Légitime défense et cyberattaque à la lumière du manuel de Tallinn

Du 4 au 5 septembre 2014, s’est tenu le dernier sommet de l’OTAN au Pays de Galles principalement consacré à l’ « instabilité croissante » en Ukraine, en Afrique du Nord et au Moyen-Orient ainsi qu’ « aux menaces transnationales et multidimensionnelles [qui] compromettent également notre sécurité ». Une partie du communiqué finale est consacrée aux cyberattaques et aux cybermenaces. Il indique notamment que « la cyberdéfense relève de la tâche fondamentale de l’OTAN qu’est la défense collective. Il reviendrait au Conseil de l’Atlantique Nord de décider, au cas par cas, des circonstances d’une invocation de l’article 5 à la suite d’une cyberattaque ».

Dirigeants des pays membres de l'OTAN lors d'un défilé aérien au dernier sommet de l'OTAN au pays de Galles le 5 septembre 2014

Dirigeants des pays membres de l’OTAN lors du dernier sommet au pays de Galles le 5 septembre 2014

Il convient de rappeler que l’article 5 du Traité de l’Atlantique Nord porte sur les conditions du droit de légitime défense en cas d’attaque d’un ou de plusieurs de ses membres. Ainsi,

« les parties conviennent qu’une attaque armée contre l’une ou plusieurs d’entre elles survenant en Europe ou en Amérique du Nord sera considérée comme une attaque dirigée contre toutes les parties, et en conséquence elles conviennent que, si une telle attaque se produit, chacune d’elles, dans l’exercice du droit de légitime défense, individuelle ou collective, reconnu par l’article 51 de la Charte des Nations Unies, assistera la partie ou les parties ainsi attaquées en prenant aussitôt, individuellement et d’accord avec les autres parties, telle action qu’elle jugera nécessaire, y compris l’emploi de la force armée, pour rétablir et assurer la sécurité dans la région de l’Atlantique Nord.
Toute attaque armée de cette nature et toute mesure prise en conséquence seront immédiatement portées à la connaissance du Conseil de Sécurité. Ces mesures prendront fin quand le Conseil de Sécurité aura pris les mesures nécessaires pour rétablir et maintenir la paix et la sécurité internationales »

Autrement dit, l’OTAN considère dorénavant qu’une cyberattaque est susceptible de fonder un droit à la légitime défense.
Le communiqué final fournit peu d’éléments sur les conditions d’obtention de ce droit. Tout juste indique-t-il que le Conseil de l’Atlantique Nord décide « au cas par cas ». Cette précision apparaît comme une précaution impérieuse étant donné le caractère controversé de l’emploi de la violence dans le cyberespace. Parler en ces termes seraient d’ailleurs un non sens pour Thomas Rid, chercheur au King’s College de Londres, qui estime que « la cyberguerre n’aura pas lieu ». En effet, cet espace remet en cause les modes d’administration de la violence. Traditionnellement, celle-ci est véhiculée par une force (comme une balle ou un missile), une énergie (comme le feu ou l’électricité) ou un agent (chimique, biologique, bactériologique). Or, le code informatique ne dispose pas de sa propre force ou énergie : une cyberattaque qui se veut destructrice doit donc utiliser celles du système cible ou les créer. Il s’agit donc d’une violence indirecte. Pour Thomas Rid, l’emploi du conditionnel est de rigueur puisqu’à l’heure actuelle, ce type d’attaque n’a encore jamais eu lieu. Il ne peut donc être compris comme une forme d’action violente. Par ailleurs, l’anonymat permis par le cyberespace pose le problème (en tout cas pour la victime) de l’attribution de l’attaque. Ces difficultés rejaillissent sur le plan du droit international dans le cadre de l’application des dispositions relatives à la légitime défense. En l’absence de précisions sur ce point dans le communiqué final de l’OTAN, il convient de se reporter au manuel de Tallinn sur le droit international applicable à la cyberguerre dont l’objectif est justement d’apporter « un certain niveau de clarté aux difficultés juridiques complexes entourant les cyberopérations, avec une attention particulière à celles relatives au jus ad bellum et au jus in bello » (p. 18).

  • L’exigence d’une attaque armée

Les dispositions relatives à la légitime défense se réfèrent à l’article 51 de la Charte des Nations Unies. Selon la règle n°13 du manuel :

« un État qui est la cible d’une cyberopération qui atteint le niveau d’une agression armée peut exercer son droit naturel de légitime défense. Une cyberopération constitue une attaque armée selon sa dimension et ses effets » (p. 53)

