Le Manuel de Tallinn :

O. Kempf

Le Manuel de Tallinn

• 2009-2012
• Applicabilité du droit international à la guerre cybernétique

Les acteurs : Le projet de Manuel de Tallinn sur l’applicabilité du droit international à la guerre cybernétique a été initié par le Centre de cyberdéfense de l’OTAN qui se situe en Estonie. Il a été dirigé pendant trois ans, par le Professeur Michael Schmitt de l’US Naval War College, célèbre notamment pour un article rédigé sur le sujet. Une vingtaine d’experts indépendants (professeurs de droit, militaires, techniciens informatiques) principalement anglo-saxon, ont travaillé sur l’application concrète du droit international aux conflits cyber. Le Comité International de la Croix Rouge (CICR), l’Allied Command Transformation (ACT) et l’US Cyber command y ont également participé.

Le Sujet : Le projet de Manuel se compose de deux parties, la première concerne la sécurité du cyberespace en droit international (la codification du recours à la force entre États). Est-ce que l’opération cyber est comparable à un emploi de la force au regard de la Charte des Nations unies ? Est-ce que cette opération peut être qualifiée d’agression armée permettant à l’État victime de recourir à la légitime défense ? La seconde partie traite du droit international des conflits cybernétiques (c'est-à-dire le droit applicable pendant la conduite des hostilités dans le cyber). Cette opération cyber est-elle un conflit armé international ou non international ? Comment applique-t-on le principe de distinction entre civils et combattants ou entre objet civil et objectif militaire ? Qu’est-ce qu’une attaque cybernétique ?

Les objectifs : l’objectif principal du Manuel est d’interpréter les normes de droit international aux conflits cyber. Dans certains cas, il s’agit de la retranscription quasi-identique de la règle de droit au contexte cyber, parfois elle suppose une interprétation plus fine et donc une extension de la norme traditionnelle. Il existe à mon sens, deux autres objectifs non avoués : celui d’une part, de permettre une meilleure communication entre les experts juristes et les techniciens cyber et d’autre part, de jauger la capacité des États à rechercher un consensus dans le domaine.

Pari gagné ! Les experts ont réussi à se mettre d’accord sur 95 règles de droit, assorties de commentaires détaillés. Le lecteur aura donc la possibilité d’approfondir les notions juridiques complexes par la lecture des commentaires, permettant aussi de connaître les avis divergents, les analyses proposées, ou les sources employées. Ce manuel représente donc une réflexion avant-gardiste, tout à fait innovante et de grande qualité tant par la finesse des interprétations proposées que par le format adopté.

Les nouveautés : Les experts ont trouvé un consensus sur :

• - la qualification d’emploi de la force. L’opération cyber constitue un emploi de la force lorsque son niveau (degré/seuil d’intensité) et ses effets sont comparables à une opération traditionnelle (non cyber) qui aurait atteint le niveau de l'emploi de la force. L’analyse est ainsi interprétative et se fonde sur un faisceau d’indices tels que l’immédiateté, la sévérité des dommages, le degré d’invasion dans le système, l’implication de l’État, etc. C’est l’ensemble de ces critères (cumulatifs, mais la liste est non exhaustive) qui permettra d’évaluer si l’attaque cyber est comparable à un emploi de la force traditionnel.
• - la qualification d’agression armée. L’opération cyber constitue une agression armée lorsque l’emploi de la force atteint un seuil élevé en termes de degré, de niveau d'intensité et selon les effets engendrés : pertes en vies humaines, blessures aux personnes ou des dommages aux biens.
• - l’attaque cyber est une opération cybernétique, offensive ou défensive dont on peut raisonnablement attendre qu’elle cause des pertes en vies humaines, des blessures aux personnes, des dommages ou des destructions de biens.

