Quelles limites le droit de la guerre impose-t-il aux cyberattaques ?

Pourquoi le CICR s’intéresse-t-il à la guerre informatique ?

Il semble que l’expression « guerre informatique » (ou cyberguerre) n’est pas comprise de la même manière par tout le monde. On entend dans le cas présent les moyens et méthodes de guerre utilisés pour mener des cyberopérations équivalant à un conflit armé, ou conduites dans le contexte d’un conflit armé, au sens du DIH. Le CICR s’intéresse à la cyberguerre en raison de la vulnérabilité des réseaux informatiques et du coût humain que peuvent avoir les cyberattaques. Lorsque les ordinateurs ou les réseaux d’un État sont attaqués, infiltrés ou bloqués, les civils risquent d’être privés de biens et de services essentiels comme l’eau potable, les soins médicaux ou l’électricité. Si les systèmes GPS sont paralysés, empêchant par exemple les hélicoptères d’effectuer des vols de sauvetage, ce sont les civils qui en pâtiront. De par leur dépendance aux ordinateurs, les barrages, les centrales nucléaires et les systèmes de pilotage des avions sont eux aussi vulnérables aux cyberattaques. Les réseaux sont tellement interconnectés qu’il est souvent difficile de limiter les effets d’une attaque contre une partie d’un système sans qu’elle endommage d’autres parties, ou qu’elle perturbe le système dans son ensemble. Le bien-être, la santé, voire la vie de centaines de milliers de personnes sont en jeu. L’une des missions du CICR est de rappeler à toutes les parties à un conflit qu’il faut veiller constamment à épargner les civils. Les guerres ont des règles et des limites qui s’appliquent autant à l’emploi d’armes cybernétiques qu’à celui de fusils, de pièces d’artillerie ou de missiles.

Dans un ouvrage récemment publié connu sous le nom de Manuel de Tallinn, des juristes et des experts militaires affirment que le DIH s’applique à la guerre informatique et décrivent comment ses règles seront mises en œuvre dans ce domaine. En quoi est-ce important ?

Nous nous félicitons que des experts réfléchissent aux effets de la guerre informatique et à la branche du droit qui s’y applique. Le recours à des cyberopérations dans les conflits armés peut avoir des conséquences désastreuses sur le plan humanitaire. Selon le CICR, il est donc essentiel de trouver des moyens de limiter le coût humain des cyberopérations et, en particulier, de réaffirmer la pertinence du DIH vis-à-vis des nouvelles technologies, lorsqu’elles sont utilisées dans le cadre des conflits armés. C’est précisément ce que les experts soutiennent dans le Manuel de Tallinn. Certes, les moyens et méthodes de guerre ont évolué avec le temps et n’ont plus grand-chose à voir avec ceux qui prévalaient lors de la rédaction des Conventions de Genève en 1949, mais le DIH continue de s’appliquer à toutes les activités menées par les parties dans le cadre d’un conflit armé, et ses règles doivent être respectées. Il pourrait toutefois se révéler utile de développer le droit pour s’assurer qu’il protège suffisamment la population civile, à mesure que les cybertechnologies évolueront ou que leur impact humanitaire sera mieux compris. C’est aux États qu’il appartiendra de se prononcer sur ce point.

Le Manuel de Tallinn est certes un document non contraignant élaboré par un groupe d’experts, mais nous n’espérons pas moins qu’il contribuera utilement aux discussions entre les États sur ces questions complexes. Nous attendons des États et des groupes armés non étatiques qu’ils veillent à toujours respecter leurs obligations internationales lorsqu’ils lancent des cyberopérations dans une situation de conflit armé. On s’interroge actuellement beaucoup sur l’interprétation à donner au droit international – notamment au DIH – et sur son applicabilité aux activités déployées dans le cyberespace, qu’elles soient le fait d’États ou d’acteurs non étatiques. Le CICR continuera d’offrir son expertise en matière de DIH pour faire face à ces défis.

Cela ne signifie pas pour autant que le DIH s’applique à toutes les cyberopérations ou à ce qu’on qualifie souvent de « cyberattaques » dans le langage courant : il ne régit que les cyberopérations qui s’inscrivent dans le cadre d’un conflit armé. Les entreprises et les gouvernements sont autant exposés au cyberespionnage, à la cybercriminalité et à d’autres actes malveillants qu’à des cyberattaques relevant du DIH. Bien qu’on utilise des moyens techniques similaires pour protéger une infrastructure informatique de l’espionnage ou des attaques, le droit qui régit ces opérations n’est pas le même. Un enjeu majeur est donc d’identifier les circonstances dans lesquelles on peut considérer qu’une cyberopération est conduite dans le contexte d’un conflit armé, ou donne lieu en soi à un conflit armé, entraînant par conséquent l’application du DIH.

Que nous apprend le Manuel de Tallinn sur le champ d’application du DIH dans le cyberespace ?