Ainsi, seule une agression armée est susceptible de déclencher une réponse en légitime défense. Tout comme l’appréciation de la force prohibée par la Charte des Nations Unies, c’est une approche conséquentialiste de la violence qui est adoptée puisque seules les attaques atteignant une certaine dimension et générant un certain type d’effets pourront constituer une attaque armée. Pour schématiser, il s’agit de toute attaque dont les conséquences se traduisent par des blessés, des morts et des destructions. Inversement, celle qui ne produit pas ce type de dommage, comme le vol de renseignement ou l’interruption de service, ne peut pas être considéré comme une agression armée.
De plus, si cette dernière correspond à un emploi de la force prohibé par l’article 2 §4 de la Charte des Nations Unies, l’inverse n’est pas forcément vrai. Seules les actions armées revêtant une certaine gravité peuvent donner lieu à un droit de légitime défense. Les recours mineurs à la force comme le « simple incident de frontière » ne suffisent pas (voir l’arrêt de l’affaire des activités militaires et paramilitaires au Nicaragua de la Cour Internationale de Justice). Pour autant, les experts ayant participé à la rédaction du Manuel de Tallinn sont divisés sur la question de savoir si une cyberattaque ne causant ni morts ni destructions se situe nécessairement en-dessous du seuil d’une attaque armée. L’hypothèse visée est l’attaque d’une place financière (ou toute autre infrastructure vitale) qui provoquerait une crise économique. Ses conséquences catastrophiques seraient de nature à constituer une agression armée selon certains experts (p. 55). Le communiqué final de l’OTAN semble abonder dans ce sens en précisant que « les cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique [et que] leur impact sur les sociétés modernes pourrait être tout aussi néfaste que celui d’une attaque conventionnelle ».
En outre, il est important de mentionner que la majorité des experts estiment que l’intention est inopérante dans l’appréciation d’une attaque armée : seuls sa dimension et ses effets doivent être examinés. Si un acte de cyberespionnage produit des dommages non intentionnels, la victime peut quand même se prévaloir d’un droit de légitime défense si l’acte atteint le niveau d’une agression armée. Il en est de même si les effets de l’acte débordent sur un État tiers.
Il faut bien préciser que cette discussion reste théorique, le groupe d’experts n’ayant pu invoquer de précédents en la matière. En effet, le manuel reconnaît qu’ « aucun incident (…) n’a été de façon claire et publique caractérisé par la communauté internationale comme ayant atteint le seuil d’une agression armée » (p. 56), confirmant les conclusions de Thomas Rid. Ni les cyber opérations contre l’Estonie en 2007, ni le logiciel Stuxnet visant le programme nucléaire iranien n’atteignent le seuil requis (même si dans ce dernier cas, certains experts ne sont pas d’accord).
Pour terminer sur le critère de l’agression armée, il est important de mentionner que les experts du manuel de Tallinn valident l’hypothèse de la légitime défense préemptive (ou « anticipative ») pour faire face à une menace imminente à la règle n°15 (p. 60). Ils se réfèrent explicitement à l’affaire du Caroline remontant à 1837 qui aurait initié la coutume selon laquelle la légitime défense est autorisée « si la nécessité est immédiate, impérieuse, et ne laisse ni choix des moyens ni délais pour délibérer ». En l’espèce, il s’agirait d’appliquer le standard de la « dernière fenêtre d’opportunité » par lequel un État peut agir en légitime défense lorsque l’attaquant est clairement engagé dans une attaque et que l’État victime perdra l’occasion d’y répondre s’il n’agit pas maintenant. Cette fenêtre peut se présenter immédiatement avant l’attaque ; mais dans certains cas, elle peut se présenter bien avant. La proximité temporelle entre l’action en légitime défense préemptive et l’attaque imminente importe moins que le moment où l’État doit impérativement agir sous peine de se retrouver dans l’incapacité de se défendre lorsque l’attaque démarrera. Il convient de reproduire ici l’exemple cité par le manuel. Soit un État A dont les services de renseignements apprennent que l’État B prépare une cyberattaque destinée à détruire le principal oléoduc de l’État A dans les deux prochaines semaines. L’attaque cible les microcontrôleurs au côté de l’oléoduc afin d’augmenter la pression et provoquer une série d’explosions. Les services de renseignements ne connaissent pas la vulnérabilité spécifique exploitée, empêchant alors une cyberdéfense effective des microcontrôleurs. Par contre, ils disposent de la localisation et du moment précis de l’attaque. Le panel d’experts estime ici que l’État A est en situation de légitime défense pour mettre fin à la menace imminente d’une attaque contre son oléoduc.
Mais tout est affaire de circonstance. Dans l’examen de ce type de cas, il convient de distinguer entre les actes préparatoires et la phase initiale d’une attaque. Seule celle-ci compte pour fonder une action en légitime défense. Le fait de se doter de la capacité de lancer une attaque armée dans le futur ne compte pas. A ce titre, le manuel rejette l’hypothèse de la légitime défense préventive contre un attaquant hypothétique qui ne dispose pas des moyens ou qui n’a pas manifesté son intention d’opérer une attaque armée. Dans cette situation, il existe d’ailleurs d’autres moyens de prévenir la menace (par exemple des contre-mesures qui ne s’apparentent pas un usage de la force).
L’action en légitime défense doit aussi obéir à un critère d’immédiateté (qui n’est pas celui de l’imminence évoqué plus haut) qui lui permet de se distinguer des représailles. On se réfère ici à la période suivant l’exécution de l’attaque armée durant laquelle l’État victime peut répondre en légitime défense. Des facteurs tels que la proximité temporelle entre l’attaque et la réponse, la période nécessaire pour identifier l’attaquant et le temps requis pour répondre sont pris en compte.

