Les cyberattaques contre les hôpitaux et les laboratoires d’analyse en France ont récemment fait la une de l’actualité. Malgré une récente recrudescence dans l’Hexagone, ce risque n’est pas nouveau, encore moins dans les conflits armés. Plus de 100 pays développent actuellement leurs cyber-capacités militaires. Pour mieux comprendre les enjeux de ces menaces, interview de Tilman Rodenhäuser, expert en guerre informatique et en droit international humanitaire

Nous avons demandé à Tilman Rodenhäuser d’expliquer les enjeux des discussions intergouvernementales – autour des menaces existantes et potentielles dans le cyberespace – qui se tiennent actuellement. En quoi l’application du DIH (aussi appelé « droit de la guerre » ou « droit des conflits armés ») aux cyberopérations militaires pourrait contribuer à déjouer les menaces considérables que celles-ci présentent pour les civils ? Pourquoi les questions cybernétiques concernent tous les États ?

Pourquoi les cyberopérations militaires soulèvent-elles des inquiétudes sur le plan humanitaire ?

Partout à travers le monde, les cyberattaques et leurs conséquences constituent un sujet de préoccupation prioritaire. En tant qu’organisation humanitaire, nous nous inquiétons de ce que les cyberopérations militaires deviennent partie intégrante des conflits armés d’aujourd’hui et perturbent le fonctionnement d’infrastructures essentielles et de services indispensables aux populations civiles.

Ainsi, les systèmes de soins de santé sont de plus en plus numériques et électroniques, mais bénéficient rarement d’une protection, et sont donc particulièrement vulnérables face à des cyberattaques. Lors de conflits armés, les infrastructures hydriques et énergétiques, ainsi que les hôpitaux, sont trop souvent endommagés par des bombardements, et les services ne fonctionnent que partiellement, voire pas du tout ; imaginez qu’un incident cybernétique de grande ampleur vienne exacerber une telle situation ! Il pourrait avoir des conséquences dévastatrices. Les civils touchés par des conflits et la violence éprouvent déjà suffisamment de difficultés pour ne pas voir leur peine aggravée.

Par ailleurs, de plus en plus de programmes humanitaires reposent sur de nouvelles technologies numériques, par exemple en recueillant et en exploitant des informations pour guider et ajuster des interventions, ou en facilitant une communication bidirectionnelle entre le personnel humanitaire et les civils touchés par des conflits ou violences. Or, cette évolution nous expose nous aussi à des cyberopérations qui pourrait avoir un impact sur notre capacité à protéger et à apporter une aide en cas d’urgence humanitaire.

Nous constatons en outre un risque croissant de préjudices intentionnels et non-intentionnels à l’encontre des populations touchées, notamment du fait de l’utilisation (abusive) de données par des parties belligérantes et/ou de la propagation de fausses informations, de désinformation et de discours haineux.
Bien que seuls quelques États aient publiquement reconnu s’être servis de moyens cybernétiques en appui de leurs opérations militaires, on estime que plus de 100 États ont développé, ou sont en train de développer, des cybercapacités militaires. Heureusement, les cyberopérations menées durant un conflit armé ne constituent pas une zone de non-droit : elles sont en effet régies par le droit international humanitaire.

Nous entendons presque quotidiennement parler de « cyberattaques ». Dans quels cas le DIH s’applique-t-il à de telles opérations ?

En effet, d’innombrables cyberopérations se produisent chaque jour, allant d’actes de cybercriminalité à des activités de cyberespionnage, en passant par ce que beaucoup appellent des « opérations commanditées par des États ». Dans la plupart des cas, le DIH n’est pas applicable. Il n’est valable que dans le cadre de cyberopérations menées dans le contexte d’un conflit armé.

À dire vrai, la question de savoir si le DIH s’applique aux cyberopérations est un sujet de désaccord dans les processus mis sur pied par l’ONU pour discuter de questions cybernétiques. Elle est toutefois bien moins controversée pour les praticiens, dont presque aucun ne conteste le caractère applicable du DIH à l’égard des cyberopérations menées durant un conflit armé. Le contraire aboutirait à une situation absurde dans laquelle le DIH interdirait d’attaquer un hôpital au moyen de missiles, mais ne protègerait pas les ordinateurs, les appareils médicaux et les réseaux du même hôpital contre la menace d’une cyberattaque.

Nous estimons que la loi est claire à ce sujet : le DIH limite les cyberopérations pendant les conflits armés, de même qu’il limite l’emploi de tout autre type d’arme, de moyen et de méthode de guerre dans un conflit armé, qu’il soit nouveau ou ancien. C’est aussi l’avis de la Cour internationale de Justice.

