Si le Conseil de Sécurité des Nations Unies décide qu’un acte constitue une menace pour la paix, une rupture de la paix ou un acte d’agression, il peut autoriser des mesures non-contraignantes, notamment des cyberopérations. Si le Conseil de Sécurité estime que ces mesures sont inadéquates, il peut décider de prendre des mesures coercitives, notamment des mesures cybernétiques.
S’agissant des mesures qui peuvent être prises en vertu de l’article 41 en réponse de l’attaque armée et, en particulier, en réponse d’une cyberattaque il est nécessaire de citer l’arrêt Tadic :
« Il est évident que les mesures visées à l’article 41 constituent simplement des exemples illustratifs qui, manifestement, n’excluent pas d’autres mesures. L’article exige simplement qu’elles ne fassent pas appel à «l’emploi de la force armée». C’est une définition négative.
(…) L’article prescrit uniquement les caractéristiques que ces mesures ne peuvent pas revêtir. Il ne dit ni ne suggère ce qu’elles doivent être »303.
En se fondant sur ces dispositions, nous pouvons supposer que le Conseil de sécurité a le droit de recourir aux mesures d’une interruption totale ou partielle des cyber-communications de l’État responsable de la menace pour la paix, de la rupture de la paix ou de l’acte d’agression304. À cet effet,
nous pouvons supposer que le Conseil va coopérer avec des acteurs locaux, par exemple, avec les fournisseurs de services Internet qui pourraient mettre sur liste noire des noms de domaine via lesquels une cyberattaque a été lancée ou faire le filtrage du routage des paquets. Mais les États eux- mêmes pourraient aussi adopter une législation ou une réglementation nationale obligeant les fournisseurs de services Internet soumis à leur juridiction à prendre ces mesures nécessaires305.
303 TPIY, Le Procureur c. Duško Tadić, Chambre d’Appel, Arrêt relatif à l’appel de la défense concernant l’exception préjudicielle d’incompétence, le 2 octobre 1995, par. 35.
304 SCHMITT (Michael), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, op. cit., Règle 76, par. 4., p. 358 ; Voir aussi ICIW, Proceedings of the 6th International Conference on Information Warfare and Security, George Washington University, Washington, DC, USA, 2011, p. 202.
305 SCHMITT (Michael), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, op. cit., Règle 76, par.5.
71
L’élargissement du régime de sanctions à l’utilisation de l’Internet a été déjà discuté au sein du Conseil de sécurité en 2006 dans le cadre des mesures qui pourraient affronter Al-Qaida et les États ont proposé, entre outre, le filtrage ou la fermeture des sites utilise par les membres de l’organisation terroriste306 ce qui confirme que l’idée d’imposition des sanctions à l’utilisation d’Internet n’est pas nouvelle et correspond au nouveau contexte de sécurité dans le monde. De plus, nous pouvons évoquer le rapport du groupe d’experts qui a été institué en vertu de la résolution 1874 (2009) pour fournir au Conseil des conclusions et recommandations sur les sanctions. La résolution 1874 a été adoptée par le Conseil de sécurité afin d’imposer des sanctions économiques et commerciales à la Corée du Nord après la crise liée au programme d’armes nucléaires. En 2019 le groupe d’experts a découvert que l’État nord-coréen a lancé de nombreuses cyberattaques « to engage in the theft of military technology in violation of an arms embargo; revenue operations; cyberblackmail and extortion campaigns; hacking for pay; and the movement of money »307. Et même si ces cyberattaques
n’ont pas présenté une attaque armée en soi, les experts ont recommandé que le Conseil de sécurité prenne en considération la gravité des cyberattaques lors du choix des sanctions futures contre la République populaire démocratique de Corée308 ce qui également montre l’intention du CS de faire face aux cybermenaces.
En ce qui concerne l’entrée en vigueur de l’article 42 de la Charte de l’ONU, elle autorise à utiliser la force armée contre l’État qui a violé les normes du droit international seulement si les mesures prévues par l’article 41 « seraient inadéquates ou qu’elles se sont révélées telles ». L’interprétation évolutive de cet article étend son champ d’application également en matière d’utilisation des cyberattaques, d’après certains experts309. Ainsi, parallèlement à l’utilisation des
306 Conseil de sécurité, Quatrième rapport de l’Équipe d’appui analytique et de surveillance des sanctions créée en application des résolutions 1526 (2004) et 1617 (2005) du Conseil de sécurité concernant l’organisation Al-Qaida et les Taliban et les personnes et entités qui leur sont associées, le 10 mars 2006, par. 124, URL :
https://www.undocs.org/fr/S/2006/154 (visité le 27/06/2020).
307 Security Council, Report of the Panel of Experts established pursuant to resolution 1874 (2009), le 30 août 2019, note de bas de page 27, URL : https://www.securitycouncilreport.org/atf/cf/%7B65BFCF9B-6D27-4E9C-8CD3- CF6E4FF96FF9%7D/S_2019_691.pdf (visité le 27/06/2020).
308 Ibid, par. 72.
309 «Should the Security Council consider that measures provided for in Article 41 would be inadequate or have
proved to be inadequate 301 it could authorize UN member states or UN peace forces to conduct cyber attacks amounting to a use of force in order to react against a threat to the peace» : ROSCINI (Marco), Cyber Operations and the Use of Force in International Law, op. it., p. 114 ; «[I]f the Security Council mandates a peace operation to maintain law and order, contributing States should use all means reasonably available to them to implement the mandate.41 Thus, the international force can deal with cyber threats that may destabilize the peace operation» : KLEFFNER (Jann), HARRISON DINNISS (Heather), «Keeping the Cyber Peace: International Legal Aspects of Cyber Activities in Peace Operations», Naval War College, International Law Studies, Vol. 89, 2013, p. 526, URL : https://digital- commons.usnwc.edu/cgi/viewcontent.cgi?article=1039&context=ils (visité le 27/06/2020).
72
« forces aériennes, navales ou terrestres » mentionnées, le Conseil de sécurité peut prendre des mesures coercitives/contraignantes par le biais de cybercapacités310 :
« Obviously, if an Article 42 authorization justifies the use of armed force, it would justify any information operation intended to accomplish the same objective. The sole limitation would be that the operation would have to comply with international humanitarian law ».
Finalement, il est indispensable de noter que les mesures mentionnées aux articles 41 et 42 de la Charte de l’ONU peuvent être prises par des organisations régionales, sous réserve qu’elles agissent dans le cadre d’un mandat ou d’une autorisation de la résolution du Conseil de sécurité même si elles sont en cours dans le cyberespace. En particulier, la règle du Manuel de Tallinn impose à ces organisations l’obligation de coordonner ses actions avec le Conseil de sécurité de l’ONU :