Les technologies de l’information et de la communication (TIC) sont à la fois un puissant catalyseur de la croissance et de l’innovation et la source de cybermenaces asymétriques. Environ 2 millions de personnes sont connectées à l’Internet dans le monde et l’Internet et les services liés aux TIC sont devenus un élément de plus en plus indispensable de notre vie quotidienne. De par cette dépendance croissante et le lien d’interdépendance des infrastructures critiques, nous sommes devenus vulnérables aux cyberactivités malveillantes qui peuvent créer des perturbations.
Depuis des années, les particuliers, les entités privées, les institutions gouvernementales et les organisations non gouvernementales sont affectés par les cyberactivités. Nous avons connu des cyberincidents de grande ampleur, comme en Estonie en 2007, avec de nombreuses attaques ciblées sophistiquées, des actes de piratage informatique et de nombreux exemples de vols d’identité et de logiciels malveillants. En raison de la nature imprévisible des cybermenaces, un incident qui peut paraître au début comme un acte de piratage ou de cybercrimimalité motivé par des raisons financières peut rapidement dégénérer et porter atteinte à la sécurité nationale, voire déclencher une cyberguerre.
Malgré l’absence d’un consensus sur ce qui constitue exactement la cyberguerre ou le cyberterrorisme, les gouvernements doivent s’assurer que leur infrastructure est protégée contre différents types de cybermenaces et que leurs cadres juridiques et politiques sont en mesure de prévenir, de dissuader, de défendre et d’atténuer efficacement d’éventuelles cyberattaques. Le fait que les États ne parviennent pas à s’entendre sur la définition exacte de termes essentiels comme « cyberattaque » et « cyberguerre » ne devrait pas les empêcher d’insister sur l’urgence de préparer leur nation à d’éventuels cyberincidents.
LA COOPÉRATION INTERNATIONALE
La logique qui sous-tend la coopération et la collaboration internationales consiste à savoir pourquoi, quand et comment collaborer et est généralement utilisée pour servir ses propres intérêts ou gérer des antipathies communes1. Dans le contexte de la cybersécurité, le besoin de coopération internationale entre les États, les organisations internationales et régionales et d’autres entités est souligné par la nature de plus en plus sophistiquée des cybermenaces qui évoluent sans frontières. Tout acteur, que ce soit un pays ou une organisation non gouvernementale, qui suit ses objectifs en matière de cybersécurité requiert la coopération de nombreux partenaires internationaux. En effet, la collaboration internationale aura principalement lieu en dehors des cadres nationaux spécifiques, soulignant l’approche systémique qui met l’accent sur la nécessité de prendre en compte toutes les parties prenantes pertinentes2.
Dans une perspective nationale, les progrès en cybersécurité dépendent donc, dans une large mesure, de la volonté politique des divers acteurs. Les domaines, comme le partage de l’information et du renseignement et l’aide mutuelle, peuvent devenir essentiels pour gérer une cybercrise, mais l’efficacité d’une telle coopération dépend considérablement de la cohérence des objectifs politiques et des relations bilatérales et multilatérales. Dans de nombreux domaines, comme la coopération internationale en matière pénale, plusieurs conditions préalables doivent être mises en place dans les pays qui coopèrent, comme le droit positif national, le droit procedural et les accords internationaux, avant qu’un dialogue sur la possibilité d’une coopération internationale quelconque donne lieu à des discussions sur l’efficacité d’une telle coopération.
LES ORGANISATIONS INTERNATIONALES ENGAGÉES DANS LA CYBERSÉCURITÉ
Les politiques nationales, les accords internationaux ainsi que les autres initiatives dans le domaine de la cybersécurité qui sont proposés et lancés par divers acteurs internationaux, régionaux et nationaux peuvent considérablement varier quant à leur portée, à leurs objectifs et à leur succès, mais ils mettent tous l’accent sur la dimension internationale du cyberespace.
Par exemple, la Première Commission des Nations Unies examine activement depuis des années les progrès dans le domaine de l’information et des télécommunications dans le contexte de la sécurité internationale. L’Union africaine a publié le projet de Convention de l’Union africaine sur la cybersécurité en Afrique. L’Union européenne (UE) a récemment publié une communication conjointe sur la Stratégie de cybersécurité de l’Union européenne, le premier document d’orientation de l’UE dans ce domaine qui reflète le point de vue de ses 27 États Membres en matière de cybersécurité.
Même si, au cours des dernières années, le débat sur l’élaboration de normes de comportement possibles et de mesures de confiance dans le domaine de la cybersécurité s’est intensifié, il ne faut pas perdre de vue que la plupart des problèmes et des défis pressants dans les domaines liés à la cybersécurité sont principalement dus à l’adoption, à l’examen de la législation nationale et à la mise en œuvre des principes convenus multilatéralement.
DÉVELOPPEMENTS DE PRINCIPES
Le Centre d’excellence de cyberdéfense de l’OTAN (CCD-COE) est une organisation militaire internationale accréditée par l’Organisation du traité Nord-Atlantique (OTAN) qui concentre ses efforts sur divers aspects liés à la cybersécurité, comme l’éducation, les analyses, la consultation, les enseignements tirés, la recherche et le développement. Même s’il ne relève pas de la chaîne de commandement de l’OTAN, sa mission consiste à renforcer les capacités, la coopération et le partage d’informations en matière de cyberdéfense entre les pays membres et les partenaires de l’OTAN.