  • L’attribution

En droit international, l’attaque armée doit être attribuable à un État, plus précisément à un ou plusieurs de ses organes. Cet État peut également agir par l’intermédiaire d’un groupe armé non étatique à condition qu’il exerce sur celui-ci un contrôle effectif sur l’opération relative à l’attaque armée (Affaire des activités militaires et paramilitaires au Nicaragua §115), ou que ce groupe soit « sous la « totale dépendance de l’État dont il n’est, en somme, qu’un simple instrument » (Affaire relative à l’application de la Convention pour la prévention et la répression du crime de génocide §392). Autrement dit, si un groupe d’individus agissant sous la « direction » d’un État A opère une cyberopération atteignant le seuil d’une attaque armée contre un État B, l’État A est considéré comme étant l’auteur de l’attaque ; l’État B pourra agir en légitime défense contre lui. Cette conclusion vaut également au cas où c’est un seul individu qui aurait agi sous la direction de l’État A.
Plus novateur (et controversé), la majorité du groupe d’experts admet la possibilité d’une légitime défense contre un acteur non-étatique (auteur d’une agression armée non imputable à un État) en raison de la pratique des États (p. 57). Il convient de rappeler que cette position va à l’encontre de la jurisprudence de la Cour Internationale de Justice. Les membres du groupe d’experts en sont conscients ; ils reconnaissent d’ailleurs les difficultés de cette position relatives au degré d’organisation du groupe et aux limites géographiques considérées (étant donné que dans ce cas elles ne sont pas circonscrites au territoire d’un État). Il est dommage que le manuel ne donne pas plus d’explications sur ce point. Toutefois, il donne plus loin un « cadre » en cas de cyberattaque dont l’origine est localisée à l’intérieur d’un État sans pour autant lui être attribuée (et donc imputée à une entité non étatique). Sur ce point, le groupe d’experts est partagé (pp. 58-59). La majorité considère que la légitime défense est possible si l’État n’a ni la volonté ni la capacité de mettre fin à l’attaque. On reconnait ici l’argument invoqué par les États-Unis dans le cadre de leurs frappes létales conduites contre des terroristes situés en-dehors d’une zone d’hostilité active. Dans cette hypothèse, le respect du principe de souveraineté implique de demander à l’État hôte de mettre fin aux activités du groupe responsable de l’agression armée, et lui laisser la possibilité de le faire. Néanmoins, si une action immédiate est requise, l’État peut agir en légitime défense sans attendre. Pour une minorité d’experts, l’action en légitime défense sur le territoire de l’État hôte n’est pas admise si l’attaque n’est pas attribuable.
S’agissant de l’objet de l’attaque, celui-ci doit être une (ou des) personne(s) ou une (ou des) propriété(s) située(s) à l’intérieur du territoire de l’État victime. Par contre, l’admission de la légitime défense en cas d’attaque à l’extérieur de l’État victime est plus incertaine. Dans ce cas, le manuel recommande l’application d’un certain nombre de critères comme :

  1. le caractère public ou privé de l’objet
  2. l’étendue des dommages causés par l’opération
  3. le statut de l’individu ciblé
  4. la nature des motifs invoqués…

Ainsi, tuer un chef d’État en déplacement à l’étranger par le biais d’une cyberattaque serait valable.

  • Nécessité et proportionnalité de la légitime défense

Enfin, l’action en légitime défense doit obéir aux critères de nécessité et de proportionnalité (règle 14 du manuel, p. 59). Le premier requiert que l’emploi de la force soit nécessaire pour prévenir une attaque imminente ou mettre fin à une opération en cours. Si le même résultat peut être obtenu avec des mesures (cyber ou pas comme la diplomatie) moins « violentes », celles plus « violentes » (comme les opérations cinétiques) ne sont pas nécessaires et inversement. L’évaluation de la nécessité faite par l’État victime doit être raisonnable selon les circonstances du moment. Par ailleurs, l’action en légitime défense doit être proportionnelle, ce qui pose la question de la « quantité » de force admise une fois que celle-ci a été jugée nécessaire. Ce critère limite la dimension, l’étendue, la durée et l’intensité de la réponse défensive nécessaire pour mettre fin à la situation qui a déclenché la légitime défense. De plus, la force défensive peut ne pas être de même nature que l’attaque initiale c’est-à-dire que la force cinétique peut être utilisée pour répondre à une cyberopération (et inversement). Autrement dit, la force militaire (frappes aériennes…) peut être employée, à l’instar de ce que préconise la doctrine américaine en la matière et peut-être désormais l’OTAN.