De nombreux pays travaillent aujourd’hui à la mise en place de capacités offensives en matière de guerre informatique. Avec la publication du Livre blanc sur la Défense et la Sécurité nationale qui a popularisé le concept de « lutte informatique offensive », la France n’est pas en reste. Le premier défi est de mettre en place un cadre d’emploi compatible avec le droit international.
Lutte informatique offensive et droit international
Criminalité informatique, terrorisme informatique, guerre informatique, etc. : les notions s’entrecroisent à tel point qu’on les confond souvent. Pourtant, une action cybercriminelle ne constitue pas un acte de guerre au sens du droit international ; une attaque en déni de service ne constitue pas systématiquement un acte terroriste. Quant à la guerre informatique, elle recouvre en fait deux réalités bien distinctes : une réalité physique, puisque les réseaux informatiques sont d’abord constitués d’ordinateurs, de liaisons de données, qui sont l’objet de stratégies de défense (lutte informatique défensive) (1), d’attaque informatique (lutte informatique offensive) ou d’attaque conventionnelle ; une réalité cognitive, puisque les réseaux véhiculent des contenus, qui sont la cible d’opérations de renseignement et de guerre psychologique (influence, contre-influence).
Si l’on s’intéresse aux attaques informatiques stricto sensu, la première question est de savoir si celles-ci peuvent être considérées comme des conflits armés au sens du droit international. Dans le cas des attaques informatiques subies par l’Estonie en mai 2007 ou la Géorgie en août 2008, le doute n’existe pas. Les deux pays ont beau avoir subi des attaques en déni de service ayant perturbé le fonctionnement de certains services ainsi que des « défacements » de sites web institutionnels et privés, il ne s’agissait pas de conflit, quand bien même les attaques contre la Géorgie accompagnaient un conflit armé terrestre.
Jus ad bellum
Quelles sont alors les conditions que devrait réunir une attaque informatique pour être considéré comme un conflit ? Le droit international des conflits ou Jus ad bellum (par opposition au Jus in bello, qui s’applique au déroulement du conflit lui-même) établit précisément dans quelles conditions une attaque informatique constitue un usage de la force, voire un acte de guerre, et donc peut faire l’objet d’une riposte en vertu du droit à la légitime défense défini à l’article 51 de la Charte des Nations unies.
Il reste 89 % de l'article à lire
Plan de l'article