La croissance rapide du numérique a bouleversé la manière dont les États mènent leurs conflits. Des infrastructures civiles, comme les hôpitaux ou les réseaux électriques, sont désormais des cibles potentielles de cyberopérations. Le droit international humanitaire sait comment protéger les civils de la guerre, mais il peine encore à les préserver des cyberopérations.
Les États font face à une nouvelle réalité : la guerre sans contact. On parle de cybermenace étatique ; un État peut porter atteinte à la souveraineté d’un territoire sans user de la force physique. Dès lors, à partir de quel moment une opération numérique relève-t-elle du conflit armé ?
Quand une cyberattaque devient-elle un acte de guerre ?
Dans le cadre d’un conflit armé entre deux ou plusieurs États, c’est le droit humanitaire international qui s’applique (aussi appelé droit des conflits armés). C’est l’ensemble des règles visant à réglementer la guerre pour en limiter ses effets, notamment sur les populations civiles. Ce sont les Conventions de Genève de 1949 et le premier protocole additionnel de 1977 qui fixent ces règles. Ces textes permettent de protéger ceux qui ne participent pas ou plus aux combats : les civils, les blessés et les prisonniers de guerre.
La cyberopération est définie par le Ministère des Armées comme une attaque contre une infrastructure numérique identifiée comme un objectif militaire. L’interprétation doctrinale de l’article 35 du premier Protocole additionnel (sur les moyens et méthodes de guerre) permet d’étendre son application à une cyberopération. Le commentaire de 2016 de la première Convention de Genève reconnaît qu’une cyberopération peut constituer une attaque armée lorsqu’elle accompagne ou prépare des opérations militaires classiques.
De même, le Manuel de Tallinn (2013) sur le droit international applicable à la cyberguerre précise « lorsque des cyber-opérations ont des effets équivalents aux opérations cinétiques classiques, elles constituent un conflit armé international ». Autrement dit, si une attaque dans le cyberespace accompagne, prépare ou a un effet équivalent à une opération militaire, le droit des conflits armés peut s’appliquer. C’est le cas d’une cyberattaque qui entraîne des destructions physiques ou des pertes humaines.
Cette constatation semble juste, puisque les conséquences pour les civils sont identiques quelle que soit l’origine de l’attaque. Le Manuel de Tallinn n’est pas un texte contraignant, mais il est reconnu pour son prestige et la rigueur des experts impliqués. Cette qualification de conflit armé permet d’enclencher plusieurs principes, dont l’obligation de limiter les effets des opérations sur les civils.
En revanche, un doute persiste lorsque ces cyberattaques sont des actes isolés. Jusqu’à présent, aucun pays n’a déclaré une guerre à la suite de cyberattaques esseulées. Toutefois, de plus en plus d’États organisent des actions afin de déstabiliser ou intimider un autre, sans jamais déclarer de guerre.
L’encadrement juridique des cyberattaques pendant un conflit
Le droit des conflits armés interdit strictement les attaques directes visant les civils ou les biens de caractère civil. Une cyberattaque causant des dommages physiques sur la population civile, pourrait constituer un crime de guerre. Les auteurs de ces crimes pourraient être poursuivis devant la Cour pénale internationale. C’est logique puisqu’il serait absurde d’interdire la destruction d’un hôpital par missile, tout en tolérant son piratage informatique. Ceci, alors même que les conséquences resteraient les mêmes pour les civils : la paralysie d’un service vital et des pertes humaines associées.
Mais que faire si une cyberattaque affecte aussi bien les militaires que les civils ? En principe, le principe de distinction impose de viser exclusivement des objectifs militaires déterminés. Ce principe s’applique aussi au cyberespace. Par exemple, un virus informatique qui affecterait indistinctement civils et militaires est illicite.
Or, le cyberespace rend ce principe de distinction difficile à respecter. Les réseaux sont interconnectés, les civils et les militaires utilisent souvent les mêmes infrastructures. Les hôpitaux, qu’ils soient civils ou militaires, peuvent utiliser des réseaux électriques ou des serveurs provenant d’une organisation commune. Cette interdépendance complexifie la stricte distinction entre cibles militaires et civiles.
Il reste une zone grise : qu’en est-il d’une cyberattaque qui ne cause aucune destruction matérielle ? Le Comité international international de la Croix-Rouge (CICR) considère que même en l’absence de dommages physiques, les principes du droit des conflits armés s’appliquent dans certains cas. Ces principes s’appliquent si les dégâts entraînent la perte de fonctionnalité ou la désactivation d’un système ou d’un réseau informatique.
Quelle évolution pour le droit des conflits armés par rapport aux cyberopérations ?
Le CICR estime que, jusqu’à présent, les cyberopérations ont causé moins de dommages que les attaques physiques. La reconstruction suite à une attaque cyber serait « plus aisée et moins onéreuse ». Cependant, la généralisation des objets connectés et de l’intelligence artificielle pourraient décupler les dommages physiques de ces attaques. Dans un avenir proche, une cyberattaque pourrait avoir les mêmes effets qu’un bombardement.
La cyberattaque, parce qu’elle est ambiguë et non déclarée, permet à un État de ne pas franchir le seuil classique de la guerre. Ce flou du droit international peut profiter à certains acteurs. Les États peuvent recourir à des acteurs non étatiques pour mener des cyberattaques, ce qui rend plus difficile l’identification de leur responsabilité.
Ainsi, comment mesurer les dommages collatéraux d’un virus informatique sur une infrastructure ? Comment s’adapter à une cyberopération réalisée par un groupe privé, sous la supervision d’un acteur étatique ? Les institutions doivent s’adapter à cette nouvelle forme de guerre, où le champ de bataille n’est plus physique mais numérique.
Source :
- https://ihl-databases.icrc.org/fr/ihl-treaties/geneva-conventions-1949additional-protocols-and-their-commentaries
- https://www.icrc.org/fr/droit-et-politique/cyberoperations-pendant-les-conflits-armes
- https://blogs.icrc.org/law-and-policy/fr/2020/03/26/cyber-armed-conflict-7-law-policy-questions/
- https://francoisdelerue.eu/wp-content/uploads/2020/01/20171129_NP_F-Delerue_Analyse-Manuel-Tallinn-2-0.pdf
Étudiant en Master II Droit de l’économie numérique à l’Université de Strasbourg.
Centres d’intérêt : intelligence artificielle, protection des données, cybersécurité, histoire et droit des conflits armés.