« La guerre est ce rapport de forces, cet affrontement violent sans doute et meurtrier, mais il est de bout en bout question de droit. La guerre n’est pas assimilable purement à un rapport de forces, à un déchaînement de violences. Ou plutôt, elle est force et violence mais traversées par le droit » ⁽¹⁾. Cela signifie-t-il que sans violence, le droit n’a plus d’objet auquel s’appliquer ?

Peut-on d’ailleurs parler de guerre sans violence ? C’est la question que pose l’introduction de la guerre dans le cyberespace. Elle se traduisait hier par des morts et des destructions physiques causés par des moyens cinétiques là où aujourd’hui des moyens non cinétiques permettent de neutraliser une cible sans la « toucher ». Cette nouveauté ne manque pas d’affecter un droit qui reste associé à un certain type de guerre, celle dans laquelle des violences sont exercées. C’est à cette aune que les attaques informatiques (définies comme « l’opération visant à perturber, interdire, dégrader ou détruire des informations résidant dans les ordinateurs et les réseaux informatiques, ou les ordinateurs et les réseaux eux-mêmes ») seront appréciées, que ce soit dans le cadre du jus ad bellum ou dans celui du jus in bello ⁽²⁾.

Le paradigme de la violence dans l’application du jus ad bellum :
quelle « force » et quelle « légitime défense » ?

La notion de « force » prohibée par l’article 2 § 4 de la Charte des Nations unies dans les relations internationales a long temps fait l’objet de multiples interprétations, le plus souvent déterminées par l’intérêt géopolitique des pays ⁽³⁾. Néanmoins, il y a un consensus sur la prohibition de la force comme violence armée. Celle-ci se définit, non pas en fonction de son caractère cinétique mais de ses effets, c’est-à-dire des dommages produits sur les biens et les humains ⁽⁴⁾. Ainsi, une attaque informatique ayant pour objet spécifique de causer des dommages peut raisonnablement être assimilée à un usage de la force armée interdit par la Charte. Tout comme les armes chimiques ou bactériologiques et les bombes à neutrons, l’arme informatique est susceptible de causer des violences en dépit de l’absence d’énergie cinétique.

Qu’en est-il justement des cyberattaques qui ne causent pas de dommages physiques ou, du moins, pas directement par rapport aux dispositions de la Charte ? En l’absence de précédents, Michael Schmitt, président du Département de droit international au Naval War College, a proposé six critères afin de délimiter les contours de la « force » prohibée : la sévérité (l’attaque doit provoquer des dommages physiques), l’immédiateté (les conséquences négatives de l’acte surviennent immédiatement), le caractère direct (les conséquences résultent directement de l’intention), le caractère invasif (défini par rapport à l’intrusion opérée sur l’État ciblé, plus à même d’entraîner une instabilité internationale), sa mesurabilité et sa légitimité présumée (qui présupposent que les formes de coercition plus « douces » sont plus légitimes que celles qui emploient la violence) ⁽⁵⁾. Là encore, la violence reste le paradigme de référence dans l’application du droit. Ainsi, une attaque informatique portée contre le système de contrôle du trafic aérien conduisant au crash d’un avion atteindrait le niveau de « force » exigé par l’article 2 § 4 de la Charte, au contraire de l’attaque informatique menée contre un centre de recherche militaire afin de pirater son réseau.

Une fois l’agression armée caractérisée, celle-ci devrait, en principe, ouvrir un « droit naturel de légitime défense », selon les termes de l’article 51 de la Charte. Deux conditions sont à remplir : la riposte doit être nécessaire et proportionnelle ⁽⁶⁾. La nécessité consiste en ce que l’État agressé ne doit pas disposer d’autres moyens que l’action armée pour mettre fin à l’agression ⁽⁷⁾. Pour que cet objectif soit atteint, la mesure doit être efficace : une mesure dénuée d’efficacité ne peut être considérée comme « nécessaire » en droit international. L’efficacité commande également la proportionnalité. Une mesure disproportionnée va au-delà de ce que requiert son but, c’est-à-dire qu’elle n’est pas nécessaire à la poursuite de ce même but ⁽⁸⁾. En l’espèce, les incertitudes entourant la notion de cyberattaque devraient inviter les États à la prudence. N’étant pas une agression armée au sens propre, ses effets étant plus ou moins indirects, il paraît difficile d’envisager une riposte armée de prime abord. En théorie, un État victime d’une cyberattaque devrait adopter une réponse similaire.

Or, si on se réfère à l’un des rares cas de cyberstratégie rendu public, celui des États-Unis, ceux-ci semblent envisager toutes les options disponibles. Ainsi, le 16 mai 2011, dans un document intitulé « International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World », ils exposent leur stratégie en matière de cybersécurité. Le document est explicite sur leur volonté de répondre à toute menace à leur Nation et à leurs intérêts ⁽⁹⁾. Ainsi, tout acte malveillant contre une infrastructure vitale ou un système d’information critique basé sur le sol américain peut être considéré comme un acte de guerre par le gouvernement fédéral qui se réserve le droit de recourir à toute forme de représailles, y compris par des moyens conventionnels ⁽¹⁰⁾.

Le paradigme de la violence dans l’application du droit international humanitaire :
la problématique de la neutralisation et les risques d’instrumentalisation

Une fois le conflit caractérisé, la conduite des hostilités est régulée par le droit international humanitaire qui opère la difficile conciliation entre l’impératif humanitaire et la nécessité militaire. Ce droit s’applique aux « opérations militaires au cours desquelles on recourt à la violence » ⁽¹¹⁾. Celle-ci recouvre les moyens cinétiques provoquant des dommages physiques tels que tirer avec une arme à feu, lancer une grenade ou larguer des bombes depuis un aéronef ⁽¹²⁾. Elle exclut « les campagnes idéologiques, politiques ou religieuses ⁽¹³⁾ ». Dès lors, l’attaque informatique, objet du jus in bello, doit aussi s’apprécier en fonction de ses conséquences violentes.

Mais ce paradigme rencontre très vite ses limites face à la singularité d’un cyberespace dans lequel une attaque informatique pourrait causer des dommages immatériels très importants. Les cyberattaques lancées contre les institutions géorgiennes au moment du conflit russo-géorgien d’août 2008 n’ont tué personne mais ont bloqué des sites institutionnels, provoqué la fermeture de banques et empêcher le gouvernement d’informer la population ⁽¹⁴⁾. Le droit international humanitaire en tient compte. Selon l’article 52.2 du Protocole additionnel I, « les objectifs militaires sont limités aux biens qui, par leur nature, leur emplacement, leur destination ou leur utilisation apportent une contribution effective à l’action militaire et dont la destruction totale ou partielle, la capture ou la neutralisation offrent en l’occurrence un avantage militaire précis ». La référence à la neutralisation indique que la « violence » n’est pas nécessaire contre un objectif militaire : sa définition ne dépend pas de la méthode de guerre employée ⁽¹⁵⁾. Le simple fait de viser un objectif militaire pourrait donc constituer une attaque au sens du droit international humanitaire. Cependant, cette conception se révèle trop extensive. Il y a un risque qu’elle comprenne toute attaque contre un service dont les conséquences n’iraient pas plus loin qu’une simple perturbation telle que l’interruption de la diffusion TV ou l’impossibilité d’accéder au site d’une université ⁽¹⁶⁾.

Or, la possibilité d’attaquer un objet sans causer de destruction va dans le sens de l’impératif d’humanité exigé par le droit international humanitaire, notamment par le principe de précaution. Les belligérants doivent « prendre toutes les précautions pratiquement possibles quant au choix des moyens et méthodes d’attaque en vue d’éviter et, en tout cas, de réduire au minimum les pertes en vies humaines, les blessures dans la population civile et les dommages aux biens de caractère civil qui pourraient être causés incidemment » ⁽¹⁷⁾. Si le belligérant a le choix entre neutraliser un objectif via une cyberattaque ou le détruire avec une arme cinétique, le principe de précaution lui enjoint d’opter pour le premier moyen.

En outre, dans le cadre du principe de proportionnalité, les belligérants doivent « s’abstenir de lancer une attaque dont on peut attendre une combinaison de pertes et de dommages qui serait excessive par rapport à l’avantage militaire concret et direct attendu » ⁽¹⁸⁾. Les attaques informatiques permettent de surmonter ce problème puisqu’en l’absence de dom mages, on peut, a priori, légitimer toute attaque.

Dès lors, la liste des objectifs peut être augmentée à loisir et inclure des objets civils puisque les conséquences sur la population et les biens civils sont nulles. Par exemple, si le Protocole additionnel I interdit l’attaque d’« installations contenant des forces dangereuses, à savoir les barrages, les digues et les centrales nucléaires de production, d’énergie électrique (…), même s’ils constituent des objectifs militaires, lorsque de telles attaques peuvent provoquer la libération de ces forces et, en conséquence, causer des pertes sévères dans la population civile », il ne serait pas illégal de perturber le système de contrôle électronique d’un barrage de manière temporaire si cela ne provoque pas « la libération de forces » dangereuses pour la population civile ⁽¹⁹⁾. Se pose ici la question récurrente de l’instrumentalisation des nouvelles technologies : si l’arme est inoffensive, on est tenté de l’utiliser plus souvent. De plus, ces cyberattaques permettraient de frapper plus directement la volonté de l’adversaire par le biais d’atteinte d’objectifs vitaux permettant ainsi de raccourcir le conflit. En somme, impératif humanitaire et nécessité militaire se rencontreraient afin de réaliser la guerre « zéro mort ».

Cette perspective n’est pas celle du Comité international de la Croix-Rouge, pour qui, la définition de l’objectif militaire ne dépend pas de la méthode de guerre employée. L’objectif militaire reste celui qui doit procurer un avantage militaire, peu importe que cela soit par sa destruction, sa capture ou sa neutralisation ⁽²⁰⁾.

* * *

En définitive, il semble que l’avènement de la cyberguerre constitue une rupture avec la manière dont la guerre a pu être menée jusqu’à présent, une guerre fondée sur la violence physique. Un tel combat virtuel évitant les morts et les destructions devrait être accueilli favorablement. Or, il semble plutôt susciter l’inquiétude et la perplexité comme en atteste le refus des États-Unis, souvent pionniers dans l’emploi des nouvelles technologies, de procéder à des cyberattaques dans le dernier conflit libyen ⁽²¹⁾.

Un manuel d’expert sur le modèle de celui sur la guerre aérienne ⁽²²⁾ serait un premier pas pour répondre à ces incertitudes. ♦

(1) Frédéric Gros, États de violence. Essai sur la fin de la guerre, Gallimard, 2006, p. 159.
(2) Joint Chiefs of Staff, Joint Pub. 3-13, Joint doctrine for information operations ; 9 octobre 1998, GL-5 (www.c4i.org/). Nous emploierons alternativement les termes « attaque informatique » et « cyberattaque ».
(3) Mathew C. Waxman, ‘‘Cyber attacks as ‘force’ under UN Charter article 2.(4)’’ in International law studies, vol. 87, éd. Raul A. « Pete » Pedroz et Daria P. Wollschlaeger, 2011, p. 43-58.
(4) Michael Schmitt, ‘‘Computer network attack and the use of force in international law: thoughts on a normative framework’’ in Columbia Journal of Transnational Law, vol. 37, 1998-1999, p. 3-41, p. 17.
(5) Michael Schmitt, ‘‘Computer network attack and the use of force in international law: thoughts on a normative framework’’, op. cit., p. 18-19.
(6) Cour internationale de Justice : Licéité de la menace et de l’emploi de l’arme nucléaire ; avis consultatif du 8 juillet 1996 ; Recueil 1996, p. 226-267, p. 245.
(7) Olivier Corten : Le droit contre la guerre. L’interdiction du recours à la force en droit international contemporain ; éd. A. Pedone, 2008, p. 719.
(8) Olivier Corten, op. cit., p. 729.
(9) ‘‘When warranted, the United States will respond to hostile acts in cyberspace as we would to any other threat to our country. All states possess an inherent right to selfdefense, and we recognize that certain hostile acts conducted through cyberspace could compel actions under the commitments we have with our military treaty partners. We reserve the right to use all necessary means—diplomatic, informational, military, and economic—as appropriate and consistent with applicable international law, in order to defend our Nation, our allies, our partners, and our interests’’, President of the United Sates of America : International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World ; mai 2011, p. 14.
(10) Charles Bwele : « Dans le brouillard de la cyberguerre », Alliance géostratégique, 16 juin 2011 (http://alliancegeostrategique.org/).
(11) Charles Pilloud, Commentaire des Protocoles additionnels du 8 juin 1977 aux Conventions de Genève du 12 août 1949 ; Martinus Nijhoff Publisher, 1986, § 1875 (www.icrc.org/).
(12) Michael Schmitt, ‘‘Cyber operations and the jus in bello: key issues’’ in International law studies, vol. 87, éd. Raul A. « Pete » Pedroza et Daria P. Wollschlaeger, 2011, p. 89-110, p. 93.
(13) Charles Pilloud, op. cit., § 1875.
(14) Michael Schmitt, ‘‘Cyber operations and the jus in bello: key issues’’, op. cit., p. 89-95.
(15) Knut Dormann, ‘‘Applicability of the additional protocols to computer network attacks’’, 2004, p. 4-6, disponible sur le site du CICR (www.icrc.org/).
(16) Michael Schmitt, ‘‘Cyber operations and the jus in bello: key issues’’, ibidem, p. 95.
(17) Voir Art. 57 2) a) ii) du Protocole additionnel I.
(18) Voir Art. 57 2) a) iii) du Protocole additionnel I.
(19) Mark R. Schulman, Discrimination in the laws of information warfare ; Pace Law Faculty Publications, 1999, p. 939-968, p. 963-964.
(20) Knut Dormann, ‘‘Applicability of the additional protocols to computer network attacks’’, p. 5-6.
(21) Erich Schmitt et Thom Shanker, ‘‘U.S. debated cyberwarfare in attack plan on Libya’’ in New York Times, 17 octobre 2011.
(22) Program on humanitarian Policy and Conflict Research at Harvard University : Manual on International Law applicable to air and missile warfare ; Bern, 15 mai 2009, Harvard University (www.ihlresearch.org/amw/).