Le 4 mai 2019, Israël employait la force armée en réponse à une cyberattaque et dont seraient à l’origine des « membres du Hamas [1] spécialisés dans les attaques informatiques »[2]. C’est la première fois qu’un État revendique publiquement[3] avoir eu recours à la force militaire physiquement en réponse à une cyberattaque, dématérialisée par nature. La dissymétrie des moyens utilisés pose la question de la légalité et du parallélisme des forces dans des situations de légitime défense.

Il n’existe pas de définition juridique consensuelle reconnue par les États de ce qu’est une cyberattaque en droit international. Néanmoins, le terme cyberattaque désigne une attaque menée « dans et par le cyberespace »[4] et dans le but de « perturber, neutraliser, détruire ou contrôler de façon malveillante l’infrastructure informatique de la cible ou d’en détruire l’intégrité des données ou voler des informations protégées »[5]. De telles attaques sont protéiformes, il s’agit le plus souvent d’attaques par saturation de services, de l’implantation de logiciels espions ou de la destruction de données sensibles[6]. Les cibles étatiques privilégiées par les commanditaires de ces actes sont les systèmes d’information des « services essentiels au fonctionnement du pays ou à sa défense »[7] ou des informations sensibles qu’ils chercheront à collecter (données militaires, politiques, économiques). On peut citer l’exemple de postes de commande à distance situés aux États-Unis, de drones américains Reaper et Predator [8] en mission en Afghanistan ou sur d’autres théâtres, qui avaient été infectés par des malwares en 2011[9].

Les cyberattaques peuvent être le fait de différents auteurs tels qu’un État, un groupe d’activistes ou de pirates informatiques, ou une entreprise. L’une des principales difficultés est d’identifier les commanditaires et les opérateurs d’une cyberattaque. Sous couvert du secret, les États ont recours aux cyberattaques. Les États-Unis par le biais de la NSA et en collaboration avec l’armée israélienne, seraient à l’origine du virus appelé STUXNET et visant le programme nucléaire iranien. Cette attaque informatique avait été commentée par Michael Hayden, ancien directeur de la CIA : « This is the first attack of a major nature in which a cyberattack was used to effect physical destruction ». Le programme militaire américain a l’origine de STUXNET avait été autorisé par George W. Bush en 2006 et poursuivi par Barack Obama[10] même si les États-Unis n’ont jamais reconnu officiellement avoir recours aux cyberattaques[11].

Une cyberattaque d’origine étatique et pouvant entrainer une réponse elle-même étatique peut être lancée directement par un État A, ou avoir été lancée de manière indirecte ou peut seulement avoir été lancée depuis le territoire d’un État A qui par sa passivité délibérée en a permis l’exécution, contre un État B[12]. Dans ce cas précis d’une cyberattaque étatique imputable, voire revendiquée, à un État A contre un État B, se pose la question de savoir quelle réponse unilatérale peut envisager ce dernier dans le respect du droit international.

Les règles du jus ad bellum se transposent-elles à ce qu’on appelle la cyberguerre ?

Le cadre de la légitime défense selon la Charte des Nations Unies

Dans le cadre général des Nations Unies, l’article 2 § 4 de la Charte règlemente et restreint le recours à la force armée par les États. L’article 51 de la Charte précise quant à lui le corollaire de l’interdiction du recours à la force, qui est la légitime défense, envisagée comme un « droit naturel » ou « inherent right »[13] antérieur à la Charte. Selon la Charte, la légitime défense ne peut intervenir que dans le cas « d’une agression armée » et « jusqu’à ce que le Conseil de sécurité ait pris les mesures nécessaires ». Il est intéressant de voir qu’un État a compétence prima facie pour qualifier la situation qui selon lui justifie le recours à la légitime défense[14], avec le risque de subjectivité de la qualification des faits que cela implique. Néanmoins, le Conseil de sécurité des Nations Unies (CSNU) a une importante faculté de qualification et peut accueillir ou rejeter la prétention d’un État qui voudrait justifier des actes de légitime défense.

S’agissant de l’agression pouvant justifier une réaction étatique, elle n’est pas toujours le fait d’un État et la légitime défense pourrait s’exercer contre des acteurs non-étatiques[15] comme dans le cas de la cyberattaque orchestrée par le Hamas en mai 2019. Le 12 septembre 2001, le CSNU reconnaissait aux États-Unis le droit de légitime défense en réponse à des faits qui n’étaient pas imputables à un État[16]. Reste à savoir si une cyberattaque visant les réseaux ou infrastructures peut constituer une agression au sens de l’article 2 § 4 de la Charte des Nations Unies.

Le SGDSN[17], dans la revue stratégique de cyberdéfense du 12 février 2018[18], estimait qu’une cyberattaque pourrait constituer une « agression armée » au sens de l’article 51 de la Charte des Nations Unies, justifiant ainsi les actes de légitime défense[19]. En effet, des attaques informatiques dématérialisées peuvent mettre en danger la sécurité et les intérêts vitaux d’un État, c’est la gravité de l’attaque en cause, et les dégâts qu’elles occasionnent, qui sont déterminants de la réaction. De manière générale, les États ont un seuil de gravité similaire à atteindre pour que l’on puisse qualifier une cyberattaque d’agression armée au sens de l’article 51 de la Charte des Nations Unies[20]. Aussi, le SGDSN précisait que la France ne se limitait pas à l’usage de moyens informatiques pour répondre à une cyberattaque. Cette doctrine est le fruit de la transformation des menaces qui pèsent sur les États, ayant amené à modifier ou à élargir le champ d’application des articles 2 § 4 et 51 de la Charte des Nations Unies.

Des attaques cyber n’atteignant pas un certain seuil de gravité et ne pouvant entrer dans le champ d’application de l’article 2 § 4 de la Charte peuvent néanmoins résulter à l’engagement de la responsabilité internationale de l’État qui en est à l’origine. Dans cette hypothèse, la violation du principe de non-intervention ne peut qu’être suivie de moyens pacifiques de règlement du différend occasionné.

La légitime défense et le principe de proportionnalité : la dissymétrie des armes

La Charte et le droit coutumier définissent de manière complémentaire les contours de la légitime défense. Si la légitime défense est envisageable face à une cyberattaque, l’État qui la met en œuvre doit toujours respecter certaines règles. La Cour internationale de justice, dans la célèbre affaire opposant le Nicaragua et les États-Unis, rappelait l’exigence d’une agression armée préalablement à l’exercice de la légitime défense. De plus, les contre-mesures adoptées doivent être proportionnées à l’agression armée[21].

L’exigence de proportionnalité de la légitime défense n’est pas prévue à l’article 51 de la Charte mais est d’origine coutumière[22]. Le caractère provisoire de la légitime défense ne saurait permettre à un État d’entreprendre des actes ou des contre-mesures trop radicales ou définitives. La question de la proportionnalité est délicate lorsqu’il s’agit de la réponse à une agression indirecte ou dématérialisée. Par exemple, une cyberattaque ne peut être décelée que partiellement et ne pas révéler immédiatement tous ses effets. De plus, l’identification certaine des auteurs est essentielle et doit être préalable à d’éventuelles contre-mesures. Cette période de temps nécessaire à l’identification de la cyberattaque pourrait remettre en cause l’immédiateté de la légitime défense au profit de la compétence du CSNU qui pourrait se saisir de la situation dès les premiers signes de cyberattaque si celle-ci peut être considérée prima facie comme une agression armée. Dans cette hypothèse, la mise en œuvre du droit de légitime défense devrait être graduée en termes de moyens en attendant une qualification certaine des faits et l’identification précise des auteurs.

En mai dernier, la riposte de Tsahal face à une cyberattaque du Hamas a été présentée comme suivant directement la détection de la menace. Néanmoins, on peut supposer que Tsahal travaillait depuis un certain moment à déjouer cette menace. De plus, si l’attaque en question a pu être évitée, la justification de la riposte armée par la légitime défense est plus qu’incertaine[23].

Florence Parly déclarait début 2019 : « Il faut s’assurer que nos armées disposent d’une doctrine et de capacités de lutte informatique offensive. En cas d’attaque cyber contre nos forces, nous nous réserverons le droit de riposter, dans le respect du droit, par les moyens et au moment de notre choix. Nous nous réserverons aussi, quel que soit l’assaillant, le droit de neutraliser les effets et les moyens numériques employés »[24]. La doctrine française semble aller dans le sens de la possibilité d’une riposte physique légale face à une attaque cyber, dans le respect du droit international. De plus, la Ministre des armées précisait qu’elle envisageait l’utilisation de l’arme cyber en appui des moyens conventionnels[25].

Les organisations de coopération dans le cadre multilatéral : la légitime défense collective

La nature même des cyberattaques fait qu’elles peuvent potentiellement viser différents États ou institutions en même temps. L’interconnexion des institutions et la vulnérabilité des systèmes d’information rendent nécessaire une coopération active[26]. A l’instar du Ministère des armées français, Barack Obama avait fait de la cybersécurité l’une de ses priorités[27]. En plus des accords bilatéraux relatifs à la cyberdéfense, celle-ci s’exerce également par le biais d’organisations internationales ou régionales. Au sein des Nations Unies, le « groupe des experts gouvernementaux sur la cybersécurité » (GGE)[28] avait permis d’engager des négociations mais s’est trouvé confronté aux divergences de conceptions des États quant à la régulation du cyberespace. Néanmoins, il a été rappelé ou établi par le GGE que le droit international existant s’applique au cyberespace.

Le cadre multilatéral onusien n’est pas le seul à prendre en compte, le plus souvent les États sont membres d’organisations régionales qui ont leur rôle à jouer en matière de cyberdéfense. L’OTAN et l’Union Européenne sont des organisations importantes sur plan de l’autonomie stratégique de leurs États membres et sur le plan de la sécurité collective. Depuis le sommet de Prague en 2002, l’enjeu de la cyberdéfense est au centre des débats au sein de l’OTAN[29]. L’un de ses objectifs en matière de cybersécurité a été de coordonner l’assistance à un État membre subissant une cyberattaque importante.

