Manuel de Tallinn

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
image illustrant le [[droit <adj>]] image illustrant l’informatique image illustrant le domaine militaire
Cet article est une ébauche concernant le droit, l’informatique et le domaine militaire.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le Manuel de Tallinn relatif à l'applicabilité du droit international aux cyberopérations a été réfléchi et rédigé par un groupe d'experts international sur invitation du Centre d'excellence de coopération en Cyberdéfense (CCD COE) de l'OTAN.

Le Manuel de Tallinn est un guide rédigé par un groupe d’experts mandatés par l’OTAN, qui propose une transposition du droit international aux cyberconflits. La version définitive de ce projet est parue en 2013[1]. Il est possible de lire ce Manuel sur le site internet du CCD COE.[1]

Un tome 2 est actuellement en préparation et devrait paraître en 2016. La nouvelle étude se penchera sur les options de réaction que la loi internationale offre aux États victimes d’une attaque cyber.

Origine[modifier | modifier le code]

L'OTAN manifeste un intérêt certain pour le cyberespace depuis les années 2000. Sa politique de cyberdéfense se fonde non seulement sur la coopération et la défense collective de ses alliés mais également sur la nécessité pour les États de développer des capacités toujours plus à la pointe. De l'évolution constante des nouvelles technologies ont découlé de nouvelles menaces appelées cyberattaques. En 2007, l'Estonie a été la cible de violentes attaques cybernétiques[2]. Ne souhaitant plus être prise au dépourvu, l'Estonie a développé de réelles capacités dans ce domaine, si bien que l'OTAN y installa son Centre d’excellence de coopération pour la cyberdéfense de l’organisation (CCD COE), à Tallinn Ce centre "indépendant" de l'OTAN a pris l'initiative de réunir un groupe d'experts de nationalités différentes dont la concertation de trois ans a abouti à la rédaction du Manuel de Tallinn relatif à l'applicabilité du droit des conflits armés aux cyber-attaques employées dans le cadre d'un conflit armé international ou non international. Ce texte bien que non contraignant apporte des pistes de réflexions intéressantes.

Le comité était présidé par Michael N.Schmitt, président et professeur au département juridique de l’United States Naval War College. Une vingtaine d’experts indépendants ont élaboré le manuel, assistés ponctuellement par d’autres organismes tels que le Comité international de la Croix-Rouge (CICR), l’Allied Command Transformation (ACT) et l’US Cyber command.

Enjeux[modifier | modifier le code]

Tenter de transposer les règles de droit international actuellement applicables à l'utilisation des armes conventionnelles en période de conflits, aux armes cybernétiques[modifier | modifier le code]

La révolution du numérique a engendré une nouvelle forme de menaces: les cyberattaques. Soucieux de se défendre mais également de pouvoir riposter, la majorité des États ont intégré dans leur arsenal militaire ces nouvelles armes (volet offensif et défensif)[3]. La multiplication des attaques cybernétiques[4] et le discours dissuasif de certains États (exemple : États-Unis)[5] poussent à se poser la question de la nécessité d'un encadrement juridique plus précis de ces armes.

Le Centre de cyberdéfense de l'OTAN, à travers la réunion de son groupe d'experts s'est penché sur la question de l'applicabilité du droit international (notamment le droit des conflits armés et le droit international humanitaire) aux cyberattaques employées dans le cadre de conflits armés. Il est important de souligner que nous ne sommes pas en présence d'un vide juridique. En effet, certaines organisations comme le CICR et des États (exemples : l'Australie ou encore les États-Unis)[6] considèrent que le droit international existant est suffisant pour encadrer les cyberattaques.

En reprenant cette idée, le groupe d'experts dirigés par Michael N. Schmitt a décidé de transposer les règles de droit international existantes aux cyberattaques. De cette étude, 95 règles ont été reprises, transformées, développées, expliquées afin de comprendre quel pourrait être le cadre juridique le plus précis applicable à ces armes dans le jus ad bellum (droit de faire la guerre) et le jus in bello (droit dans la guerre).

Prévenir les dérives et l'escalade de la violence[modifier | modifier le code]

Paradoxalement, alors que certaines des dernières cyberattaques les plus violentes sont généralement imputées aux États-Unis (Stuxnet, Flame), ces derniers ont à plusieurs reprises indiqué qu’ils n’hésiteraient pas à répondre à ce genre d’attaques et à utiliser « tous les moyens nécessaires, --diplomatiques, relatifs à l'information, militaires et économique-- en fonction des besoins et dans le respect du droit international, pour défendre notre pays, nos alliés, nos partenaires et nos intérêts»[7]

Ainsi, même si l’application du droit international aux cyberattaques pourrait autoriser par voie d’exception le recours à la légitime défense pour les États visés par les attaques, cela les contraindrait pour autant à respecter les principes directeurs du droit des conflits armés. À l’instar d’un conflit armé « classique », les belligérants seraient limités dans les moyens de faire la guerre par les conventions de La Haye et de Genève. La transposition du droit international aux cyberattaques et cyberconflits est donc protectrice tant pour l’attaquant que pour l’attaqué, qu’il soit combattant, groupe armé ou État.

