Lors du
colloque international « CyberDéfense » qui a eu lieu le
24 septembre à Paris, le ministre de la Défense, Jean Yves Le
Drian annonçait tout naturellement que « les effets
opérationnels de la cyberdéfense peuvent largement se comparer à
ceux de certaines armes conventionnelles ». La « lutte
informatique offensive » est officiellement lancée !
Espace à la
fois virtuel et support d'infrastructures physiques, espace
clairement mondialisé mais dont l'affirmation des frontières est
aujourd'hui un enjeu de souveraineté, le cyberespace est le lieu de
nouvelles conflictualités.
Juridiquement,
existe-il des règles pour régir les conflits dans le cyberespace ?
Au niveau
national, pour prévenir les attaques et en cas
d'attaque majeure, la loi de programmation militaire du 18
décembre 20131
oblige les opérateurs d'importance vitale notamment à mettre en
place des mesures de sécurité édictées par l’État pour leurs
systèmes d'information vitaux. Il est par exemple demandé à ces
opérateurs de notifier leurs incidents qui affectent leurs systèmes
d'information d'importance vitale.
Au niveau
international, et pour l'Organisation du Traité de l'Atlantique Nord
(OTAN), il a été clairement annoncé lors du sommet
des 4 et 5 septembre 2014 aux Pays de Galle qu' « il
reviendrait au Conseil de l'Atlantique Nord de décider, au cas par
cas, des circonstances d'une invocation de l’article 5 à la
suite d'une cyberattaque ».
Pour
rappel, l'article 5 du traité de l'OTAN énonce que face à une
attaque armée dirigée contre un État membre de l'OTAN, il est
possible de se prévaloir de l'exercice de son droit de légitime
défense.
Toutefois,
il faut rappeler qu'en droit national, pour se prévaloir de la légitime défense face à
un attaquant identifié sur le territoire national, il faut
respecter certaines conditions. La légitime défense
est, selon l'article 122-5 du code pénal, un fait justificatif c'est
à dire un fait qui permet d'éviter d'engager sa responsabilité
pénale face à un acte qui en temps normal est pénalement
répréhensible.
Pour être
recevable par un juge français, la légitime défense doit réunir
les conditions suivantes :
- l'atteinte doit être imminente ou concomitante à un acte contraire au droit, ici une attaque, l'acte de légitime défense ne peut pas réagir après coup, après analyse ou constatation des dégâts ;
- la riposte doit avoir pour seul but de faire cesser l'attaque et être nécessaire à ce but ;
- la riposte doit être proportionnée à l'attaque.
Au regard de
ces différentes conditions, la pratique d'un telle légitime défense
sera difficile à mettre en œuvre et les juges français pourraient
se montrer réticents sur la question.
En plus, si
la légitime défense n'est pas reconnue, il est possible que celui
qui s'en prévaut face au hacker d'origine risque d'être condamné
pour atteinte à un système de traitement automatisé de données,
infraction pénale prévue par les articles 323-1 et suivants du code
pénal. Mais cette situation implique que la personne auteur de la
riposte soit poursuivie par le hacker d'origine ou par les autorités
judiciaires qui en auraient eu connaissance. Si le hacker se fait
connaître cela serait particulièrement de mauvaise foi mais c'est
possible, on le voit avec les personnes auteurs de cambriolages qui
portent plainte lorsque la victime a riposté, souvent en raison de
la disproportion de la riposte.
Au
niveau international, il n'existe pas encore de jurisprudence sur les
cyber-agressions mais le manuel de Tallinn y expose certaines
propositions en matière de cyber-conflits.
Ce document
examine une portion du droit international relatif à ce que l'on
appelle le droit des conflits armés ou encore droit de la guerre.
Composé traditionnellement de deux grands domaines, le jus ad
bellum codifiant le recours par les États à la force et le
jus in bello ayant trait à leur comportement et leurs
actions durant les conflits.
Pour
le Manuel, une cyberattaque est une agression armée car il
part du principe que l’effet d’un bombardement par avion détruit
et peut causer des pertes humaines et donc qu’une telle attaque est comparable, en effet selon l'article 30 du Manuel « les
attaques informatiques peuvent avoir les mêmes effets que des
attaques physiques classiques et doivent donc être considérées
comme tel ».
Cependant,
ce manuel n’a pas force de loi, il s'agit uniquement de
propositions issues de réflexions menées par des experts
juridiques et ne représente pas le droit international coutumier.
Pour
le droit des conflits armés, défini par la convention de Genève
de 1949 et ses protocoles additionnels, la qualification du conflit
armé n'est acquise uniquement en présence d'un incident d'une
certaine intensité, qui s'inscrit dans la durée et dont les
protagonistes sont clairement identifiés, caractéristique difficile à
mettre en œuvre dans le cyberespace.
La
« cyberguerre » est-elle déclarée ? Non,
d'ailleurs le terme de« cyberguerre » n'a pas été
intentionnellement utilisé dans les développements de ce billet car
doctrinalement il semble opportun de rejoindre la thèse défendue
notamment par Thomas Rid2
qui « considère qu’il n’y a pas et il n’y
aura pas de cyberguerre, même s’il reconnaît que se déroule une
intense activité conflictuelle dans le cyberespace ».
Juridiquement,
avant d'adapter les règles du droit des conflits armés au
cyber-combat, ne faudrait-il pas réguler les réseaux au niveau
international ? Pour démarrer la réflexion, l'ARCEP a publié
un état des lieux du cadre de régulation de la
neutralité du net le mois dernier notamment sur la gestion du
trafic, les pratiques commerciales, les services optimisés distincts
de l'accès à internet et la qualité de l'accès à internet.
1Article
22 de la loi n°
2013-1168 du 18 décembre 2013 relative à la programmation
militaire pour les années 2014 à 2019 et portant diverses
dispositions concernant la défense et la sécurité nationale.
