L’État qui est la cible d’une cyberopération qui atteint le niveau d’une attaque armée peut exercer son droit inhérent à la légitime défense. La question de savoir si une cyberopération constitue une attaque armée dépend de son ampleur et de ses effets.
234 CIJ, République islamique d’Iran c. États-Unis d’Amérique, Jugement, 6 novembre 2003, par. 51.
235 CIJ, République démocratique du Congo c. Ouganda, Affaire des Activités armées sur le territoire du Congo, Jugement, le 19 décembre 2005, par. 147.
236 CIJ, Avis consultatif, Licéité de la menace ou de l’emploi d’armes nucléaires, le 8 juillet 1996, par. 39, URL :
https://www.icj-cij.org/files/case-related/95/095-19960708-ADV-01-00-FR.pdf (visité le 22/01/2020).
237 SCHMITT (Michael), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, op. cit., Règle 71, p. 339.
55
Par défaut, nous utiliserons dans la présente étude la définition d’une cyberattaque qui atteint le niveau d’une attaque armée telle qu’elle a été décrite dans le chapitre précédent, c’est- à-dire, celle qui est susceptible de provoquer les blessures, les morts, les dommages et la perte de fonctionnalité de l’infrastructure238 et contre laquelle l’État peut agir en recourant au droit de légitime défense. De plus, en vertu de « pin prick theory or accumulation of effects », l’État a la possibilité de se défendre même si plusieurs cyberattaques liées entre elles sont d’un degré inférieur, mais dans sa totalité atteignent le degré de gravite.
Le droit de légitime défense dans le cyberespace est reconnu non seulement par des experts du Manuel de Tallinn, mais également par la majorité des États. En particulier, l’Australie insiste sur le fait que l’État a le droit d’agir lorsque l’État-attaquant a montré son intention délibérée à lancer une attaque armée et lorsque l’État-victime perdrait sa dernière chance de se défendre efficacement à moins qu’elle n’agisse239. La France, à son tour, justifie
l’invocation de la légitime défense contre les cyberopérations dont les conséquences ont atteint le seuil de gravité nécessaire240, tout comme les États-Unis qui reconnaissent le recours à ce
droit inhérent lorsque cela est justifié («when warranted»)241. Finalement, nous nous permettons
238 Il faut constater qu’il n’y a pas de consensus sur l’application du droit à la légitime défense en fonction de la gravité d’une attaque. Par exemple, le juge Simma dans son opinion individuelle a admis le recours à la force contre les actes d’un degré inférieur : « [I]l existe aussi des actes militaires hostiles d’un degré inférieur, qui n’atteignent pas le seuil de l’«agression armée» au sens de l’article 51 de la Charte des Nations Unies. Contre les actes hostiles de ce genre, un État peut bien entendu se défendre, mais uniquement par des mesures dont la portée et la nature sont plus restreintes (la principale différence résidant dans le fait que la possibilité de légitime défense collective n’existe pas dans ce cas, voir Nicaragua), et qui doivent aussi être très rigoureusement nécessaires et proportionnées, et suivre immédiatement l’acte qui les a motivées » : CIJ, Affaire des plates-formes pétrolières République islamique d’Iran c. États-Unis d’Amérique, le 6 novembre 2003, Opinion individuelle de M. Simma, par. 13. Néanmoins, la majorité des États insistent sur le recours à la légitime défense seulement si l’attaque a atteint le seuil nécessaire de gravité.
239 Senator the Hon George Brandis QC Attorney-General of Australia, «The right of self-defence against imminent armed attack in international law», Lecture delivered at the T C Beirne School of Law The University of Queensland, le 11 avril 2017, p.8, URL : https://law.uq.edu.au/files/25365/2017%2004%2011%20-%20Attorney- General%20-%20Speech%20-%20The%20Right%20of%20Self-
Defence%20Against%20Imminent%20Armed%20Attack%20in%20International%20Law%20- %20for%20publication.pdf (visité le 10/06/2020).