En revanche il n’y a pas eu de consensus sur :

• - l’évaluation du seuil de l’agression armée. Les experts ont évoqué le « seuil élevé », mais ne l’ont pas quantifié. Ceci laisse donc une marge assez grande d’interprétation pour les États selon les circonstances.
• - la notion de légitime défense. Deux visions se sont opposées de la légitime défense préemptive (critère d’imminence et de certitude de l’attaque), celle privilégiant le critère de temporalité (riposte en première phase de l’attaque), l’autre proposée par les Américains de « last window of opportunity », privilégiant trois critères : l’analyse de l’irréversibilité de l’attaque, la nature de l’adversaire et ses capacités.
• - les notions de groupes armés organisés et de participation directe aux hostilités. Une attaque cyber peut être menée contre : les membres des forces armées, les membres de groupes armés organisés, les individus participant directement aux hostilités, et les participants à une levée en masse. Concernant le membre d’un groupe armé, certains considèrent qu’une fois le lien établi, l’individu peut être ciblé (vision opérationnelle), d’autres considèrent qu’il faut une fonction de combat continu pour permettre le ciblage.

Pour les individus participant directement aux hostilités, trois critères proposés par le CICR ont été validés :

• - L’acte ou la série d’actes doit avoir pour effets d’affecter négativement les capacités militaires de l’adversaire, infliger la mort, des violences physiques ou la destruction de matériels ou tous biens protégés ;
• - Un lien direct doit exister entre l’acte en question et les effets de celui-ci.
• - L’acte doit avoir un lien direct avec les hostilités. Mais aucun consensus n’a été trouvé lors d’une participation directe aux hostilités répétées.
• - la distinction entre objets civils et objectifs militaires dans le contexte cyber. L’objectif militaire s’analyse au regard de quatre critères :
  • sa nature (par essence militaire, exemple : infrastructure cyber militaire)
  • sa localisation (zone permettant de contribuer à l’action militaire),
  • son emploi à des fins militaires (on évaluera le degré de participation, les limites et l’importance de l’acquisition)
  • et l’objectif visé (si objet civil utilisé comme moyen militaire de manière discontinue il recouvre son statut civil).

On évaluera la contribution effective à l’action militaire et le critère de sévérité de l’acte commis et non sa nature. Est-ce qu’une base de données est un objectif militaire ? Les réseaux sociaux peuvent-ils être des objectifs militaires ? Il n’y a pas eu de consensus, ce sera encore une fois une question d’interprétation.

Et la France dans tout ça ? Aucun français n’a eut l’opportunité de participer à ces travaux. C’est tout à fait regrettable étant donné que ce Manuel représente un travail de qualité et prospectif mettant à l’honneur les experts qui y ont contribué et les nations qui les soutiennent. Celles-ci ont donc pu tester leurs positions, les partager et intégrer les analyses nouvelles dans leurs différents corpus. Étant donné que le domaine cyber est en pleine expansion, la participation française future aux travaux du CCD CoE ne saurait tarder.

En parallèle, la coordination en interne et la valorisation de la recherche dans ce domaine encore limité doit s’accélérer. Il est grand temps qu’une position juridique cyber française émerge pour éviter, dans le futur, de se voir imposer des vues non partagées notamment concernant la légitime défense, la notion de participation directe aux hostilités ou plus généralement les questions de qualification des attaques cyber.

Le nombre de chercheurs, professionnels, militaires actifs sur ce thème ne cesse d’augmenter, et la mise en place de divers groupes de travail au sein des ministères, mais également par l’intermédiaire de la chaire de cyberdéfense des écoles de Saint-Cyr Coëtquidan-Sogeti-Thalès démontrent l’intérêt que représente, en France, ce nouveau champ de conflictualité.

Soyons présents au rendez-vous.

Le projet de Manuel est consultable en ligne sur le site du CCD CoE :

Sa publication officielle, en version papier aura lieu en début d’année prochaine à la Cambridge University Press.

Oriane Barat-Ginies, juriste, doctorante en droit international.