Convaincu que la coopération internationale est essentielle pour lutter contre les menaces cybernétiques dans le monde, le Centre investit non seulement dans une collaboration élargie avec l’OTAN et des entités de l’UE mais, plus spécifiquement, cherche à améliorer la coopération au sein des ses partenaires et entre eux en organisant un exercice de défense en temps réel, appelé « Locked shields ». Il participe aussi à de nombreuses autres simulations analogues, ce qui permet aux participants de mettre en pratique les cadres nationaux de coordination et de coopération et de tester les compétences nécessaires pour se défendre contre une attaque réelle.
En ce qui concerne les aspects juridiques et politiques de la cybersécurité, le Centre d’excellence de l’OTAN a identifié deux tendances principales. Premièrement, un nombre de plus en plus important de pays adoptent des stratégies de cybersécurité nationales et la majorité de ces documents confirment que la cybersécurité est la priorité de la sécurité nationale. Pour mieux analyser ce progrès et le concept des stratégies de cybersécurité nationales, le Centre a réalisé une étude appelée le « National Cyber Security Framework Manual ». Selon cette recherche, une stratégie de cybersécurité globale doit prendre en compte un certain nombre de partenaires nationaux assumant diverses responsabilités pour garantir la cybersécurité nationale. À l’échelle nationale, les parties prenantes comprennent les fournisseurs d’infrastructures critiques, les organes chargés de faire respecter la loi, les organisations internationales, les équipes d’intervention en cas d’urgence informatique et les entités assurant la sécurité interne et externe. Il est important de noter qu’au lieu de considérer la cybersécurité comme plusieurs domaines cloisonnés ou plusieurs parties prenantes isolées, les activités des divers sous-domaines et domaines de compétences devraient être coordonnées. Deuxièmement, des discussions sur l’applicabilité du droit international aux cyberactivités sont en cours. Tandis qu’il est largement accepté que le cyberespace doit être protégé comme l’air, la mer et la terre et est clairement défini par le Concept stratégique de l’OTAN comme une menace qui risque d’atteindre un seuil auquel la prospérité, la sécurité et la stabilité des pays de la zone euro-atlantique pourraient être mises en danger, peu d’accords internationaux portent directement sur le comportement dans le cyberespace.
Adopter une position commune, même sur les questions relatives aux normes bien établies du droit coutumier international, comme l’interdiction du recours à la force codifié dans le paragraphe 4 de l’article 2 de la Charte des Nations Unies ainsi que les deux exceptions prévues qui sont la légitime défense et une décision du Conseil de sécurité, dans le contexte de leur applicabilité au cyberdomaine constitue un défi pour les parties concernées.
Parmi les questions juridiques complexes entourant ces débats, le Centre d’excellence de l’OTAN a donc invité en 2009 un Groupe d’experts international indépendant pour examiner si les lois internationales existantes s’appliquent aux questions concernant la cybersécurité et, le cas échéant, dans quelle mesure. Ce projet de trois ans a donné jour au Manuel de Tallinn sur le droit international applicable à la cyberguerre qui traite du jus ad bellum, le droit international régissant le recours à la force par les États comme instrument de leur politique nationale, et du jus in bello, le droit international régissant la conduite des hostilités. Les experts participant au projet ont conclu qu’en principe, le jus ad bellum et le jus in bello s’appliquent au contexte cyber, mais que cela pouvait être modifié par la pratique des États. Cette opinion et celles exprimées dans le Manuel de Tallinn ne devraient pas être considérées comme une déclaration officielle d’un État ou d’une organisation, mais plutôt comme l’interprétation du groupe d’experts internationaux agissant seulement dans sa capacité personnelle. Le Manuel ne traitant toutefois pas des cyberactivités qui se produisent en deçà de l’agression armée, le Centre d’excellence de l’OTAN a lancé un projet de suivi de trois ans intitulé Tallinn 2.0.
Afin de préparer les nations à d’éventuels cyberincidents et d’assurer une base solide à la coopération internationale, des stratégies de cybersécurité nationales globales ainsi qu’une compréhension commune sur l’applicabilité du droit international sont nécessaires.
Même si l’on a invoqué le fait que les traités multilatéraux sont les instruments les plus pratiques pour harmoniser les systèmes juridiques nationaux et l’interprétation du droit international existant, les discussions sur un accord possible au niveau mondial semblent peu avancées. Vu le flou entourant actuellement le droit international dans le contexte de la cybersécurité, la coopération internationale entre les divers acteurs doit être perçue comme l’élément fondamental des ripostes efficaces aux cybermenaces.
Les opinions exprimées dans cet article sont celles de l’auteur et ne reflètent pas nécessairement la politique officielle du Centre d’excellence de cyberdéfense de l’OTAN, de l’OTAN et de toute autre entité.
Notes
1 Choucri, Nazli. Cyberpolitics in International Relations (MIT Press, 2012), pp. 155-156.
2 Klimburg, Alexander (ed.). National Cyber Security Framework Manual (NATO CCD COE, 2012).