Interview

Une convention pour la cyberguerre

La volonté politique reste trop timide

Votée à une époque où les guerres étaient ‘traditionnelles’, les Conventions de Genève se doivent-elles d’être adaptées à cette nouvelle réalité qu’est la cyberguerre ? Nous avons interrogé à ce sujet Philippe Jacques, assistant de recherche et doctorant en droit international humanitaire (DIH) à l’UCLouvain. 

Pour rappel, les conventions de Genève sont des traités internationaux dans le domaine du droit international humanitaire. Elles dictent les règles de conduite à adopter en période de conflits armés, et notamment la protection des civils, des membres de l’aide humanitaire, des blessés ou des prisonniers de guerre. Ces conventions ont été mondialement ratifiées, ce qui signifie que chacun des États du monde s’est engagé à les respecter. 

« Il convient d’abord de faire une distinction entre des cyber-attaques en temps de conflit armé et les cyber-opérations malveillantes en temps de paix. »

Code de conduite pour cyberguerres

Que devrait prévoir une convention de Genève sur la cyberguerre ? 

Philippe Jacques, assistant de recherche et doctorant en droit international humanitaire (DIH) à l’UCLouvain  : « Il convient d’abord de faire une distinction entre d’une part, des cyber-attaques en temps de conflit armé ou qui déclencheraient un conflit armé et, d’autre part, les cyber-opérations malveillantes en temps de paix. Le concept de « cyberguerre » en langage commun est donc très vaste. Une telle convention devrait s’inspirer du Manuel de Tallinn initié à la suite d’une cyberattaque menée contre l’Estonie par la Russie en 2007.

A l’époque, l’OTAN a créé un centre spécialisé en cyberguerre et édicté un guide de conduite sur l’application du droit international à la cyberguerre. Dans sa version 1.0, ce guide concernait les cyber-attaques en situation de conflit armé et dans sa version 2.0, il inclut également les cyber-opérations en temps de paix. Ce guide de quelque 600 pages comporte 158 règles, notamment d’attribution de responsabilité des Etats, de juridiction, d’interdiction d’intervention dans les affaires internes des Etats, etc. 

Il ne s’agit certes pas d’une convention dans la mesure où ce guide a été rédigé par des experts, souvent d’ailleurs très occidentaux puisqu’il s’agit d’une initiative majoritairement de l’OTAN. En revanche, pour avoir une véritable convention, il faudrait l’accord de l’ensemble des Etats.

De plus, le guide ne couvre pas nécessairement les intérêts stratégiques de tous les Etats. Il s’agit évidemment d’un pas constructif qui comble un vide juridique, mais la rédaction d’une nouvelle convention présente un aspect très politique. Et qui dit politique, dit blocages éventuels, comme ce fut le cas pour plusieurs dispositions des conventions de Genève de 1949, notamment au niveau des grands pays comme les Etats-Unis ou la Russie par exemple. »

Qui devrait prendre l’initiative d’une telle convention ? 

« Les Nations Unies en général, et plus spécifiquement le Bureau des affaires du désarmement (UNODA), a déjà contribué à l’élaboration de plusieurs conventions de réglementation des armes, notamment contre l’utilisation des armes nucléaires. Ce bureau organise des discussions entre les experts gouvernementaux qui maîtrisent les stratégies des Etats. A ce stade, il existe un accord sur les grands principes, à savoir d’appliquer le droit international humanitaire à la cyberguerre, mais les modalités d’application restent à définir.

Pour sa part, le Conseil de sécurité de l’ONU a abordé la question en 2021 et son rapport confirme l’importance accordée par tous les Etats à la problématique de la cyberguerre, même si certains pays – dont la Russie - émettent des doutes quant à savoir si le droit international s’applique à la cyberguerre. En d’autres termes, tout le monde semble d’accord sur les grands principes, mais on est encore loin d’une convention. Bref, à ce stade, les Etats ne sont prêts à adhérer qu’à des règles facultatives de conduite très informelles et mises au conditionnel

Pour sa part, le CICR (Comité International de la Croix-Rouge, qui a une énorme expérience des conflits armés et est à l’origine des Conventions de Genève) serait une piste sérieuse mais ne semble pas avoir commencé de processus consultatifs pour un nouveau projet de Convention. En revanche, il devrait certainement être consulté, au même titre par exemple qu’une entreprise comme Microsoft qui détient un monopole de fait sur le marché. »

« La plupart des Etats respectent la plupart de leurs obligations la plupart du temps. »

Droit international

Comment faire appliquer/respecter une telle convention ? 

