La guerre en Ukraine a marqué un tournant dans l’histoire militaire. Pour la première fois depuis la fin de la guerre froide, un pays européen a été attaqué par une puissance majeure. Ce conflit a non seulement provoqué une hausse des dépenses militaires dans le monde, mais il a également montré que la guerre ne se limite plus aux champs de bataille traditionnels.

Les attaques cybernétiques, les campagnes de désinformation et les opérations d’influence sont désormais des armes à part entière, utilisées par les États pour affaiblir leurs adversaires et atteindre leurs objectifs stratégiques. Ces nouvelles formes de guerre, qualifiées de « guerre hybride », sont plus difficiles à détecter et à contrer, ce qui rend la frontière entre guerre et paix de plus en plus floue

La guerre hybride est un conflit multidimensionnel qui se joue sur plusieurs fronts. Elle peut combiner des actions militaires classiques, telles que des offensives terrestres, navales ou aériennes, avec des actions non militaires, telles que des cyberattaques, des campagnes de désinformation ou des opérations d’influence.

Ce type de conflit est particulièrement difficile à contrer car il est difficile de déterminer l’origine des attaques et de les attribuer à un État ou à un groupe non étatique. Les États doivent donc développer de nouvelles capacités pour se défendre contre les menaces cyber.

Une menace pour la sécurité mondiale.

La cyberguerre est une menace pour la sécurité mondiale. Elle peut déstabiliser des régions entières et conduire à des conflits armés. Elle peut également saper la confiance entre les États et les organisations internationales.

Les États doivent donc prendre des mesures pour prévenir et contrer les menaces hybrides. Ils doivent développer des capacités de défense cybernétique, lutter contre la désinformation et renforcer la coopération internationale.

Une guerre dans le cyberespace.

Le cyberespace doit s’analyser comme un « espace virtuel des ordinateurs reliés entre eux grâce à des réseaux, et qui constitue un environnement global qui est le siège d’évènements ayant des conséquences juridiques » [1]. S’agissant du préfixe « cyber » il fait pour sa part référence à « tout ce qui a un lien avec les ordinateurs, l’informatique, les réseaux ou encore Internet » [2].

Comment caractériser un conflit ?

Les opérations cyber entre deux ou plusieurs États peuvent constituer un conflit armé international si elles sont constitutives d’hostilités, c’est-à-dire dirigées contre les intérêts d’un État ou d’un groupe armé.

Mais les opérations cyber entre des forces armées gouvernementales et des groupes armés, ou entre plusieurs groupes armés, peuvent ne pas constituer un conflit armé international. Dans ce dernier cas, les opérations doivent être prolongées, c’est-à-dire qu’elles doivent durer au moins un certain temps, menées par des groupes armés qui font preuve d’un minimum d’organisation et les effets de ces opérations doivent atteindre un degré de violence suffisant.

En fonction du seuil de violence spécifique, les opérations cyber peuvent caractériser un conflit armé. Elles doivent néanmoins atteindre un seuil de « violence spécifique », seuil qui n’est pas encore clairement défini.

A ce stade, force est de constater que les opérations cyber, nouvelles formes de conflit armé, soulèvent des questions juridiques complexes.

État et conflit armé.

Les règles applicables dans le domaine du « droit de la Haye » [3] s’appliquent au domaine cyber. Donc un État devient partie à un conflit lorsqu’il a « recours à la force armée » [4] contre les forces armées, le territoire ou la population d’un autre État.

Le seuil d’intensité du recours à la force armée est apprécié in concreto. S’il n’est pas déterminé, il implique une « certaine intensité de la violence ». Ainsi, des cyber-opérations menées par les forces françaises à l’encontre d’un autre État et qui rendraient des systèmes inopérants, pourraient être qualifiées de recours à la force armée.

L’on peut également considérer qu’un État devient partie à un conflit si son intervention correspond à un contrôle effectif ou global des forces armées d’un autre État. Par exemple, s’agissant du contrôle global, il pourrait être caractérisé si un État est impliqué dans l’organisation, la coordination ou la planification des actions militaires de forces armées d’un autre État. Il va donc au-delà de l’aide financière, de la fourniture d’équipements militaires. Voire de la formation.