Par ailleurs, les rédacteurs du Manuel indiquent qu’il est possible d’assimiler des cyberconflits à des conflits armés dans la mesure où les conséquences qui découlent des attaques sont semblables ou similaires. Plusieurs débats sont cependant ouverts concernant la qualification des cyberattaques en "attaque armée" au sens de la Résolution 3314 de la Charte des Nations unies. Il serait également plus acceptable de parler de cyberconflit que de cyberguerre, les moyens cybernétiques étant utilisés en complément des moyens conventionnels.

Contenu[modifier | modifier le code]

L'objectif du Manuel de Tallinn étant d'apporter un éclairage sur l'interprétation possible des normes internationales du droit des conflits armés au domaine cyber, les experts ont envisagé de le rédiger sous la forme d'une énumération de règles qui sont au nombre de 95. L'approche interprétative développée sous la forme d'une liste exhaustive est le fruit d'un consensus entre les experts sur les questions du jus ad bellum (droit de faire la guerre) et du jus in bello (droit de la guerre dans le cadre d'un conflit armé international et/ou d'un conflit armé non international).

Les règles de droit international analysées par les experts du Manuel de Tallinn[modifier | modifier le code]

Le droit international ne dispose actuellement d'aucun texte encadrant spécifiquement l'emploi des cyberattaques dans les conflits armés. C'est à partir de ce constat que les experts du Manuel de Tallinn ont envisagé d'analyser à travers les différentes normes juridiques internationales, leur application quant à cette nouvelle forme d'attaque. On entend par normes de droit international applicables aux cyberconflits, qu'ils soient internationaux ou non, celles relevant notamment du jus ad bellum et du jus in bello. En effet, le Manuel de Tallinn appuie son argumentation sur l'intégralité du corpus juridique international à savoir :

  • les conventions et traités internationaux sur le droit de la mer, de l'air, des télécommunications et de l'espace extra-atmosphérique.
  • les conventions et traités internationaux relatifs au droit de la guerre (les conventions de Genève, les protocoles additionnels, les conventions de La Haye et la convention sur l'interdiction ou la restriction de l'emploi de certaines armes.
  • les conventions et traités relatifs aux statuts des Tribunaux pénaux internationaux (TPIR et TPIY) et la Cour internationale de justice
  • les conventions et traités relatifs aux droits de l'enfant, à la protection des biens culturels, ainsi qu'à l’environnement.

La jurisprudence a également été utilisée par les experts. En effet, certains arrêts rendus par la Cour internationale de justice sont susceptibles d'apporter des éléments de réponses aux questions que l'on viendrait à se poser :

Enfin, les experts du Manuel de Tallinn se sont inspirés de la doctrine. En effet, de nombreux organismes internationaux se sont positionnés sur le sujet de l'emploi des cyberattaques dans les conflits, notamment le CICR dans le cadre de sa mission de promouvoir le respect du droit international humanitaire et son intégration dans les législations nationales[12]. Les divers manuels militaires de droit opérationnel ont également servi de pistes pour les différents rédacteurs.

Les cyberattaques et le jus ad bellum : les questions du recours à l'emploi de la force, de l'agression armée et de la légitime défense dans le cyberespace[modifier | modifier le code]

Pour étudier la question du recours à l'emploi de la force, les experts du Manuel de Tallinn sont partis de l'article 2§4 de la Charte des Nations unies qui énonce : « Les membres des Nations Unies s'abstiennent dans leurs relations internationales, de recourir à la menace ou à l'emploi de la force, soit contre l'intégrité territoriale ou l'indépendance politique de tout État, soit de toute autre manière incompatible avec les buts des Nations Unies. »

À partir de cela, on peut estimer que des attaques informatiques sont susceptibles de relever de l'usage de la force au sens de cet article, à condition toutefois que les effets de ces attaques soient comparables, en termes de létalité et de destruction à ceux d'attaques conventionnelles ou nucléaires, biologiques ou chimiques. Le Manuel de Tallinn énonce « qu'une opération cyber constitue un emploi de la force quand son niveau (degré/seuil d'intensité) et ses effets sont comparables à une opération traditionnelle(non cyber) qui aurait atteint le niveau de l'emploi de la force ». L'analyse porte donc sur un facteur quantitatif et qualitatif.