Le manuel offre des perspectives intéressantes à ce propos. Par exemple, il souscrit à la dichotomie classique entre conflits armés internationaux et non internationaux, et reconnaît que des cyberopérations peuvent constituer en elles-mêmes des conflits armés selon les circonstances – et notamment selon les effets destructeurs de ces opérations. À cet égard, le manuel définit une « cyberattaque » au sens du DIH comme « une cyberopération offensive ou défensive raisonnablement susceptible de blesser ou de tuer des personnes, ou d’endommager ou de détruire des biens ». Mais le nœud du problème est de savoir ce qu’on entend précisément par « dommage » dans le monde numérique. Après un débat intense, la majorité des experts sont convenus que, outre les dommages physiques, la perte de fonctionnalité d’un bien pouvait aussi constituer un dommage. De l’avis du CICR, si un bien est mis hors d’usage, peu importe que ce résultat ait été obtenu par des moyens cinétiques ou par une cyberopération. Cette question revêt une importance cruciale dans la pratique car, si l’on adoptait le point de vue opposé, l’interdiction prévue par le DIH de prendre directement pour cible des personnes et des biens civils ne s’appliquerait pas à une cyberopération visant à rendre un réseau civil inopérant.

Quel rôle le CICR a-t-il joué dans l’élaboration du Manuel de Tallinn ? Ses positions y sont-elles représentées ?

Le CICR a participé en qualité d’observateur aux débats des experts qui ont rédigé le manuel pour veiller à ce que celui-ci tienne compte autant que possible des dispositions existantes du DIH, et pour faire valoir la protection que ce droit accorde aux victimes des conflits armés. Les experts sont parvenus à trouver un consensus sur les 95 règles énoncées dans le manuel. Le CICR adhère de manière générale aux règles telles qu’elles sont formulées, à quelques exceptions près. Par exemple, la règle qui rappelle l’interdiction des représailles contre certaines personnes et certains biens spécialement protégés ne couvre pas les biens culturels, à l’inverse de ce que conclut l’étude du CICR sur le DIH coutumier. Le manuel fournit en outre des commentaires explicatifs sur les règles, qui rendent notamment compte des divergences de vues entre les experts. Parmi ces divergences, l’obligation qui incombe aux parties à un conflit armé de prendre toutes les précautions possibles pour protéger la population et les biens civils sous leur contrôle des effets des cyberattaques : alors que, d’après le commentaire du manuel, le champ d’application de cette règle devrait se limiter aux conflits armés internationaux, le CICR soutient que l’obligation s’applique à tous les types de conflits armés.

Quels sont les principaux défis posés par la guerre informatique ?

Il n’existe qu’un seul cyberespace que se partagent utilisateurs civils et utilisateurs militaires, et tout est interconnecté. Les grands défis consistent donc à faire en sorte que les attaques soient dirigées exclusivement contre des objectifs militaires, et que des précautions soient prises en tout temps pour épargner la population et les infrastructures civiles. De plus, dans le cadre d’une cyberattaque, les pertes civiles et les dommages qui risquent d’être causés incidemment ne doivent pas être excessifs par rapport à l’avantage militaire concret et direct attendu. Si ces conditions ne sont pas remplies, l’attaque ne doit pas être lancée. À cet égard, le manuel rappelle utilement que les dommages collatéraux comprennent à la fois les effets directs et les effets indirects, et que tout effet indirect attendu doit être pris en compte dans l’évaluation de la proportionnalité quand une attaque est planifiée puis exécutée – un aspect capital dans le cyberespace. Pour toutes ces raisons, les États doivent se montrer extrêmement prudents lorsqu’ils recourent à des cyberattaques.

Les pirates informatiques sont-ils une cible légitime dans une cyberguerre ?

Le terme « pirate informatique » englobe un grand nombre de personnes engagées dans tellement d’activités différentes qu’il est impossible d’affirmer que les pirates peuvent être visés en tant que tels. Comme la plupart des cyberopérations ne sont pas liées à un conflit armé, elles n’entrent pas dans le champ d’application du DIH. Même dans une situation de conflit armé, la majorité des pirates sont considérés comme des civils et restent donc protégés par le DIH contre toute attaque directe. Ils risquent cependant de faire l’objet de sanctions et de poursuites pénales si leurs actes contreviennent à d’autres branches du droit.

Il en va autrement si un pirate informatique participe directement aux hostilités en lançant une cyberattaque à l’appui d’une partie à un conflit armé. Dans ce cas, le pirate ne peut pas s’attendre à ce que l’ennemi reste passif : il perd sa protection juridique contre les attaques directes pendant la durée de la cyberattaque et les préparatifs qui en font partie intégrante.

Les cybertechnologies peuvent-elles être utilisées à des fins positives en cas de conflit armé ?

Lorsqu’ils conduisent des opérations militaires, les États doivent veiller à éviter ou, en tout cas, à réduire au minimum les pertes en vies civiles, les blessures aux personnes civiles et les dommages aux biens civils qui pourraient être causés incidemment. Sans vouloir sous estimer les difficultés, il n’est pas exclu que les avancées technologiques permettent un jour de mettre au point des armes cybernétiques qui, dans certaines circonstances, feraient moins de victimes et de dommages collatéraux que les armes traditionnelles, tout en procurant le même avantage militaire. Quoi qu’il en soit, le CICR continuera de suivre les évolutions dans ce domaine.

*Tallinn Manual on the International Law Applicable to Cyber Warfare (Manuel de Tallin sur l’applicabilité du droit international à la cyberguerre) – élaboré par un groupe international d’experts à l’invitation du Centre d'excellence de l’OTAN pour la cyberdéfense en coopération, Cambridge University Press, 2013.