Le droit de légitime défense peut être exercé collectivement. L’autodéfense collective contre une cyberopération équivalant à une attaque armée ne peut être exercée qu’à la demande de l’État victime et dans le cadre de la demande
S’agissant des conditions dans lesquelles les États peuvent recourir à ce droit, nous devons constater qu’elles reprennent en partie celles, prévues pour la légitime défense individuelle, à savoir l’existence d’une menace imminente, la nécessité d’une riposte et sa proportionnalité. Cependant, la détermination si la condition de l’imminence est remplie est laissée à la discrétion d’un État-victime. Donc, c’est après l’autorisation d’un État attaqué qu’un
263 Traité de Versailles de 1919, Pacte de la Société des Nations, art. 10.
264 SCHMITT (Michael), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, op. cit., Règle 74, p. 354.
61
autre Etat peut venir en aide. Ce qui est non moins important, c’est que l’État-victime doit envoyer une demande d’assistance avant trouver de l’aide dans la lutte contre l’État- agresseur265.
Nous nous permettons d’attirer l’attention sur deux traités les plus connus prévoyant la légitime défense collective. Le premier exemple est le Traité de l’Atlantique Nord du 4 avril 1949 qui dispose ce qui suit :
« Article 5.
Les parties conviennent qu’une attaque armée contre l’une ou plusieurs d’entre elles survenant en Europe ou en Amérique du Nord sera considérée comme une attaque dirigée contre toutes les parties, et en conséquence elles conviennent que, si une telle attaque se produit, chacune d’elles, dans l’exercice du droit de légitime défense, individuelle ou collective, reconnu par l’article 51 de la Charte des Nations Unies, assistera la partie ou les parties ainsi attaquées en prenant aussitôt, individuellement et d’accord avec les autres parties, telle action qu’elle jugera nécessaire, y compris l’emploi de la force armée, pour rétablir et assurer la sécurité dans la région de l’Atlantique Nord ».
En reconnaissant le cyberespace en tant que théâtre de guerre, l’Alliance atlantique a déclaré en septembre 2014 que « la cyberdéfense relève de la tâche fondamentale de l’OTAN qu’est la défense collective. Il reviendrait au Conseil de l’Atlantique Nord de décider, au cas par cas, des circonstances d’une invocation de l’article 5 à la suite d’une cyberattaque »266. Étant consciente du fait que les membres de l’OTAN partagent le même cyberespace et que la cybersécurité de tous entre eux en dépend, l’Alliance atlantique assume ses responsabilités renforcer les cybercapacités des États-parties et améliorer leur formation et entraînement à la cyberdéfense267.
À ce jour, l’OTAN a recouru plusieurs fois à l’article 5, par exemple, vivement préoccupé par le conflit entre l’Ukraine et la Russie, l’Alliance atlantique a créé des fonds
265«[L]a Cour note qu’en droit international coutumier, qu’il soit général ou particulier au système juridique
interaméricain, aucune règle ne permet la mise en jeu de la Iégitime défense collective sans la demande de l’État se jugeant victime d’une agression armée. La Cour conclut que l’exigence d’une demande de l’État victime de l’agression alléguée s’ajoute à celle d’une déclaration par laquelle cet État se proclame agressé» : CIJ, Nicaragua c. États-Unis, Arrêt, le 27 juin 1986, par. 199.
266 OTAN, Déclaration du sommet du Pays de Galles, le 5 septembre 2014, par. 72, URL :
https://www.nato.int/cps/fr/natohq/official_texts_112964.htm (visité le 15/06/2020).
267 OTAN, Cyberdéfense, le 31 mars 2020, URL :
62
fiduciaires en 2014 pour soutenir l’Ukraine dans six domaines : «commandement, contrôle, communications et ordinateurs, logistique et standardisation, réadaptation médicale, transition de carrière pour les militaires, lutte contre les engins explosifs improvisés, cyberdéfense»268. En 2015 et en 2016, l’OTAN a adopté les mesures d’assistance supplémentaires afin de renforcer des « capacités techniques défensives de l’Ukraine pour lutter contre les cybermenaces »269. Ces mesures incluaient la création du centre de gestion des incidents dans
le but de surveiller les événements de cybersécurité, ainsi que la création des laboratoires pour enquêter sur les incidents de cybersécurité, la mise en œuvre de programmes de formation sur l’utilisation des cybertechnologies et équipements270.
Un autre exemple qui mérite d’être cité est celui de l’Union européenne (ci-après l’UE) dont le traité prévoit également le droit à la légitime défense collective271 :
« Article 42, paragraphe 7.
Au cas où un État membre serait l’objet d’une agression armée sur son territoire, les autres États membres lui doivent aide et assistance par tous les moyens en leur pouvoir, conformément à l’article 51 de la charte des Nations unies ».
Comme l’OTAN, l’UE reconnaît que le droit international s’applique au cyberespace et, par conséquent, s’engage à défendre ses membres contre les cyberattaques depuis l’adoption des premières règles dans ce domaine en 2016272. Une nouvelle étape importante en cette
matière a été franchie avec l’adoption d’une décision qui autorise des sanctions contre les cyberattaques qui menacent l’Union ou ses États membres. Dans ce texte, le Conseil a défini les cyberattaques qui relèvent de la compétence de l’UE, à savoir les attaques contre les infrastructures critiques, les services nécessaires au maintien d’activités critiques, les fonctions critiques des États, le stockage ou le traitement des informations classifiées et les équipes
268 The White House, FACT SHEET: U.S. and NATO Efforts in Support of NATO Partners, including Georgia, Ukraine, and Moldova, le 9 juillet 2016, URL : https://obamawhitehouse.archives.gov/the-press-office/2016/07/09/fact- sheet-us-and-nato-efforts-support-nato-partners-including-georgia (visité le 15/06/2020).
269 NATO, Comprehensive Assistance Package for Ukraine, juillet 2016, p. 2, URL :
https://www.nato.int/nato_static_fl2014/assets/pdf/pdf_2016_09/20160920_160920-compreh-ass-package-ukraine- en.pdf (visité le 15/06/2020).
270 NATO, NATO’s practical support to Ukraine, décembre 2015, p. 1, URL :
https://www.nato.int/nato_static_fl2014/assets/pdf/pdf_2015_12/20151130_1512-factsheet-nato-ukraine- supportr_en.pdf (visité le 15/06/2020).
271 Traité sur l’Union Europeenne modifié jusqu’au traité de Lisbonne de 2009; entrée en vigueur le 1er décembre 2009, art. 42, par. 7.
272 Union européenne, Directive 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, URL : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016L1148 (visité le 15/06/2020).
63
d’intervention d’urgence273. C’est contre ces cyberattaques l’UE a le droit d’imposer des sanctions pour défendre ses membres.
De plus, en tant que partenaire de l’OTAN depuis l’adoption de l’arrangement technique sur la cyberdéfense du 10 février 2016, l’UE coopère avec l’Allience atlantique, dans les domaines de l’échange d’informations, de la formation, de la recherche et des exercices, ainsi que le partage des pratiques de référence entre les équipes d’intervention d’urgence pour renforcer les capacités techniques mutuellement et mieux se préparer contre la menace potentielle qui pourrait provoquer l’exercice de l’article 51 de la Charte de l’ONU.
Néanmoins, l’autorisation unilatérale de recours à la force est une mesure garantissant l’intégrité des États jusqu’à ce que la communauté internationale puisse réagir, comme le prévoit la Charte : « Aucune disposition de la présente Charte ne porte atteinte au droit naturel de légitime défense, individuelle ou collective, dans le cas où un Membre des Nations Unies est l’objet d’une agression armée, jusqu’à ce que le Conseil de sécurité ait pris les mesures nécessaires pour maintenir la paix et la sécurité internationales ». Ainsi, nous pouvons supposer que les actions des systèmes collectifs de protection ainsi que des États eux-mêmes dans le but de se défendre se limitent à l’autorité du Conseil de sécurité. Puisque le droit à la légitime défense est délégué à eux jusqu’à ce que le Conseil réagira à l’usage illégal de la force dans telle ou telle région du monde274.