Cyberattaques et droit international

« En l’espace d’une décennie, le cyberespace est devenu un enjeu majeur des relations diplomatiques et un nouvel objet du droit international. Les questions de paix et de régulation internationales sont devenues étroitement liées aux questions numériques (…) au-delà de la paix et la sécurité internationales, l’enjeu est aussi la stabilité même du cyberespace, dont la mise à mal pourrait avoir des conséquences catastrophiques en raison de la dépendance croissante de nos sociétés au numérique ». A l’occasion d’une journée d’étudeorganisée par l’Université de Rouen, chercheurs et universitaires confrontent leurs réflexions, nourrissant le débat de leurs analyses, prospectives, et hypothèses quant aux scenarii envisageables pour l’avenir de la sécurité. Pour Maryline Grange, maître de conférences en Droit public et Anne-Thida Norodom, professeur de droit public à l’Université Paris Descartes, le consensus autour de l’application du droit international aux cyberattaques se construit « dans un contexte géopolitique et n’échappe pas aux rivalités de pouvoir entre États qui peinent à surmonter la défiance liée à leurs différences de capacités, leurs rapports de force et leurs représentations géopolitiques ». 

Les seuils de gravité d’une cyberattaque. 

« Les moyens de riposte autorisés par le droit international – qu’ils soient opérationnels ou judiciaires – ne peuvent être les mêmes selon qu’une cyberattaque équivaut à un usage de la force armée, un acte de terrorisme ou un acte de cybercriminalité. Cela explique que la question des seuils soit parfois présentée comme étant l’une des principales questions à résoudre lorsque l’on s’efforce d’identifier le droit applicable aux cyberattaques ». Pour Mathias Forteau, professeur de droit public à l’Université́ Paris-Ouest, la nécessité de définir des seuils est d’autant plus nécessaire que le terme de cyberattaque est trop souvent assimilé au seul domaine militaire. Mais la détermination de seuils est d’autant plus complexe que les objectifs stratégiques ne sont pas forcément compatibles avec les exigences juridiques. Par ailleurs, le terme « cyberattaque » ne renvoie à aucune notion juridique précise. Il est incertain à plusieurs égards : la notion d’attaque peut recevoir des significations différentes, cette notion ne renvoie pas systématiquement à l’usage des armes et la convention de Budapest sur la cybercriminalité envisage tout crime commis par le biais de technologies de l’information, ce qui recouvre une réalité assez large. Selon Mathias Forteau, les seuils de gravité sont à la fois partout et nulle part, en ce sens qu’il se retrouvent dans de nombreuses branches du droit, et nulle part ans la mesure où ils n’offrent pas de critères clairs pour mesurer le degré de gravité d’une cyberattaque.

Vers une organisation internationale dédiée à la lutte contre les cyberattaques ? 

« L’opportunité de créer une institution internationale afin de répondre au problème nouveau-né de la prolifération des cyberattaques, de même que la configuration institutionnelle de cette entité, dépendent largement du rôle que ses créateurs envisagent de lui confier ». Pour Patrick Jacob, professeur de droit public et vice-doyen en charge des relations internationales de l’université de Versailles Saint-Quentin en Yvelines, il est d’autant plus nécessaire de préciser le périmètre d’une telle institution, le champ de son activité, et les conditions auxquelles cette dernière peut se déployer. Dans le domaine de la sécurité, des institutions régionales se sont emparées depuis longtemps de la question de la sécurité numérique. Les Nations-Unies, et en particulier le Conseil de Sécurité, assument « la responsabilité principale du maintien de la paix et de la sécurité internationales ». Le problème de l’internet est qu’il recouvre un nombre important d’institutions, de la gestion de l’infrastructure réseau avec l’ICANN ( Internet Corporation for Assigned Names and Numbers ), mais aussi l’ONU, l’UNESCO, l’UIT, ou l’IGF, forum mondial sur la gouvernance de l’internet. La difficulté essentielle en ce domaine tient à l’organisation des rapports entre les États et les acteurs privés. L’enjeu d’une telle instance permettrait de suivre la mise en œuvre par les différents acteurs, d’échanger sur les meilleures pratiques, de détecter les nouvelles menaces. Un modèle est proposé : celui du comité international de la Croix Rouge, structure non gouvernementale capable de fédérer des groupes nationaux de réaction aux cyberattaques et fonctionnant suivant les principes d’indépendance d’impartialité et de neutralité. Enfin, la récurrence de la menace, peut rendre utile la constitution d’une institution permanente, avec une double fonction : celle du recueil des preuves dans un premier temps, et de leurs qualification juridique dans un second temps.

La responsabilité de l’État-auteur d’une cyberattaque. 

« Aucune cyberattaque n’a encore été revendiquée par aucun Etat et, réciproquement, peu d’États ont formellement mis en cause un autre Etat pour avoir commis une cyberattaque ». Pour Claire Crépet Daigremont, maître de conférence en droit public à l’université Panthéon-Assas, trois raisons expliquent ce silence : la prudence légitime dont font preuve les États, la réticence de ces derniers à partager les informations relatives aux cyber-attaques dont ils sont l’objet, aveux de faiblesse, et enfin l’impossibilité d’apporter la preuve de l’identité de leur assaillant. Par ailleurs, les difficultés rencontrées dans l’hypothèse d’une cyberattaque ne tiennent non pas aux règles applicables, mais elles résident d’une part dans les difficultés techniques permettant de déterminer l’origine de l’attaque, et d’autre part dans la définition des contours des obligations pesant sur les États.

Cyberattaques et droit international : attrape-moi si tu peux. 

« Les cyberattaques sont une réalité, elles ne sont pas – pas encore ? – un concept juridique. Le droit n’est en outre qu’un élément d’une panoplie de prévention et de réactions, et le droit dans son ensemble, interne aussi bien qu’international, doit être considéré. Il n’apporte pas de définition générale et convenue du phénomène qui est très démultiplié ». Pour Serge Sur, professeur émérite en droit public à l’université Panthéon Assas, toutes les formes d’attaques ne sont pas connues, aussi est-il primordial de se positionner dans une logique évolutive, de tirer les conséquences appropriées contre chaque cyberattaque. Dans ce processus, les droits internes conservent un rôle primordial, et pour l’instant « le droit international n’a qu’un rôle subsidiaire », rappelle l’enseignant, qui prône un régime juridique hybride afin de mieux appréhender les cyber-attaques. Il faudrait dès lors construire progressivement un régime complexe, fruit d’un droit hybride, mélange de droits internes, d’engagements internationaux, d’actes d’organisations internationales, de régulations transnationales, d’instruments concertés non conventionnels sous diverses dénominations. Au-delà de ce plaidoyer pour l’avènement d’un droit hybride, Serge Sur lance un appel à l’action, et déplore l’immobilisme d’États qui, bien que particulièrement intéressés, « ne se mobilisent pas (…) nous demeurerons au stade des projets et des regrets ». 

Pour aller plus loin :

–       « Droit international appliqué aux opérations dans le cyberespace », ministère des armées, defense.gouv.fr

–       « La dimension juridique du cyberespace », Armand Colin, « Revue internationale et stratégique », cairn.info

–       « Convention sur la cybercriminalité », Budapest, 23.XI.2001, europarl.europa.eu

–       « L’usage de la force dans le cyberespace et le droit international », persee.fr