Aller au contenu | Aller au menu | Aller à la recherche

Le Manuel de Tallinn :

Par Olivier Kempf le lundi 17 décembre 2012, 21:53 - Fiche de lecture - Lien permanent

Le projet de Manuel de Tallinn sur l’applicabilité du droit international à la guerre cybernétique a été divulgué, même si sa parution officielle est prévue au début de l'an prochain. O. Barat-Ginies nous en propose une lecture afin de bien comprendre ce qui est nouveau dans de texte dont beaucoup parlent sans forcément l'avoir lu. EN exclusivité pour égéa (comme disent les grands médias). Mille mercis à elle.

O. Kempf source

Le Manuel de Tallinn

  • 2009-2012
  • Applicabilité du droit international à la guerre cybernétique

Les acteurs : Le projet de Manuel de Tallinn sur l’applicabilité du droit international à la guerre cybernétique a été initié par le Centre de cyberdéfense de l’OTAN qui se situe en Estonie. Il a été dirigé pendant trois ans, par le Professeur Michael Schmitt de l’US Naval War College, célèbre notamment pour un article rédigé sur le sujet. Une vingtaine d’experts indépendants (professeurs de droit, militaires, techniciens informatiques) principalement anglo-saxon, ont travaillé sur l’application concrète du droit international aux conflits cyber. Le Comité International de la Croix Rouge (CICR), l’Allied Command Transformation (ACT) et l’US Cyber command y ont également participé.

Le Sujet : Le projet de Manuel se compose de deux parties, la première concerne la sécurité du cyberespace en droit international (la codification du recours à la force entre États). Est-ce que l’opération cyber est comparable à un emploi de la force au regard de la Charte des Nations unies ? Est-ce que cette opération peut être qualifiée d’agression armée permettant à l’État victime de recourir à la légitime défense ? La seconde partie traite du droit international des conflits cybernétiques (c'est-à-dire le droit applicable pendant la conduite des hostilités dans le cyber). Cette opération cyber est-elle un conflit armé international ou non international ? Comment applique-t-on le principe de distinction entre civils et combattants ou entre objet civil et objectif militaire ? Qu’est-ce qu’une attaque cybernétique ?

Les objectifs : l’objectif principal du Manuel est d’interpréter les normes de droit international aux conflits cyber. Dans certains cas, il s’agit de la retranscription quasi-identique de la règle de droit au contexte cyber, parfois elle suppose une interprétation plus fine et donc une extension de la norme traditionnelle. Il existe à mon sens, deux autres objectifs non avoués : celui d’une part, de permettre une meilleure communication entre les experts juristes et les techniciens cyber et d’autre part, de jauger la capacité des États à rechercher un consensus dans le domaine.

Pari gagné ! Les experts ont réussi à se mettre d’accord sur 95 règles de droit, assorties de commentaires détaillés. Le lecteur aura donc la possibilité d’approfondir les notions juridiques complexes par la lecture des commentaires, permettant aussi de connaître les avis divergents, les analyses proposées, ou les sources employées. Ce manuel représente donc une réflexion avant-gardiste, tout à fait innovante et de grande qualité tant par la finesse des interprétations proposées que par le format adopté.

Les nouveautés : Les experts ont trouvé un consensus sur :

  • - la qualification d’emploi de la force. L’opération cyber constitue un emploi de la force lorsque son niveau (degré/seuil d’intensité) et ses effets sont comparables à une opération traditionnelle (non cyber) qui aurait atteint le niveau de l'emploi de la force. L’analyse est ainsi interprétative et se fonde sur un faisceau d’indices tels que l’immédiateté, la sévérité des dommages, le degré d’invasion dans le système, l’implication de l’État, etc. C’est l’ensemble de ces critères (cumulatifs, mais la liste est non exhaustive) qui permettra d’évaluer si l’attaque cyber est comparable à un emploi de la force traditionnel.
  • - la qualification d’agression armée. L’opération cyber constitue une agression armée lorsque l’emploi de la force atteint un seuil élevé en termes de degré, de niveau d'intensité et selon les effets engendrés : pertes en vies humaines, blessures aux personnes ou des dommages aux biens.
  • - l’attaque cyber est une opération cybernétique, offensive ou défensive dont on peut raisonnablement attendre qu’elle cause des pertes en vies humaines, des blessures aux personnes, des dommages ou des destructions de biens.