S’agissant de la légitime défense, elle est encadrée au sein de l’OTAN par l’article 5 du Traité de l’Atlantique Nord. Le cadre d’une organisation comme l’OTAN pourrait permettre de définir plus précisément les modalités de la cyberdéfense, notamment en termes de fait générateur permettant de déclencher la légitime défense collective, conformément à l’article 51 de la Charte des Nations Unies. La pratique de l’OTAN s’agissant de la mise en œuvre de l’article 5 ne permet pas de dégager une solution générale applicable aux cyberattaques étatiques. Néanmoins, les organisations régionales telles que l’OTAN ou l’Union Européenne prennent progressivement conscience de le nécessité de coopérer sur les questions de cyberdéfense[30].

La coopération en matière de cyberdéfense se heurte néanmoins à un obstacle majeur, qui est la volonté des États de préserver leur souveraineté en matière de défense mais aussi aux différentes conceptions qu’ils peuvent avoir du cyberespace. Actuellement, ce sont principalement les États qui développent leurs politiques nationales respectives de cyberdéfense. Certains États, comme la France, les États-Unis ou Israël ont développé, à différents degrés, une conception étendue de la légitime défense tant au niveau de sa justification qu’au niveau des moyens de la mettre en œuvre.

Nicolas Richard
Master 1 Droit international public – Université Jean Moulin Lyon 3

[1] Mouvement de résistance islamique palestinien.

[2] Le Monde, « Israël dit avoir déjoué une cyberattaque du Hamas à Gaza, avant de frapper le site d’origine », 6 mai 2019, [https://www.lemonde.fr/pixels/article/2019/05/06/israel-dit-avoir-replique-a-une-attaque-informatique-par-une-frappe-aerienne-une-premiere_5459063_4408996.html].

[3] Israel Defense Forces, post twitter, [https://twitter.com/IDF/status/1125066395010699264].

[4] E. AKOTO, « Les cyberattaques étatiques constituent-elles des actes d’agression en vertu du droit international public ? : Première partie », Ottawa Law Review, Volume 46, n°1, 2014, p. 7.

[5] Ibidem p. 8.

[6] J.-M. BOCKEL, Rapport d’information du Sénat n° 681 sur la cyberdéfense, session extraordinaire 2011 – 2012, 18 juillet 2012, p. 26.

[7] Ibidem p. 31.

[8] Drones de reconnaissance ou de combat selon la charge utile.

[9] Arstechnica, Noah Shachtman, « Computer virus hits US Predator and Reaper drone fleet », 10 juillet 2011, [https://arstechnica.com/information-technology/2011/10/exclusive-computer-virus-hits-drone-fleet/].

[10] E. AKOTO, « Les cyberattaques étatiques constituent-elles des actes d’agression en vertu du droit international public ? : Première partie », op. cit. n°4, p. 17.

[11] Ibidem, p. 20.

[12] Ibid., p. 10.

[13] J. COMBACAU, S. SUR, Droit international public, LGDJ, Précis Domat, 12e édition, Issy-les-Moulineaux, 2016, p. 627.

[14] Ibid.

[15] Ibid.

[16] J. COMBACAU, S. SUR, Droit international public, op. cit., p. 637.

[17] Secrétariat Général de la Défense et de la Sécurité Nationale

[18] SGDSN, Revue stratégique de cyberdéfense, 12 fév. 2018, [http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf].

[19] Ibid. p. 163.

[20] SGDSN, Revue stratégique de cyberdéfense, 12 fév. 2018, p. 80.

[21] CIJ, arrêt, 27 juin 1986, Activités militaires et paramilitaires au Nicaragua et contre celui-ci, p. 117, § 249.

[22] J. COMBACAU, S. SUR, Droit international public, op. cit., p. 638.

[23] Le Monde, « Israël dit avoir déjoué une cyberattaque du Hamas à Gaza, avant de frapper le site d’origine », 6 mai 2019, [https://www.lemonde.fr/pixels/article/2019/05/06/israel-dit-avoir-replique-a-une-attaque-informatique-par-une-frappe-aerienne-une-premiere_5459063_4408996.html].

[24] L’opinion, « Florence Parly révèle une cyberattaque très sérieuse contre les Armées », 18 janv. 2019 [https://www.lopinion.fr/blog/secret-defense/florence-parly-revele-cyberattaque-tres-serieuse-contre-armees-175039].

[25] Ibid.

[26] J.-M. BOCKEL, Rapport d’information du Sénat n° 681 sur la cyberdéfense, session extraordinaire 2011 – 2012, 18 juillet 2012, p. 38.

[27] Ibid. p. 39.

[28] SGDSN, Revue stratégique de cyberdéfense, 12 fév. 2018, p. 35.

[29 ] J.-M. BOCKEL, Rapport d’information du Sénat n° 681 sur la cyberdéfense, session extraordinaire 2011 – 2012, 18 juillet 2012, p. 58.

[30] J.-M. BOCKEL, Rapport d’information du Sénat n° 681 sur la cyberdéfense, session extraordinaire 2011 – 2012, 18 juillet 2012, p. 62.