dimanche 18 octobre 2015

Le droit autorise-t-il les conflits dans le cyberespace ?

Lors du colloque international « CyberDéfense » qui a eu lieu le 24 septembre à Paris, le ministre de la Défense, Jean Yves Le Drian annonçait tout naturellement que « les effets opérationnels de la cyberdéfense peuvent largement se comparer à ceux de certaines armes conventionnelles ». La « lutte informatique offensive » est officiellement lancée !


Espace à la fois virtuel et support d'infrastructures physiques, espace clairement mondialisé mais dont l'affirmation des frontières est aujourd'hui un enjeu de souveraineté, le cyberespace est le lieu de nouvelles conflictualités.
Juridiquement, existe-il des règles pour régir les conflits dans le cyberespace ?

Au niveau national, pour prévenir les attaques et en cas d'attaque majeure, la loi de programmation militaire du 18 décembre 20131 oblige les opérateurs d'importance vitale notamment à mettre en place des mesures de sécurité édictées par l’État pour leurs systèmes d'information vitaux. Il est par exemple demandé à ces opérateurs de notifier leurs incidents qui affectent leurs systèmes d'information d'importance vitale.

Au niveau international, et pour l'Organisation du Traité de l'Atlantique Nord (OTAN), il a été clairement annoncé lors du sommet des 4 et 5 septembre 2014 aux Pays de Galle qu' « il reviendrait au Conseil de l'Atlantique Nord de décider, au cas par cas, des circonstances d'une invocation  de l’article 5 à la suite d'une cyberattaque ».
Pour rappel, l'article 5 du traité de l'OTAN énonce que face à une attaque armée dirigée contre un État membre de l'OTAN, il est possible de se prévaloir de l'exercice de son droit de légitime défense.
Toutefois, il faut rappeler qu'en droit national, pour se prévaloir de la légitime défense face à un attaquant identifié sur le territoire national, il faut respecter certaines conditions. La légitime défense est, selon l'article 122-5 du code pénal, un fait justificatif c'est à dire un fait qui permet d'éviter d'engager sa responsabilité pénale face à un acte qui en temps normal est pénalement répréhensible.
Pour être recevable par un juge français, la légitime défense doit réunir les conditions suivantes :
  • l'atteinte doit être imminente ou concomitante à un acte contraire au droit, ici une attaque, l'acte de légitime défense ne peut pas réagir après coup, après analyse ou constatation des dégâts ;
  • la riposte doit avoir pour seul but de faire cesser l'attaque et être nécessaire à ce but ;
  • la riposte doit être proportionnée à l'attaque.

Au regard de ces différentes conditions, la pratique d'un telle légitime défense sera difficile à mettre en œuvre et les juges français pourraient se montrer réticents sur la question.
En plus, si la légitime défense n'est pas reconnue, il est possible que celui qui s'en prévaut face au hacker d'origine risque d'être condamné pour atteinte à un système de traitement automatisé de données, infraction pénale prévue par les articles 323-1 et suivants du code pénal. Mais cette situation implique que la personne auteur de la riposte soit poursuivie par le hacker d'origine ou par les autorités judiciaires qui en auraient eu connaissance. Si le hacker se fait connaître cela serait particulièrement de mauvaise foi mais c'est possible, on le voit avec les personnes auteurs de cambriolages qui portent plainte lorsque la victime a riposté, souvent en raison de la disproportion de la riposte.

Au niveau international, il n'existe pas encore de jurisprudence sur les cyber-agressions mais le manuel de Tallinn y expose certaines propositions en matière de cyber-conflits.
Ce document examine une portion du droit international relatif à ce que l'on appelle le droit des conflits armés ou encore droit de la guerre. Composé traditionnellement de deux grands domaines, le jus ad bellum  codifiant le recours par les États à la force et le jus in bello ayant trait à leur comportement et leurs actions durant les conflits. 


Pour le Manuel, une cyberattaque est une agression armée car il part du principe que l’effet d’un bombardement par avion détruit et peut causer des pertes humaines et donc qu’une telle attaque est comparable, en effet selon l'article 30 du Manuel « les attaques informatiques peuvent avoir les mêmes effets que des attaques physiques classiques et doivent donc être considérées comme tel ».

Cependant, ce manuel n’a pas force de loi, il s'agit uniquement de propositions issues de réflexions menées par des experts juridiques et ne représente pas le droit international coutumier.
Pour le droit des conflits armés, défini par la convention de Genève de 1949 et ses protocoles additionnels, la qualification du conflit armé n'est acquise uniquement en présence d'un incident d'une certaine intensité, qui s'inscrit dans la durée et dont les protagonistes sont clairement identifiés, caractéristique difficile à mettre en œuvre dans le cyberespace.

La « cyberguerre » est-elle déclarée ? Non, d'ailleurs le terme de« cyberguerre » n'a pas été intentionnellement utilisé dans les développements de ce billet car doctrinalement il semble opportun de rejoindre la thèse défendue notamment par Thomas Rid2 qui « considère qu’il n’y a pas et il n’y aura pas de cyberguerre, même s’il reconnaît que se déroule une intense activité conflictuelle dans le cyberespace ».
Juridiquement, avant d'adapter les règles du droit des conflits armés au cyber-combat, ne faudrait-il pas réguler les réseaux au niveau international ? Pour démarrer la réflexion, l'ARCEP a publié un état des lieux du cadre de régulation  de la neutralité du net le mois dernier notamment sur la gestion du trafic, les pratiques commerciales, les services optimisés distincts de l'accès à internet et la qualité de l'accès à internet. 

 

1Article 22 de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

Aucun commentaire:

Enregistrer un commentaire