La question de savoir si une cyberopération peut à elle seule déclencher l’application du DIH est quant à elle plus complexe. S’agissant des conflits armés internationaux, le consensus est « qu’un conflit armé existe chaque fois qu’il y a recours à la force armée entre États ». Mais quand ce stade est-il atteint dans des situations impliquant des cyberopérations qui ne détruisent ou n’endommagent pas physiquement des infrastructures militaires ou civiles ? Ce point reste à clarifier.

La « cyberguerre » ne concerne-t-elle pas seulement les pays avancés sur le plan technologique ?

Cela n’est pas et ne devrait pas être le cas. Le cyberespace est par nature hautement interconnecté. Les attaques menées à l’encontre d’un État dans le cyberespace peuvent donc, de façon délibérée ou accidentelle, en toucher de nombreux autres, où qu’ils soient situés.

Nous avons été témoins de ce phénomène ces dernières années, à chaque fois que des logiciels malveillants se sont propagés rapidement sans épargner presque aucun pays, en mettant à l’arrêt des services gouvernementaux, en paralysant de grandes entreprises, en mettant hors d’action des centres logistiques, et en coûtant des milliards en pertes et corrections. En temps de conflit armé, le respect du DIH peut permettre d’éviter que des cyberopérations militaires produisent les mêmes effets en frappant sans discrimination et de façon généralisée – ou tout du moins limiter ces effets.

Il est donc dans l’intérêt de tous les États, indépendamment de leur degré d’avancement technologique, de leurs cybercapacités militaires ou de leur participation à des conflits armés, de réglementer les cyberopérations menées durant un conflit armé.

Le DIH existant est-il adapté et suffisant pour être valable dans le cyberespace, ou une nouvelle convention est-elle nécessaire ?

Comme souligné par la Cour internationale de Justice, l’une des grandes forces du DIH est qu’il s’applique « à toutes les formes de guerre et à toutes les armes », y inclus « celles […] de l’avenir ».

Les règles fondamentales du DIH sont claires : il est interdit de cibler des civils ou des biens de caractère civil ; on ne doit pas employer des armes ou mener des attaques de nature à frapper sans discrimination ; les attaques disproportionnées sont interdites ; les services médicaux doivent être respectés et protégés.

Toute opération militaire, qu’elle soit cinétique ou cybernétique, demeure régie par les mêmes règles et principes, notamment les principes d’humanité, de nécessité militaire, de distinction, de proportionnalité et de précaution. Ceux-ci doivent impérativement être respectés.

Néanmoins, les États et d’autres experts continuent de débattre vivement de questions qui restent donc à clarifier. Ainsi, la question de savoir si les données civiles (qui sont propres au cyberespace) bénéficient de la même protection que les biens de caractère civil, divise. Ce type de désaccord relatif à des interprétations juridiques a toujours existé, sans pour autant remettre en cause le caractère applicable du droit en tant que tel.

La décision relative à une éventuelle nécessité d’adopter une nouvelle convention portant sur le cyberespace touche non seulement les cyberopérations menées durant des conflits armés, mais aussi un vaste ensemble de questions de droit international.

Nous considérons que toute nouvelle règle qui serait conçue pour régir les cyberopérations menées pendant un conflit armé doit se fonder sur le cadre juridique existant, y compris le DIH, et le renforcer. En attendant que de nouvelles règles soient éventuellement élaborées, toute cyberopération menée pendant un conflit armé doit impérativement respecter les règles de DIH existantes.

Le DIH légitime-t-il la militarisation du cyberespace ou la cyberguerre ?

Non. Affirmer l’applicabilité du DIH aux cyberopérations menées pendant des conflits armés ne légitime en rien la cyberguerre, de même que le DIH ne légitime aucune autre forme de guerre.

D’ailleurs, si la crainte d’une possible légitimation de la guerre a maintes fois été soulevée dans le cadre de discussions intergouvernementales, les États l’ont dissipée en 1977 en énonçant, dans le Préambule du Protocole additionnel I aux Conventions de Genève de 1949, que le DIH « ne peut être [interprété] comme légitimant ou autorisant tout acte d’agression ou tout autre emploi de la force incompatible avec la Charte des Nations Unies ».

Le DIH et la Charte des Nations Unies sont des outils distincts, mais complémentaires. Concrètement, la Charte des Nations Unies interdit l’emploi de la force, sauf dans le cadre de la légitime défense ou lorsqu’un tel emploi est autorisé par le Conseil de sécurité. Elle exige en outre que les différends internationaux soient réglés par des moyens pacifiques. Si malgré tout un conflit armé éclate, le DIH est applicable et vise à protéger les biens de caractère civil et les personnes qui ne participent pas aux hostilités (civils) ou n’y participent plus (par exemple, les soldats blessés ou les personnes détenues).

Le DIH ne remplace pas la Charte des Nations Unies et ne fait pas un trait dessus ; il fournit plutôt une protection supplémentaire à toutes les victimes de la guerre dans le cas où un conflit vient malheureusement à éclater.