Si la publication du manuel de Tallinn a montré que l’OTAN prend très au sérieux la notion de guerre cyber, jusqu’à essayer de lui appliquer le droit de la guerre tout court, la France ne reste pas inactive sur le sujet, bien qu’elle n’ait pas franchement participé à sa rédaction.
Au sein de la Direction des Affaires Juridiques (DAJ), des juristes militaires réfléchissent notamment à la place du droit dans les opérations cyber. Leur objectif : s’assurer que si la France devait un jour mener des frappes cyber, ou répondre à de telles agressions, elle soit en mesure de le faire dans le cadre du droit international.
Avec le manuel de Tallinn comme point de départ, l’on sait que le droit de la guerre s’applique à d’éventuels conflits cyber. Mais le document, en dépit de ses 250+ pages, est loin de répondre à toutes les questions. La faute n’incombe cependant pas à ses rédacteurs, dont le travail mérite d’être salué. Mais c’est simplement qu’en la matière tout reste à inventer tant il n’y a rien d’autre sur les étagères des juristes.
Comme le fait remarquer le chef du bureau droit des conflits armés à la DAJ, rencontré à l’occasion du 1er Symposium Académique National de recherche en Cyberdéfense, les textes qui couvrent le droit de la guerre datent tous du début du siècle dernier et ne prennent évidemment pas en compte le domaine cyber.
Trois questions majeures se posent actuellement aux juristes militaires :
D’abord, comment justifier le déclenchement d’un conflit armé traditionnel en réponse à une attaque informatique ? Le manuel de Tallinn, ainsi que les doctrines françaises et américaines, précise que cela peut être le cas si l’attaque cyber a eu des conséquences létales ou si elle a provoqué des dégâts majeurs. Mais il n’existe pas de seuil clairement défini pour ce qui constituerait des « dégâts majeurs ». Mieux : il a été notoirement difficile en droit international de se mettre d’accord sur une définition légale et commune de l’agression armée (traditionnelle) entre Etats. Inutile donc d’espérer définir légalement une agression cyber pour l’instant…
Ensuite comment respecter le droit international humanitaire ? Les textes actuels précisent que les militaires doivent, dans le cadre de leurs opérations, faire la distinction entre les objectifs civils et militaires. Non seulement cela est impossible pour de nombreuses armes cyber autonomes (un virus, par exemple), mais même dans le cadre d’attaques ciblées la majeure partie des cibles d’intérêt cyber seraient autant utiles aux militaires qu’aux civils, et seraient exploitées par des civils. Quel serait alors leur statut ? Le même que celui des routes et autres ponts que l’on bombarde afin d’affaiblir l’infrastructure de l’ennemi ?
Et même la définition du statut de combattant pose un problème dans le domaine cyber. Toujours selon le droit international un civil ne peut être visé que durant la préparation ou l’exécution d’une action hostile, ou encore immédiatement après celle-ci. Mais une fois ce délai passé, une fois redevenu civil, il ne saurait être visé. Alors comment gérer le civil combattant derrière son clavier ? Sans informatique, le problème se pose déjà de manière flagrante dans le cadre des insurrections en Irak ou en Afghanistan. Il sera probablement encore plus difficile à trancher dans le domaine cyber.
Enfin, le droit international humanitaire proscrit la perfidie. Dans un conflit conventionnel on voit très bien ce qui relève de la perfidie : transporter des armes ou des combattants dans une ambulance de la Croix Rouge, installer son centre de commandement dans une école en activité, etc… Mais dans le cyber, où l’essentiel des actions sont par nature discrètes et souvent trompeuses (envoyer un document PDF piégé en usurpant l’identité d’un collaborateur de la victime, par exemple), qu’en est-il ? Est-ce de la perfidie (interdite) ou plutôt une « ruse de guerre » (autorisée) ? La distinction est importante car c’est d’elle que dépendra la légalité d’une éventuelle réponse cyber française. Et donc des soutiens internationaux que nous pourrions réunir lors d’une crise internationale.
Finalement, en matière de cyber, l’avenir appartient, aussi, aux juristes…
Jerome Saiz