Règles d'engagement en cyberconflit
Par Olivier Kempf le samedi 1 septembre 2012, 20:47 - Cyber - Lien permanent
J'avais déjà évoqué les règles d'engagement, en général. J'en avais tiré un article critique, paru en son temps dans le RDN. Donc, dans la vraie vie, je n'y crois pas beaucoup. Alors dans le cyber, je n'y crois pas du tout....
D’une façon générale, les règles d’engagement pâtissent de leur rôle multiple qui s’est complexifié au cours de l’après-guerre froide : elles sont en effet à la fois règles d’ouverture du feu, normes juridiques d’engagement de la responsabilité du chef, normes légales avec le pays hôte, règles de comportement à la fois médiatique et moral, règles de protection de la force, …. Cet instrument aux fonctions si larges est évidement inefficace dans les conflits contemporains .
Encore s’agit-il de situations où il y a des « amis », un pays-hôte, des belligérants, un terrain, des limites et une population civile. Dans le cyberespace, comment « justifier » et encadrer l’ouverture du feu ? Comment lui donner des limites ? Jusqu’où ne pas aller trop loin ? Comment contrôler que son arme n’éclabousse pas les voisins de l’ennemi, sachant que dans le cyberespace le voisinage c’est le monde entier ?
Surtout, pour prendre exemple sur un droit de la guerre plus général comme celui régit par les conventions de Genève, comment distinguer un combattant d’un non-combattant ? Qu’est-ce qu’un cyber-soldat ?
Enfin, les règles sont pertinentes si beaucoup de soldats disposent d’armes similaires ou de même gamme. Les règles d’engagement supposent une généralisation, une masse collective. Or, la cyber-arme est toujours unique, donc non généralisable. Son emploi est le fit d’une décision unique, qui appartient au stratège. Son utilisation résulte de sa volonté qui ne saurait être contraindre par une règle générale. La situation est unique, l’arme unique, le décideur unique.
O. Kempf
Commentaires
Bonsoir,
I) Je reviendrais volontiers en écho de votre point de vue, par une incidente qui prolonge les idées de BQ : la clandestinité/furtivité des actions dans le champ cyber.
Les Règles d'engagement (RoE/RdE) répondraient à une publicisation de la létalité d'un équipement sinon standardisé, au moins normalisé.
Dans le but de rappeler la responsabilité d'emploi et de délivrance du feu, on édicte la Règle d'ouverture de feu (ROF) et on l'entoure des RdE.
Si je vous suis bien, ces dispositifs seraient censés :
. enseigner-effrayer l'adversaire quant à la méthode autorisée à son endroit (dissuasion) ;
. permettre à l'adversaire une marge de manoeuvre et lui "fixer une ligne rouge" (délimitation) ;
. permettre de faire valoir devant un tiers le non-respect de cet outil juridique qui empiète sur le "jus ad bellum" et sur le "jus in bello" (restitution-judiciarisation).
1) Pour moi les RdE seraient des concepts qui tournent autour du "pas vu, pas pris ; pris, pendu !"
L'embarquement de caméras sur les fantassins et sur les matériels touche doublement à cette problématique :
. vouloir saisir hic et nunc le contexte d'intervention (microcommandement) ;
. vouloir à posteriori les étudier pour se perfectionner (RetEx) ou se justifier (judiciarisation).
Il n'y a de règles d'ouverture du feu ou d'engagement que s'il y a témoignage.
La règle édictée sans mise en oeuvre n'est qu'une vue de l'esprit qui ne prend pas (les) corps.
Un feu délivré sans témoin n'est pas délivré. Cf les charniers et fosses communes que l'on exhume 1, 5 ou 10 ans après les faits.
Et le témoin peut être autant externe qu'interne. Un servant peut très bien dénoncer le non respect des RoE par son peloton ; c'est en filigrane le but déontologique poursuivi par la diffusion de ces RdE : instaurer un cadre moral qui devient légal en vue de responsabiliser autant l'acteur que le témoin du fait.
Dans le cyber, les règles peuvent être édictées, elles ne prendront quasiment jamais corps : de l'absence de matérialité du lien causes-effets, à la difficulté d'attribution, en passant par la fréquente non connaissance du "corpus delicti" (cf les intrusions longues de cyberespionnage), on baigne dans le subtil voire le délétère.
2) Pourra-t-on voir demain un servant militaire de batterie de cyberpilonnage aller dénoncer son peloton pour avoir fait crasher un avion civil dont le vol avait été hacké ?