En revanche il n’y a pas eu de consensus sur :

  • - l’évaluation du seuil de l’agression armée. Les experts ont évoqué le « seuil élevé », mais ne l’ont pas quantifié. Ceci laisse donc une marge assez grande d’interprétation pour les États selon les circonstances.
  • - la notion de légitime défense. Deux visions se sont opposées de la légitime défense préemptive (critère d’imminence et de certitude de l’attaque), celle privilégiant le critère de temporalité (riposte en première phase de l’attaque), l’autre proposée par les Américains de « last window of opportunity », privilégiant trois critères : l’analyse de l’irréversibilité de l’attaque, la nature de l’adversaire et ses capacités.
  • - les notions de groupes armés organisés et de participation directe aux hostilités. Une attaque cyber peut être menée contre : les membres des forces armées, les membres de groupes armés organisés, les individus participant directement aux hostilités, et les participants à une levée en masse. Concernant le membre d’un groupe armé, certains considèrent qu’une fois le lien établi, l’individu peut être ciblé (vision opérationnelle), d’autres considèrent qu’il faut une fonction de combat continu pour permettre le ciblage.

Pour les individus participant directement aux hostilités, trois critères proposés par le CICR ont été validés :

  • - L’acte ou la série d’actes doit avoir pour effets d’affecter négativement les capacités militaires de l’adversaire, infliger la mort, des violences physiques ou la destruction de matériels ou tous biens protégés ;
  • - Un lien direct doit exister entre l’acte en question et les effets de celui-ci.
  • - L’acte doit avoir un lien direct avec les hostilités. Mais aucun consensus n’a été trouvé lors d’une participation directe aux hostilités répétées.
  • - la distinction entre objets civils et objectifs militaires dans le contexte cyber. L’objectif militaire s’analyse au regard de quatre critères :
    • sa nature (par essence militaire, exemple : infrastructure cyber militaire)
    • sa localisation (zone permettant de contribuer à l’action militaire),
    • son emploi à des fins militaires (on évaluera le degré de participation, les limites et l’importance de l’acquisition)
    • et l’objectif visé (si objet civil utilisé comme moyen militaire de manière discontinue il recouvre son statut civil).

On évaluera la contribution effective à l’action militaire et le critère de sévérité de l’acte commis et non sa nature. Est-ce qu’une base de données est un objectif militaire ? Les réseaux sociaux peuvent-ils être des objectifs militaires ? Il n’y a pas eu de consensus, ce sera encore une fois une question d’interprétation.

Et la France dans tout ça ? Aucun français n’a eut l’opportunité de participer à ces travaux. C’est tout à fait regrettable étant donné que ce Manuel représente un travail de qualité et prospectif mettant à l’honneur les experts qui y ont contribué et les nations qui les soutiennent. Celles-ci ont donc pu tester leurs positions, les partager et intégrer les analyses nouvelles dans leurs différents corpus. Étant donné que le domaine cyber est en pleine expansion, la participation française future aux travaux du CCD CoE ne saurait tarder.

En parallèle, la coordination en interne et la valorisation de la recherche dans ce domaine encore limité doit s’accélérer. Il est grand temps qu’une position juridique cyber française émerge pour éviter, dans le futur, de se voir imposer des vues non partagées notamment concernant la légitime défense, la notion de participation directe aux hostilités ou plus généralement les questions de qualification des attaques cyber.

Le nombre de chercheurs, professionnels, militaires actifs sur ce thème ne cesse d’augmenter, et la mise en place de divers groupes de travail au sein des ministères, mais également par l’intermédiaire de la chaire de cyberdéfense des écoles de Saint-Cyr Coëtquidan-Sogeti-Thalès démontrent l’intérêt que représente, en France, ce nouveau champ de conflictualité.

Soyons présents au rendez-vous.

Le projet de Manuel est consultable en ligne sur le site du CCD CoE :

Sa publication officielle, en version papier aura lieu en début d’année prochaine à la Cambridge University Press.

Oriane Barat-Ginies, juriste, doctorante en droit international.