Michael N. Schmitt a répertorié plusieurs indices permettant de qualifier une cyberopération en emploi de la force[13] :

  • la sévérité des dommages
  • l'immédiateté
  • la cause à effet
  • le degré d'invasion-pénétration dans le système
  • l'évaluation des effets
  • le caractère militaire
  • l'implication de l’État
  • la présomption de légalité

Les cyberattaques et le jus in bello : la question de la conduite des hostilités dans le cyberespace[modifier | modifier le code]

Deux enjeux importants sont également présents dans le Manuel de Tallinn, à savoir :

Le Manuel est très clair sur le premier point. Les opérations cyber réalisées dans le cadre d'un conflit armé doivent respecter le droit des conflits armés. Les experts sont unanimes sur cette analyse, à l'exception de certains qui estiment que la connexion ne s'applique pas automatiquement à toutes les cyberattaques mais seulement à celles ayant un lien suffisant entre l'opération et les buts militaires.

Les experts se sont également penchés sur les notions de " conflit armé international" et " conflit armé non international".

  • Le premier cas se caractérise par des hostilités incluant des opérations cyber ou étant restreintes à de telles opérations entre deux ou plusieurs États. Cela est également admis pour les acteurs non étatiques agissant "sous le contrôle" d'un État. Aucun consensus n'a été trouvé concernant le niveau d'intensité de l'hostilité permettant de déterminer de l'internationalisation du conflit.
  • Le second cas peut être constaté lorsqu'il y a une violence armée prolongée qui inclut ou est limitée à une cyberopération entre les forces armées d'un gouvernement et un groupe armé ou encore entre deux ou plusieurs groupes armés. Un seuil minimum d'intensité doit être atteint lors de la confrontation, et les parties au conflit doivent montrer un minimum d'organisation.

En ce qui concerne la définition de l'attaque cybernétique, celle-ci serait selon les experts une "opération cybernétique, offensive ou défensive, dont on peut raisonnablement attendre qu'elle cause des pertes en vies humaines, des blessures aux personnes, des dommages ou des destructions de biens. Utilisée dans le cadre de conflits, elle devra obligatoirement respecter le principe de distinction entre civils et combattants, le principe de proportionnalité, la nécessité et la concomitance.

Critiques[modifier | modifier le code]

Points forts du Manuel de Tallinn[modifier | modifier le code]

Ce Manuel a permis la création de 95 règles de droit pour lesquelles la règle du consensus a été respectée. Cela est d'autant plus remarquable que certaines nationalités présentes à la réflexion et à la rédaction n'étaient pas parties aux protocoles additionnels aux Conventions de Genève. Il est intéressant de constater que l'ensemble des participants ont ainsi pu apporter leur expertise en se référant à leurs manuels opérationnels dans le but de proposer des définitions de règles de droit communes. Des accords ont également été trouvés sur les critères de qualification d'emploi de la force et d'agression armée en droit international mais aussi sur la qualification d'une cyberattaque dans la conduite des hostilités lors d'un conflit armé international ou non international.

Points faibles du Manuel de Tallinn[modifier | modifier le code]

Il a été fortement critiqué, notamment par le professeur Huang Zhixiong de l'université de Wuhan, déplorant le fait que la majorité des participants/rédacteurs soient majoritairement des anglo-saxons[14]. Les critiques majeures sous-entendent que le Manuel de Tallinn ne reflétait pas la vision de la Communauté Internationale mais seulement d'une poignée de nationalités. La critique semble cependant avoir été prise en compte puisque les consultations en vues de la rédaction du Manuel de Tallinn 2.0 (à paraître fin 2016) ont réunies plus de 50 états[15]. Cependant, les notions faisant le plus débat n'ont pour autant pas trouvé de solution, comme par exemple pour la légitime défense (CICR c/ USA). Les seuils d'intensité n'ont pas fait l'objet de consensus laissant ainsi une assez grande marge d'interprétation aux États.

Enfin, il convient de garder à l’esprit[non neutre] que le Manuel de Tallinn a développé des critères extensifs d'une ampleur telle qu'il n'est pas applicable au regard du contexte actuel. En effet, aucune cyberattaque ou cyberopération n'a jusqu'à aujourd'hui atteint une ampleur en matière de conséquences et de dommages physiques tel que décrits dans le Manuel. Cela ne signifie pas que ce ne sera jamais le cas. Actuellement, aucune cyberopération n'a abouti à un tel niveau de gravité entrainant l'application du champ de qualification proposé dans le Manuel.

Le Manuel de Tallinn expose l'importance des moyens cyber dans les conflits et leur évolution exponentielle. Les experts, dont Michael Schmitt, estiment que dans le futur la création d'un texte les encadrant spécifiquement s'avérera nécessaire voire crucial.

Notes et références[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]