La souveraineté des États.

Le Groupe d’experts gouvernementaux cyber de l’ONU (GGE-C) a reconnu l’applicabilité du principe de souveraineté au cyberespace dans ses deux rapports de 2013 et 2015. Le dernier rapport a identifié un ensemble de normes approuvées par l’Assemblée générale des Nations Unies.

Ces normes comprennent notamment le principe de l’exercice de la souveraineté sur les infrastructures situées sur le territoire d’un État. Ce principe signifie que les États ont le droit d’empêcher tout accès ou utilisation non autorisés de leurs infrastructures cybernétiques.

Le droit international interdit aux États de commettre des actes qui violeraient des principes fondamentaux, tels que l’intégrité territoriale, la non-intervention dans les affaires intérieures et le non-recours à la force. Ces principes s’appliquent également au cyberespace.

Le principe de souveraineté, principe fondamental du droit international, confère aux États le droit d’exercer leur pouvoir suprême sur leur territoire et leurs ressortissants. Ce principe s’applique au cyberespace, ce qui signifie que les États ont donc le droit d’empêcher tout accès ou utilisation non autorisés de leurs infrastructures cybernétiques.

Une cyberattaque menée à l’encontre de systèmes d’information ou toute production d’effets hostiles par le biais de moyens cybernétiques par un organe étatique, une personne ou entité exerçant des prérogatives de puissance publique, ou agissant sur les instructions, directives ou contrôle d’un État tiers constituerait de fait et de droit une violation de souveraineté.

Le principe de non-intervention apparait comme un principe fondamental du droit international en ce qu’il interdit aux États de s’immiscer dans les affaires intérieures d’un autre.

Ce principe s’applique également au cyberespace.

Une cyber-opération qui s’ingèrerait dans le domaine réservé d’un État ou porterait atteinte à son système politique, économique ou social constituerait une violation de non-intervention.

Le domaine réservé d’un État comprend les affaires qui relèvent de sa compétence exclusive, telles que la formation de son gouvernement, la conduite de ses élections ou la définition de sa politique intérieure. En outre, une cyber-opération qui vise à influencer les opinions publiques ou les décideurs politiques d’un autre État pourrait également constituer une violation de non-intervention.

Le principe de distinction (civil/militaire).

La distinction est présente dans le Protocole I (« additionnel aux conventions de Genève »), au Chapitre II : « Personnes civiles et population civile ». L’article 48 énonce le principe de distinction en déclarant : « les Parties au conflit doivent en tout temps faire la distinction entre la population civile et les combattants » [5].

Le principe impose donc aux belligérants de faire la distinction entre civils et combattants, objectifs civils et militaires. De fait, si les cyberattaques ne sont pas dirigées contre un objectif militaire déterminé, elles sont théoriquement interdites.

Les opérations cyber offensives (LIO) et d’influence (LID) sont des outils militaires puissants qui peuvent avoir des effets dévastateurs. Il est donc important qu’elles soient menées de manière responsable et respectueuse des civils.

Dans cette perspective, les LIO et les LID sont normalement planifiées et coordonnées pour éviter les cibles civiles. Cela signifie qu’il ne devrait pas être possible de mener des opérations cyber contre des systèmes informatiques utilisés par des services civils, tels que les écoles ou les établissements médicaux.

Cependant, il existe une exception à cette règle. Si les systèmes informatiques d’un service civil sont utilisés à des fins militaires, ils peuvent alors devenir une cible légitime. Par exemple, si une école est utilisée pour stocker des informations sensibles sur des opérations militaires, elle peut être attaquée.

Les LIO et les LID doivent également respecter les biens culturels, l’environnement naturel et les secours humanitaires. Cela signifie qu’il ne doit pas être possible de mener des opérations cyber qui pourraient causer des dommages à ces biens ou services.

En résumé, les LIO et les LID doivent être menées de manière responsable et respectueuse des civils. Cela signifie qu’il faut éviter de cibler les systèmes informatiques des services civils, sauf si ces systèmes sont utilisés à des fins militaires. Il faut également respecter les biens culturels, l’environnement naturel et les secours humanitaires.

Le cas des infrastructures « duales ».

L’objectif des opérations cyber offensives est de perturber ou de détruire les infrastructures qui contribuent à l’action militaire, même si ces infrastructures sont civiles.

Cependant, compte tenu des caractéristiques intrinsèques au cyberespace, il est important de minimiser les effets incidents sur les civils et les biens à caractère civil. Ces effets ne doivent pas être disproportionnés par rapport à l’avantage militaire direct et concret attendu de l’attaque.

En d’autres termes, les opérations cyber offensives doivent être menées de manière à éviter autant que possible de causer des dommages aux civils ou aux biens civils.

Voici quelques exemples de mesures qui peuvent être prises pour minimiser les effets incidents des opérations cyber offensives :

• La planification et la coordination des opérations afin d’identifier les cibles civiles potentielles et de prendre des mesures pour les protéger
• L’utilisation d’armes cybernétiques à faible impact
• L’évaluation des effets des opérations après leur exécution.

Ces mesures sont essentielles pour garantir que les opérations cyber offensives soient menées de manière responsable et respectueuse des civils.

Les textes.

• Article 5 - Traité de l’Atlantique Nord [6].

Le traité de l’Atlantique Nord de 1949 insistait sur la mise en place d’une défense collective dans le but de contrer les velléités hégémoniques de l’Union soviétique en Europe. Il s’agissait même de l’objectif premier du traité. Tous les pays signataires convenaient que la mise en place « d’un pacte visant à contrer le risque de voir l’Union soviétique étendre le contrôle qu’elle exerçait sur l’Europe orientale à d’autres parties du continent » était « au cœur du traité ».

A ce titre, l’article 5 en est la pierre angulaire. Il précise qu’une « attaque armée contre l’une ou plusieurs parties survenant en Europe ou en Amérique du Nord sera considérée comme une attaque dirigée contre toutes les parties ». En conséquence, si une attaque survient, chaque État membre « assistera la partie ou les parties ainsi attaquées en prenant aussitôt, individuellement et d’accord avec les autres parties, telle action qu’elle jugera nécessaire, y compris l’emploi de la force armée, pour rétablir et assurer la sécurité dans la région de l’Atlantique Nord ».

En clair, l’article 5 engage tous les pays membres de l’Alliance à fournir en cas d’agression une assistance, qu’elle soit militaire, humanitaire ou autre.

• Article 42.7 Traité sur l’Union Européenne [7].

Le traité de Lisbonne renforce la solidarité des États membres de l’Union européenne (UE) face aux menaces extérieures en introduisant une clause de défense mutuelle (article 42, paragraphe 7, du traité sur l’Union européenne). Cette clause prévoit que, dans le cas où un État membre serait l’objet d’une agression armée sur son territoire, les autres États membres lui doivent aide et assistance par tous les moyens en leur pouvoir, conformément à l’article 51 de la charte des Nations unies.

Cette obligation de défense mutuelle lie tous les États membres mais n’affecte pas la neutralité de certains États membres ni l’appartenance des pays à l’Organisation du traité de l’Atlantique Nord (OTAN).

• Article 51 - Charte des Nations Unies [8].

En vertu de l’article 51, une agression armée ouvre le droit de l’État victime à faire usage de la légitime défense individuelle ou collective.

En effet, si la Charte de l’ONU interdit l’usage de la force armée dans les relations entre les États, l’article 51 de la Charte des Nations unies reconnaît cependant « le droit naturel de légitime défense, individuelle ou collective, dans le cas où un membre des Nations unies est l’objet d’une agression armée, jusqu’à ce que le Conseil de sécurité ait pris les mesures nécessaires ».

Une cyberattaque peut, comme noté supra, constituer une agression armée pour peu qu’elle atteigne un certain seuil de gravité.

La légitime défense reste donc aujourd’hui le seul motif légitime de recours à la force armée par un État.

Ceci a conduit à des interprétations extensives des notions de légitime défense et d’agression.

Les concepts de légitime défense préventive et de légitime défense préemptive ont ainsi été utilisés par les États-Unis dans le cadre de leur « guerre globale contre le terrorisme ».

Gildas Neger Docteur en Droit Public