Passer au contenu

L’OTAN publie un guide de la cyber-guerre

Définir la cyber-guerre n’est pas simple. Sous la demande de l’OTAN, une vingtaine d’experts ont déterminé une série de règles et de définitions pour y voir plus clair. Selon eux, Stuxnet ne constitue pas clairement un acte de guerre.

Le Centre d’excellence de cyber-défense coopérative de l’OTAN (CCDCOE) de Tallinn (Estonie) vient de publier un manuel juridique de cyber-guerre. Cet ouvrage – qui a été présenté officiellement à Londres vendredi dernier – définit ou essaye de définir des règles de droit et de non-droit en matière de cyber-guerre. Dans l’esprit, c’est un peu comme la Convention de La Haye, qui détermine « les lois et les coutumes » de la guerre réelle. Mais à la différence notable qu’il ne s’agit pas là d’un traité international, mais du résultat d’une réflexion de trois années d’un groupe d’une vingtaine d’experts issus de facultés juridiques, de corps d’armées occidentales et de la croix rouge.

Il faut dire que le terrain est ardu. Comment définir une cyber-guerre ou une cyber-attaque ? Faut-il se limiter aux affrontements entre états ou l’étendre aux groupes activistes ? Comment répliquer en cas de cyber-attaque, et contre qui ? A partir de quand un cyber-attaque peut-il être considéré comme « illégal » au sens des droits de l’homme ? Etc.  Pour y voir plus clair, le groupe d’experts a établi 95 règles, de la souveraineté des états à la protection des biens et des personnes, en passant par la conduite des hostilités. On apprend, par exemple, qu’une cyber-attaque, au sens guerrier du terme, est « une opération informatique dont le but est de blesser ou tuer des personnes, ou d’endommager ou détruire des objets ». Une telle attaque donnerait à un état victime le droit de répliquer.

Il n’y a pas eu de véritable cyber-guerre à ce jour

Ainsi, la prise de contrôle du système information d’un barrage dans le but manifeste de créer une inondation est une cyber-attaque. La prise de contrôle d’un système dans le but de voler des informations, en revanche, ne l’est pas. Selon le groupe d’experts, il n’y a pas eu, à ce jour, de cyber-conflit international (p. 83-84). La vague d’attaques de déni de services survenus en Estonie en 2007 n’étaient pas réellement dangereux, et les auteurs de ces attaques ne pouvaient pas être catalogués, de manière certaine, comme les exécutants  organisés d’une volonté d’état. A propos de Stuxnet, le groupe d’experts était divisé : certains considéraient cette opération comme un acte de guerre, d’autres non.  

Le manuel définit également un certain nombre d’interdits assez classiques : attaquer des infrastructures médicales ou nécessaires à la survie de la population civile, attaquer des journalistes, provoquer des désastres environnementaux, etc. De même, les civils n’ont pas le droit d’être pris pour cible, sauf s’ils participent de manière volontaire et organisée à des cyber-attaques. Ce qui peut donc inclure certains groupes de hackers.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn