Le droit de recourir à la force en cas de légitime défense naît si une cyberattaque armée se produit ou elle est imminente. Il est en outre soumis à une exigence d’immédiateté. Le problème majeur est qu’il existe peu de consensus sur ce qu’il faut entendre par « imminence » par rapport à des menaces contemporaines247. Parmi les événements qui peuvent
indiquer la présence d’une menace imminente nous pouvons indiquer les suivantes : le renforcement des effectifs militaires, l’augmentation des achats de nouvelles armes, les déclarations belligérantes d’intention de déclencher une guerre248. D’après l’interprétation plus restrictive, pour que la riposte soit justifiée, elle doit se produire juste au moment où l’attaque est sur le point d’être lancée (c’est à ce moment-là que la menace doit être considérée comme imminente)249. Dans le cyberespace, cela signifierait le moment où l’adversaire est sur le point de cliquer sur le bouton qui exécute le code déjà écrit. Si nous adoptons cette vision restrictive de l’imminence, nous ne laissons pas de temps du tout pour l’État-victime pour réagir, parce que le code sera exécuté plus rapidement que, par exemple, la fusée atteindrait l’objectif. C’est pour cette raison que la majorité des experts du groupe du Manuel de Tallinn a rejeté cette interprétation. D’un côté, ils prescrivent à un État-victime potentiel à procéder à une analyse qui détermine si une simple hostilité est devenue une décision d’attaquer250 et qu’un attaquant éventuel a commencé les préparatifs ou a exprimé implicitement ou explicitement l’intention
246 SCHMITT (Michael), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, op. cit., Règle 73, p. 350.
247 BETHLEHEM (Daniel), «Self-Defense Against an Imminent or Actual Armed Attack By Nonstate Actors»,
The American Journal of International Law, Vol. 106, No. 4, octobre 2012, p. 773, URL : https://www.cambridge.org/core/journals/american-journal-of-international-law/article/selfdefense-against-an-
imminent-or-actual-armed-attack-by-nonstate-actors/BC9C62E3157202F50234A452A714A421 (visité le 13/06/2020). 248 En particulier, l’Israël a invoqué ces observations (en vain) après le Conseil de sécurité après l’attaque du réacteur nucléaire de l’Irak en 1981 : «In the light of Iraqi declarations and deeds, and Iraq’s refusal even to sign an armistice agreement with Israel, Israel had full legal justification to exercise its inherent right of self-defense to abort the Iraqi nuclear threat to Israel» : United Nations Security Council, Attack on Iraq – SecCo debate – Verbatim record, 2288th meeting, New York, le 19 juin 1981, par. 79, URL : https://www.un.org/unispal/document/auto-insert-177361/
(visité le 15/06/2020).
249 SCHMITT (Michael), «Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework», Columbia Journal of Transnational Law, Vol. 37, 1998-1999, p. 930, URL :
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1603800 (visité le 13/06/2020).
250 SCHMITT (Michael), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, op. cit., Règle 73, par. 10, p. 353.
58
de mener une cyberattaque armée251. D’un autre côté, la possibilité de recourir au droit à la légitime défense dépend de l’existence de « last possible window of opportunity » qui peut émerger immédiatement avant l’attaque ou bien avant252. Dans ce cas, l’État-victime doit prendre en compte plusieurs probabilités avant de riposter253 :
1) la probabilité que l’adversaire lance réellement une attaque ;
2) la probabilité que l’attaque atteigne réellement le seuil d’une attaque armée ; 3) la probabilité que le moment de last possible window of opportunity est venu.
Cependant, un élément déterminant dans ces conclusions — la connaissance d’une cyberattaque en préparation. Ceci est d’autant plus important que certains experts nient l’existence de la légitime défense préventive en soi dans le cyberespace en se référant sur le fait que les États ne savent pas quand une cyberattaque arrive et le temps entre le moment où elle est lancée et le moment où elle atteint sa cible sera minimal254.
Enfin, une autre question qui se pose inévitablement est de savoir quel est le dernier moment pour exercer le droit à la légitime défense si le dommage, les morts ou les blessures se manifestent seulement après un certain temps et si l’initiateur de l’attaque ne peut être identifié qu’après le décryptage d’un code dans la plupart des cas, ce qui représente en soi l’un des plus grands défis255. Si nous examinons le cas du Stuxnet, nous pouvons voir que ce ver a été découvert en 2010, alors qu’il a été lancé en 2009 et il a détruit plus de 1000 centrifuges en Iran au cours de l’année256. Le Manuel de Tallinn ne donne pas une réponse précise à cette question et se limite à dire que « [i]n such cases, the criterion of immediacy is not met unless the conditions described above [necessity and proportionnality] justify taking action »257. Dinstein,
251 SCHMITT (Michael), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, op. cit., Règle 73, par. 10, p. 353.
252 Ibid, par. 4, p. 351.
253 HAYWARD (Ryan), «Evaluating the “imminence” of a cyber attack for purposes of anticipatory self- defense», Columbia Law Review, Vol. 117, No. 2, pp. 414-415, URL : https://columbialawreview.org/wp- content/uploads/2017/03/399_low.pdf (visité le 12/06/2020).
254 SCHULLER (Alan), «Inimical Inceptions of Imminence: A New Approach to Anticipatory Self-Defense Under the Law of Armed Conflict», UCLA Journal of International Law and Foreign Affairs, Vol. 18, No. 2, 2014, p. 161, URL : https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2701499 (visité le 14/06/2020).
255 «The problem with cyber warfare is that technology makes it nearly impossible to attribute the attack to a
specific source or to characterize the intent behind it» : CONDRON (Sean), «Getting It Right: Protecting American Critical Infrastructure in Cyberspace», Harvard Journal of Law and Technology, Vol. 20, No 2, p. 415, URL :
http://jolt.law.harvard.edu/articles/pdf/v20/20HarvJLTech403.pdf (visité le 13/06/2020).
256 Wired, «An Unprecedented Look at Stuxnet, the World’s First Digital Weapon»,
https://www.wired.com/2014/11/countdown-to-zero-day-stuxnet/ (visité le 10/06/2020).
257 SCHMITT (Michael), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, op. cit., Règle 73, par. 14, p. 354 ; Voir aussi «Cyber attacks can be conducted immediately, so to respond after days, weeks or months after the triggering attack might not be in line with the immediacy requirement» : HOLMBERG (Elin Jansson),
59
à son tour, souligne que l’intervalle entre une attaque armée et un acte de légitime défense peut être long, si cette réponse tardive est objectivement justifiée258. Mais comme chaque cyberattaque et ses conséquences peuvent être uniques, il serait logiquement de supposer que l’interprétation de la proximité dans le temps entre ces deux actions dépend du contexte de chaque situation.
S’agissant de la proportionnalité de la légitime défense, Cassesse souligne que ce principe prévoit, d’une part, l’assurance de l’équilibre entre le préjudice causé par l’État attaquant et la riposte, ou du moins l’assurance que des attaques en réponse ne dépassent pas sérieusement le préjudice créé par le fait illicite, et d’autre part, l’assurance que le seul but de la légitime défense est de forcer l’attaquant à mettre fin à son comportement illicite259. Ce qui
est important par rapport au cyberespace, c’est que le principe de proportionnalité n’exige pas que les armes utilisées pour la légitime défense soient les mêmes que celles qui ont été utilisées par l’État attaquant260, si la riposte est proportionnelle à son acte261. La proportionnalité devrait
donc apparemment être fondée sur une évaluation de la force utilisée par l’État-attaquant. À ce sujet, il n’est pas superflu de rappeler l’exemple d’Israël qui a lancé une frappe aérienne sur un bâtiment à Gaza où se trouvaient les hackers de Hamas en réponse à leur cyberattaque. Mais la question qui se pose est si l’attaque cinétique a été proportionnelle à la cyberattaque de Hamas ? Malheureusement, la seule chose que l’armée israélienne a publié sur Twitter à ce sujet est la suivante : « We thwarted an attempted Hamas cyber offensive against Israeli targets. Following our successful cyber defensive operation, we targeted a building where the Hamas cyber operatives work. HamasCyberHQ.exe has been removed »262.
Comme l’a déclaré l’armée israélienne, elle a réussi non seulement à neutraliser la menace, mais également à détruire un bâtiment. Par conséquent, plusieurs personnes ont été tuées. Cette situation nous amène à nous demander si la cyberattaque de Hamas consistait également à provoquer les morts parmi les Israliens ou son but n’était que d’établir un accès au
«Armed attacks in cyberspace : Do they exist and can they trigger the right to self-defence?», Thesis in International Law, Faculty of Law, Stockholm University, p. 42, URL : http://www.diva- portal.org/smash/get/diva2:854660/FULLTEXT01.pdf (visité le 10/06/2020).
258 DINSTEIN (Yoram), War, Aggression and Self-Defence, op. cit., p. 243. 259 CASSESE (Antonio), International Law, 2ème édition, op. cit., p. 306.
260 GRAY (Christine), International Law and the Use of Force, Oxford, Oxford University Press, 2008, p. 150 ; Voir aussi SCHMITT (Michael), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, op. cit., Règle 73, par. 5, p. 349.
261 DINSTEIN (Yoram), «Computer Network Attacks and Self-Defense», op.cit., p. 109.
262 Israel Defense Forces, Twitter, URL : https://twitter.com/IDF/status/1125066395010699264 (visité le 13/06/2020).
60
système la collecte de renseignements ? Il est peu probable qu’on ait une réponse prochainement, ce qui signifie que l’application du droit international aux cyberattaques demeure un majeur problème dans la pratique.
Toutefois, outre la légitime défense individuelle, l’État-victime peut compter sur celle collective en vertu de l’article 51 qui repose souvent sur des obligations mutuelles des États en vertu d’un traité de sécurité. L’existence de telles obligations joue un rôle préventif, car un agresseur potentiel en cas d’attaque armée ne traitera pas avec un, mais avec au moins plusieurs, voire avec tout un groupe d’États. Tout au long de l’histoire des relations internationales, le principe de la légitime défense collective a été au cœur de la plupart des alliances militaires. Nous pouvons citer à titre d’exemple les événements de la Première Guerre mondiale qui étaient largement déterminés par les engagements des alliés. Cependant, la base du principe de la légitime défense collective a été jetée simultanément avec la création de la Société des Nations qui a prévu dans sa Charte la disposition, en vertu de laquelle « [l]es membres de la Société s’engagent à respecter et à maintenir contre toute agression extérieure l’intégrité territoriale et l’indépendance politique présente de tous les membres de la Société »263. C’est sur la base
de cet article que la Charte des Nations Unies a adopté la disposition sur le droit naturel de légitime défense collective dans son article 51.
Le groupe international d’experts du Manuel de Tallinn a exprimé l’opinion que cette norme est applicable au cyberespace264 :