240 « Une attaque informatique majeure visant la France, eu égard aux graves dommages qu’elle causerait,
pourrait constituer une « agression armée », au sens de l’article 51 de la Charte des Nations unies, et justifier l’invocation de la légitime défense » : SGDSN, Revue stratégique de cyberdéfense, le 12 février 2018, p. 82, URL : http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf (visité le 03/06/2020) ; Voir aussi Réponse de la France à la résolution 73/27 relative aux « Progrès de l’informatique et des télécommunications et sécurité internationale » et à la résolution 73/266 relative à « Favoriser le comportement responsable des États dans le cyberespace dans le contexte de la sécurité internationale », op. cit., par. 3, a), p. 9.
241 « When warranted, the United States will respond to hostile acts in cyber-space as we would to any other
threat to our country. All states possess an inherent right to self-defense, and we recognize that certain hostile acts conducted through cyberspace could compel actions under the commitments we have with our military treaty partners » : White House, International Strategy For Cyberspace, Prosperity, Security, and Openness in a Networked World, mai
2011, p. 14, URL :
https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf (visité le 12/06/2020).
56
de citer la position de l’Estonie qui a été la victime d’une célèbre cyberattaque en 2007 et qui a souligné que « States have the right to react to malicious cyber operations, including using diplomatic measures, countermeasures, and, if necessary, their inherent right of self- defence »242.
Cette justification d’une attaque en réponse nous amène à reconnaître comme justes les conclusions faites par le chercheur Walter Sharp par rapport à l’application des critères établis dans l’affaire Caroline au cyberespace :
« Recall that anticipatory self-defense is permissible when “the necessity of that self- defence is instant, overwhelming and leaving no choice of means, and no moment for deliberation”. There seems to be no better circumstance for anticipatory self-defense to apply than when technology allows an unlawful use of force, and potentially an armed attack, to occur literally at the speed of light. The right to respond in anticipatory self- defense does not apply to the penetration of all government computer systems during peacetime, but it should apply presumptively to those sensitive systems that are critical to a state’s vital national interests. As previously discussed, any use of force in anticipatory self-defense must be necessary and proportional under international law »243.
Le premier critère qu’il faut examiner, c’est la nécessité d’une réponse. Il détermine si la force est le seul moyen pour répondre à une attaque ou si des alternatives pacifiques suffiront. De plus, les États ont l’obligation de « régler leurs différends par des moyens pacifiques, mais ils gardent une totale liberté dans le choix et l’appréciation de ces moyens »244. Si un État peut contrer une attaque armée réelle ou imminente par des mesures n’impliquant pas la force armée, il n’a aucune justification pour l’utiliser. S’agissant du cyberespace, si les mesures de protection comme le firewall sont suffisantes pour contrer la cyberattaque, d’autres mesures, qu’elles soient cyber ou cinétiques, au niveau du recours à la force seront interdites245. Cependant, pour
242 Republic of Estonia, Information System Authority, Cyber Security in Estonia 2020, p.4, URL :
https://www.ria.ee/sites/default/files/cyber_aastaraamat_eng_web_2020.pdf (visité le 21/07/2020).
243 SHARP (Walter Gary), Cyberspace and the use of force, Aegis Research Corporation, 1999, p. 129, URL :
http://www.thomas-hastings.org/CyberSpace%20and%20the%20Use%20of%20Force%20-%20Sharp1999.pdf (visité le 10/06/2020).
244 DECAUX (Emmanuel), DE FROUVILLE (Olivier), Droit international public, 11 édition, Dalloz, 2018, p. 397.
245 SCHMITT (Michael), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge University Press, 2017, Règle 72, par. 3, p. 349 ; Voir aussi BARADARAN (Nazanin), HABIBI (Homayoun), «Cyber Warfare and Self - Defense from the Perspective of International Law», Journal of Politics and Law, Vol. 10, No. 4, 2017, p. 44, URL : https://www.researchgate.net/publication/319399422_Cyber_Warfare_and_Self_- _Defense_from_the_Perspective_of_International_Law (visité le 20/06/2020).
57
que l’État-victime utilise légalement la force en prévision d’une attaque, ce dernier doit soit provoquer les mêmes conséquences qu’une attaque armée soit être imminent, ce qui s’applique également au cyberespace246 :