La cyberguerre a son premier code
La guerre numérique n’est plus une zone de non-droit - si tant est qu’elle l’ait jamais été. L’Otan vient en effet de rendre public le fruit de trois ans de travail de spécialistes du droit international, le Manuel de Tallinn. Sorte de code de la cyberguerre, ce manuel détaille les textes de lois internationaux applicables et propose de nombreuses dispositions qu’il reviendra aux États d’approuver pour encadrer ce type de conflits.
Le cyberespace est-il un champ de bataille comme les autres ? Régi par les mêmes règlements internationaux ? C’est à ces questions que l’Otan voulait répondre avec le «Manuel de Tallinn». Un important chantier lancé par le Centre d’excellence de coopération pour la cyberdéfense de l’organisation - le CCD COE. Un centre installé à Tallinn, en Estonie, à la suite des attaques informatiques dont le pays a été la cible en 2007. Une première ébauche en a été présentée en septembre dernier.
Le manuel de Tallinn n’a pas vocation à révolutionner le domaine. Rédigé par «un groupe indépendant d’experts internationaux répondant à l’invitation du CCD COE», il consiste surtout en une étude des textes internationaux existants et de la manière dont ils s’appliquent au monde numérique. Le document recouvre ainsi les sujets de souveraineté, de responsabilité des états, les lois de la guerre, les lois humanitaires internationales et celle de la neutralité. Et d’expliquer «comment le groupe d’experts a interprété les normes applicables dans le contexte cyber, tout en soulignant les désaccords au sein du groupe quant à l’application de chaque règle ».
Michael Schmitt, président et professeur au département juridique du United States Naval War College, et ancien directeur du projet du manuel de Tallinn, explique ainsi que le manuel consiste principalement en des «règles adoptées unanimement» par les experts et qui s’appuient sur les lois internationales existantes. Elles s’accompagnent de commentaires qui en précisent les bases juridiques. Surtout, pour lui, le manuel montre bien que les cadres légaux existants s’appliquent au monde du numérique et qu’il ne s’agit en aucun cas d’un «d’une zone de non-droit où chacun peut conduire des activités hostiles sans règles ni contraintes ».
On peut ainsi y lire que, selon les experts, «l’interférence par un Etat avec une infrastructure cyber sur une plateforme étrangère, où qu’elle soit, constitue une violation de souveraineté» ou encore qu’un «Etat ne doit pas, en connaissance de cause, permettre qu’une infrastructure cyber située sur son territoire ou placée sous son contrôle gouvernemental exclusif, soit utilisée pour des actes qui pénalisent et affectent illégalement d’autres Etats ». Et que si la responsabilité d’un Etat peut être engagée à compter que l’on puisse lui attribuer une attaque ou que celle-ci ait été conduite grâce à des infrastructures sous sa responsabilité... le fait qu’une «cyber opération ait été routée via les infrastructures situées dans un Etat ne constitue pas une preuve suffisante pour l’attribution de cette opération à cet Etat ». La question de l’attribution reste donc clé et, potentiellement, toujours aussi délicate.
La CCD COE précise bien que le manuel de Tallinn ne constitue pas à proprement parler un document officiel, qu’il ne reflète pas non plus «les vues du Centre, des Nations partenaires ou de l’OTAN, ni sa doctrine ». Toutefois, certains spécialistes, comme Marco Roscini, qui enseigne le droit international à l’Université de Westminster, à Londres, n’en attend pas moins qu’il fasse référence. Et d’estimer, devant nos confrères de The Age, en Australie, qu’il « aura une influence certaine ».