Commentaires

1. Le lundi 17 décembre 2012, 21:53 par bertrand

Bonsoir,
Tout d' abord merci à O. Barat-Ginies. Devant l' absence troublante de commentaire sur cet article volontariste, je vais me permettre deux ou trois idées, un tantinet à rebrousse poil de ce qui est dit plus haut (j' essaie modestement d' exciter la réflexion...):
Nonobstant les louables efforts de défrichage bien compris, il me semble que ce Manuel de Tallinn n' évite pas un écueil de taille que j' appellerais "l'autisme normatif de l' Ouest" et qui pourrait faire de cet avant-gardisme espéré un exercice de taxidermisme stratégique; soit qu'il s' agisse d' instiller dans les esprits quelque concept américain fumeux, soit qu'il faille à tout prix labourer les champs "cyber" dont la fluidité lisse trop parfaite nous angoisse dans notre rugosité d'esprits très organisés, déterministes - je m' explique;

1 - La volonté louable de vouloir définir des "normes" (j' explique les guillemets plus bas en #4) internationales en cyber-polémologie, ou cyber-conflictualité à tout le moins, va inéluctablement se heurter à la "volonté" des camps adverses - dont la rationalité et les normes sont diverses (Chine ? Iran ? etc?). Si l' on cherche à retrouver une dialectique nouvelle de la conflictualité (qui semble retrouver un champ plus libre dans le cyberespace), quelle pertinence si cela est fait "en interne", a fortiori OTAN, et a fortiori encore lorsque les limites interprétatives ne sont pas même consensuelles dans ce groupe ? Sans compter l'aspect fluide/lisse du cyberespace qui complique presque infiniment (car indéfiniment), déjà, les calculs, l' équation ne sera jamais complète si l'interprétation adverse n' est pas connue a minima (ce qui est aussi presque impossible, de par la "nature" du cyberespace).

2- Nous sommes donc selon moi, avec ce manuel, sur une tentative de définition de la conflictualité dans le cyberespace qui tient plus du réflexe de Pavlov occidentalo-centré que d' une vraie pensée stratégique. Le risque est ici de cristalliser trop tôt une pensée qui doit pourtant rester fluide, propre à son objet. Ainsi, l' affirmation " Il est grand temps qu'une position juridique cyber française émerge" ne me semble pas évidente. Et je ne pense pas que les français aient pour caractère de mal ou peu conceptualiser... Au contraire ! Non, ça n' est pas parce que la complexité du cyberespace est plus rapidement peignée par une approche empire plus typiquement anglo-saxone que les jeux sont faits ! Le premier qui aura parlé n' aura pas forcément raison... à condition il est vrai que le réflexion soit engagée en France, et nous savons qu' elle l' est bel et bien.

3- Autre contrepied, l' exemple des normes internationales déjà présentes dans le champ "classique" (conventions de Genève, Charte ONU, etc.). Ces normes sont allègrement piétinées dès lors qu'une situation devient trop critique pour tel ou tel Etat westphalien qui les placera toujours en dessous de ses intérêts vitaux (USA après le 9/11, Israel vs Palestine). Comment espérer/croire soi-même appliquer des normes similaires au cyberespace, éminemment incertain et propice aux actions clandestines ?

4-En effet, la conceptualisation de normes en cyber-conflictualité est-elle possible, même ? Je postule que le seul vrai déterminant du cyberespace est la couche informationnelle : elle seule apporte la complexité terminale qui - sous-tendue par les réseaux, i.e. la couche matérielle /logicielle tj rugueuse mais portée à une finesse de granularité au mieux asymptotique car toujours physique - fait du cyberespace un milieu véritablement fluide et lisse. Partant, dans un tel milieu, tout se vaut, c' est le libéralisme à outrance et tout azimut. Normaliser la conflictualité cybernétique reviendrait alors à conceptualiser l' Humanité même, unifiée par la Toile et déliée de ses atavismes politiques (puisque la Toile devient trans-frontalière, trans-nationale, trans-étatique, etc.). Possible ? En tout cas bien plus complexe que la déjà très complexe théorie (en admettant qu' elle soit Une) des relations internationales de notre vénérable grand père (par exemple R. Aron, qui en avait poutant compris plus qu'on ne lui reconnait avec sa déjà fluide "praxéologie de l' action"!).

J'arrête ici pour ce soir, mais j' y reviendrai avec plaisir!

Bien à vous.

egea: d'accord avec votre analyse de l'occidentalisme de l'approche. Sur espace lisse voir mon bouquin. Et sur la marginalité de l'approche juridique ou plus exactement son innefficacité, le voir aussi en complement de votre point de vue.

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://www.egeablog.net/index.php?trackback/1630

Fil des commentaires de ce billet