« Il s’agit là d’une question de théorie du droit : pourquoi les Etats respectent-ils le droit international ? Le gros problème en droit international est que les Etats sont à la fois créateurs des normes et sujets de ces mêmes normes. Ils doivent donc définir le droit qu’ils s’appliquent à eux-mêmes. Tout est donc une question de consentement et d’acceptation du respect de ce droit. Pour paraphraser l’expert Louis Henkin, « la plupart des Etats respectent la plupart de leurs obligations la plupart du temps. » Le droit international reste donc un cadre de référence face auquel les Etats peuvent juger leurs pairs.

Une autre difficulté concerne le fait qu’il s’agit d’attaques ‘cyber’ et donc qu’il est difficile d’identifier tout d’abord le type d’attaque, puis l’auteur de l’attaque. Et en général, l’auteur de l’attaque en question nie les faits. Et c’est sans parler d’éventuelles représailles en cas de dénonciation. »

Quid d’éventuelles sanctions ? 

« Idéalement et dans l’intérêt général, on pourrait adapter les sanctions du régime « classique » de responsabilité étatique, de même que des sanctions pénales contre des individus dans le cas de cybercriminalité. Mais encore faut-il que les Etats acceptent un régime de sanctions dont lui ou ses nationaux pourraient être victimes. Comme on l’a vu avec la Cour pénale internationale, les Etats sont parfois réticents et protègent leurs intérêts. »

Une convention permettrait-elle d’éviter une cyberguerre ? 

« Il faut à nouveau faire une distinction entre cyber-attaques en temps de conflit armé et cyber-opérations en temps de paix.

En conflit armé, les Conventions de Genève et le DIH (ou ‘jus in bello’) n’ont jamais eu pour objectif d’éviter la guerre, mais bien d’en limiter les conséquences sur les personnes affectées par le conflit. La question de l’interdiction du recours à la force relève du ‘jus ad bellum’, consacré aujourd’hui dans la Charte des Nations Unies. Les deux questions sont tout à fait indépendantes l’une de l’autre afin de sauvegarder les protections prévues par le DIH.

En temps de conflits armés, une « cyber-convention » n’interdirait donc pas une cyber-guerre mais pourrait limiter les dégâts à la population civile.

En temps de paix, une telle convention pourrait par contre donner un cadre de référence aux Etats pour déterminer la responsabilité de chacun, ce qui aurait un certain pouvoir dissuasif.

J’ajoute qu’il n’est jamais trop tard pour se mettre d’accord sur une telle convention, même si cela semble compliqué. Dans le meilleur des mondes, ce type de cyber-convention pourrait, au niveau du droit, limiter les dégâts et les opérations malveillantes. Mais au niveau des relations internationales et du contexte géopolitique actuel, ce serait compliqué, même si une convention internationale existe depuis 2015 sur l’espionnage industriel entre la Chine et les Etats-Unis. L’idéal aurait sans doute été de créer une cyber-convention avant que l’on ait eu accès à toute la capacité destructrice, comme ce fut le cas avec le traité de l’espace de 1967 qui interdit toute utilisation militaire de l’espace. »

Marc Husquinet peut faire valoir une expérience de plus de 35 ans dans le journalisme en informatique. D’abord pendant près de 30 ans chez Data News, le magazine informatique leader du marché belge. Ensuite, comme journaliste indépendant parfait bilingue. Il met désormais son expertise au service d’entreprises en informatique, comme journaliste/copywriter et traducteur spécialisé.

Lire plus au sujet de la cyberguerre