La France contribue activement à la définition d’un droit international dans le cyberespace. L’appel de Paris du 12 novembre 2018 pour la confiance et la sécurité dans le cyberespace et la publication en octobre 2019 par le ministère des Armées d’un texte « droit international appliqué aux opérations dans le cyberespace » témoignent de cette activité. Le terme « cyberopération » a une portée très large, il regroupe les actions de lutte informatique défensive (LID), de lutte informatique offensive (LIO) et de cyber renseignement. La définition d’un cadre international a des conséquences pour la sphère publique mais aussi pour de nombreux groupes privés avec de forts enjeux économiques et légaux. Par exemple, le contentieux entre Mondelez et son assureur dans le cas d’une attaque de type ransomware se focalise sur une clause d’exclusion liée à acte de guerre.

Des enjeux internationaux divergents

L’échec du dernier cycle de négociations du Groupe des experts gouvernementaux (2017) met en lumière les divergences de perception entre les États dans le domaine du droit international dans le cyberespace. Au-delà du cadre international classique (charte des Nations unies, droit international humanitaire et droit international coutumier), l’application du droit international au cyberespace est fortement influencée par l’ouvrage très détaillé et complet « Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations ». Ce livre est corédigé par un groupe d’experts internationaux sous la houlette de l’OTAN et du CCDCOE (Cooperative Cyber Defence Centre of Excellence). Cette initiative montre aussi la tendance à renforcer la régulation et le cadre légal mis en place par ailleurs par l’Europe (règlement européen pour la protection des données, directive NIS, règlement Cyberact par exemple).

Le texte français met en avant un certain nombre de points importants dans la première partie consacrée aux cyberopérations conduites en temps de paix contre la France. Un résumé de ces points figure ci-après. Le texte français complet est disponible en ligne.

• Une cyberopération n’est pas illicite en soi, mais peut le devenir dès lors qu’elle ou les effets produits entraînent des violations du droit international.
• Certaines cyberopérations peuvent constituer un recours à la force armée.
• En cas de cyberattaque visant ses systèmes d’information, les services de l’Etat peuvent conduire des cyberopérations.
• Une cyberattaque peut constituer une agression armée (au sens de l’article 51 de la Charte des Nations unies), dès lors que ses effets et son ampleur atteignent une certaine gravité (pertes humaines substantielles, ou dommages physiques ou économiques considérables).
• Pour être qualifiée d’agression armée, la cyberattaque doit avoir été perpétrée, directement ou indirectement, par un État.
• L’approche de la légitime défense qui autoriserait un État victime d’une cyberattaque de grande ampleur perpétrée depuis le territoire d’un État tiers par des acteurs non-étatiques à faire usage de la légitime défense à l’encontre de cet État n’est pas retenue par la France. C’est un point de divergence important avec l’approche des experts du manuel TALLINN.
• L’attribution publique d’une cyberattaque relève d’une décision politique nationale.

La deuxième partie du texte se focalise sur le droit international applicable aux cyberopérations pendant les conflits armés.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :