Criminalité informatique, terrorisme informatique, guerre informatique, etc. : les notions s’entrecroisent à tel point qu’on les confond souvent. Pourtant, une action cybercriminelle ne constitue pas un acte de guerre au sens du droit international ; une attaque en déni de service ne constitue pas systématiquement un acte terroriste. Quant à la guerre informatique, elle recouvre en fait deux réalités bien distinctes : une réalité physique, puisque les réseaux informatiques sont d’abord constitués d’ordinateurs, de liaisons de données, qui sont l’objet de stratégies de défense (lutte informatique défensive) ⁽¹⁾, d’attaque informatique (lutte informatique offensive) ou d’attaque conventionnelle ; une réalité cognitive, puisque les réseaux véhiculent des contenus, qui sont la cible d’opérations de renseignement et de guerre psychologique (influence, contre-influence).

Si l’on s’intéresse aux attaques informatiques stricto sensu, la première question est de savoir si celles-ci peuvent être considérées comme des conflits armés au sens du droit international. Dans le cas des attaques informatiques subies par l’Estonie en mai 2007 ou la Géorgie en août 2008, le doute n’existe pas. Les deux pays ont beau avoir subi des attaques en déni de service ayant perturbé le fonctionnement de certains services ainsi que des « défacements » de sites web institutionnels et privés, il ne s’agissait pas de conflit, quand bien même les attaques contre la Géorgie accompagnaient un conflit armé terrestre.

Jus ad bellum

Quelles sont alors les conditions que devrait réunir une attaque informatique pour être considéré comme un conflit ? Le droit international des conflits ou Jus ad bellum (par opposition au Jus in bello, qui s’applique au déroulement du conflit lui-même) établit précisément dans quelles conditions une attaque informatique constitue un usage de la force, voire un acte de guerre, et donc peut faire l’objet d’une riposte en vertu du droit à la légitime défense défini à l’article 51 de la Charte des Nations unies.