"Ah les salauds je n'en dors plus la nuit, moi je voulais pas, mais c'est eux qui avaient la souris, m'sieur l'juge... - c'est bien beau, jeune homme, mais pourquoi n'avez-vous pas débranché l'alimentation électrique de la console ? - j'avais peur, mes chefs m'ont menacé, m'sieur l'juge."
Ou alors un cyberguerrier venant témoigner du cyberpillage d'une nation via le détournement puis la neutralisation de ses flux bancaires ?
Je reprend mon sérieux : une action à même de motiver un témoignage "interne" postérieur serait nécessairement une action d'ampleur ayant causé des dégâts graves et réels.
Or de tels dégâts auront répondu à des circonstances particulières : guerre secrète au coeur d'une guerre déclarée, ouvrant la voie à des actions frisant la qualification de crime de guerre. En deça de cet échelon, je ne vois pas.
Or cet échelon sera suffisamment rare, et ses acteurs suffisamment résolus et fiables, pour qu'aucun témoignage ne vienne jamais alimenter une fuite ou une procédure.
L'édiction d'une RdE par consensus interétatique et multilatéral comporterait nécessairement une part de duplicité par les Etats qui se priveraient trop vite d'une arme dont la dissuasion ne serait pas encore démontrée.
Quitte à être cynique, je tends à penser que la réussite d'une négociation pour un TNP ne pouvait naître que de l'horreur de Nagasaki et Hiroshima complétée par la menace d'un inéluctable affrontement USA Vs URSS, et amplifiée par le risque d'un déséquilibre de type "polylectique".
Un TNP n'aurait jamais vu le jour sans ces trois axes.
A priori aucune RdE dans le champ cyber ne devrait voir le jour avant a) un événement majeur (le ricochet de StuxNet vers des SCADA non iraniens pourrait en tenir lieu) + b) l'émergence d'au moins un duopole doté de capacités majeures testées et manifestées + c) un risque de prolifération des capacités majeures.
Les RdE en cyber pourraient connaître une analogie avec la naissance du TNP, dissociant le droit à un cyber civil d'une capacité de cyber militaire, imaginant des protocoles et une agence de contrôle.
II) En revanche, je ne partage pas votre point de vue sur l'unicité de l'arme forgée.
Si l'idée est valable pour des produits "sur mesure" comme StuxNet visant les SCADA, elle ne l'est pas pour les zombots et les attaques DDoS menées par les collectifs civils.
Dans ce cas, l'attaque est submersive et fondée sur un seul et même modèle de kit que les assaillants se sont diffusé (volontairement pour les collectifs, malicieusement pour les botnets zombies).
Ce cas est peut-être marginal en regard de l'éventail des multiples vers et maliciels réellement forgés sur mesure, soit selon un effet recherché, soit selon le type de milieu de progression(plateformes Win32 ou Win64, Linux, Android ou autre). Mais ce cas se trouve le plus lourd en population qui y recourt.
Donc l'unicité de l'arme serait à pondérer par son taux de diffusion pour déterminer si le phénomène est recevable.
En revanche, mais comme vous le pressentiez en l'évacuant, la diffusion de masse de l'outil (le kit) et la masse collective (l'agrégation du collectif) sont bien constitutifs d'une forme de règle d'engagement : les Anonymous et anonymous-like ouvrent le feu selon des règles établies, un mot d'ordre clair et des cibles définies.
Mais là encore, leur population est-elle un facteur de pondération significatif en regard des autres acteurs des cyberconflits potentiels ?
Bien à vous,
Cl'H
Fm commentaire FB:
Pas tout à fait d'accord avec cette vision "no ROE for Cyberspace". Au contraire, les conséquences stratégiques, politiques et ...économiques d'une attaque nécessitent justement de savoir "jusqu’où ne pas aller trop loin". Ne pas oublier que frapper dans le cyber c'est frapper des infrastructures civiles avec des abonnés, des services...donc des préjudices financiers.
Le CCD CoE de Tallinn vient de publier un "manuel de règles juridiques" applicables aux conflit dans le cyberespace, où les questions de RoE sont abordées (parmi d'autres sujets). Je n'ai pas encore eu le temps de tout lire, mais ça peut valoir le coup d'y jeter un coup d'oeil.
A consulter via le site du CCD COE. (ccdcoe[point]org)
Bien à vous,
egea : oui, FB Huyghe et D Ventre l'ont signalé sur leur blogs. J'ai jsute ouvert pour regarder la table des matières... et je n'ai pas eu le temps d'aller au-delà. Il faudrait que je creuse. Merci en tout cas de l'avoir signalé.