de l’OTAN, et inversement. Finalement, l’OTAN permet de dépasser dans une certaine mesure les réticences des Etats membres de l’Union dans ce domaine. Pour le moment »

De ce fait, l’OTAN et l’Union européenne se concentrent sur la défense de leurs infrastructures de télécommunication et de leur cyberespace au moyen d’une stratégie centrée sur les « menaces hybrides ». La coordination dans ce sens a d’ailleurs été renforcée, comme l’ont conjointement annoncé la Haute Représentante de l’Union pour les affaires étrangères et la politique de sécurité Federica Mogherini et le secrétaire Général de l’OTAN Jens Stoltenberg le 6 décembre dernier. 42 propositions concrètes prêtes à être implémentées, conformément aux objectifs présentés à la fin du Sommet de Varsovie, ont ainsi été présentées et marquent d’après ces derniers une nouvelle étape dans la coopération transatlantique. Ces nouvelles propositions portant notamment sur les menaces hybrides dont la cyberdéfense et la cybersécurité font partie via la mise en place et le partage de connaissances, la recherche et l’édition de réglementations permettent une interopérabilité de plus en plus poussée. Il est enfin prévu la création pour 2017 d’un Centre européen pour la lutte contre les menaces hybrides ainsi que l’implication des industriels du secteur dans le cadre d’exercices conjoints visant à renforcer les capacités de résilience tant de l’Union que celles de l’OTAN.
Il faut enfin souligner que les mesures de coopération renforcée entre l’Union et l’OTAN valent également en son sein, via le Conseil de l’Union européenne, et que renforcer la défense de l’Union renforce celle de l’OTAN, et inversement. Finalement, l’OTAN permet de dépasser dans une certaine mesure les réticences des Etats membres de l’Union dans ce domaine. Pour le moment.

Emmanuelle Gris

Pour en savoir plus :

DE FRANCE, Olivier ; MAULNY, J.P. ; RICHARD, Dorota ; HARROIS, Thibaud, Après le « Brexit » : quelle stratégie de défense pour l’Union européenne, IRIS, juin 2016:
http://www.iris-france.org/wp-content/uploads/2016/07/Juin-2016-Stratégie-EU-de-Défense-Coll.pdf

EU Cybersecurity plan to protect open internet and online freedom and opportunity – Cyber Security strategy and Proposal for a Directive:
https://ec.europa.eu/digital-single-market/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security

Commission européenne – base de données des communiqués de presse : Commission takes steps to strengthen EU cooperation in the fight against terrorism, organised crime and cybercrime, 28th April /2015:
http://europa.eu/rapid/press-release_IP-15-4865_en.htm

Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016, concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union:
http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016L1148&from=EN

Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA):
https://www.enisa.europa.eu

Tallinn Manual on the International Law applicable to Cyber Warfare:
http://www.peacepalacelibrary.nl/ebooks/files/356296245.pdf

Council of the European Union, Brussels, 14 November 2016, High Representative of the Union for Foreign Affairs and Security Policy, Vice-President of the European Commission, and Head of the European, « Implementation Plan on Security and Defence »:
https://t.co/Kb4cR4bXiW

Déclaration sur la mise en œuvre des dispositions de la déclaration commune du président du Conseil européen, du président de la Commission européenne et du secrétaire général de l’Organisation du Traité de l’Atlantique Nord:
http://www.nato.int/cps/en/natohq/official_texts_138829.htm?selectedLocale=fr