Légalité : le CCD COE a acquis une solide réputation en publiant, au début de l’année, le « Manuel de Tallinn » qui est un état des lieux du droit international en matière de cyberdéfense. Il fut placé dans l’optique du droit des conflits armés (charte des NU et protocoles de Genève) et donc dans une perspective interétatique. On a senti que les légistes (Pr. Schmitt, Pr Boothby) avaient un peu de peine à relancer leurs travaux. Pourtant, ceux-ci vont se poursuivre. Ainsi, autant la perspective légale dominait les débats lors des précédentes conférences, autant elle a paru moins prégnante lors de cette édition, ce qui ne signifie pas que tous les problèmes sont résolus.

En effet, même si le manuel de Tallinn n’est pas parvenu à un consensus sur tous les points auxquels il s’est intéressé, il avait pourtant apporté une aide précieuse au droit de la cyberdéfense, et il constitue une référence. Pourtant, la question majeure demeure : est-il applicable à des conflits entre des Etats et des entités non-étatiques ? Le Pr Schmitt a laissé entendre une réponse affirmative, mais elle n’apparaît toutefois pas aussi nette. Ainsi, il existe une immense zone grise entre un droit pénal qui demeure, généralement, national, et un droit international public qui ressort du droit des conflits armés. Cette zone reste à décrire et comprendre.

Stratégie : cette année, les parcours « stratégie » et « droit » avaient été confondus en un seul, à la différence de l’an dernier . Le public a eu ainsi peu de conférences de stratégie. En revanche, le parcours « technique » a été maintenu : je n’y ai quasiment pas assisté. On retiendra pourtant celle du Col (PB) Paul Ducheine sur un « General framework on military cyberoperations », qui retient le modèle à trois couches (physique, logique et sociale) et propose une classification des actions cyber : protection/sécurité, renseignement, application de la loi, autres cyber opérations, et campagne cyber (cyber warfare). Il note aussi la mise en œuvre d’actions cyber aux niveaux opératif et tactique, dès à présent au niveau sémantique. Le Col (PB) Former a proposé une méthode de prise en compte du cyber dans la planification opérationnelle et a évoqué la notion de triangle cyber capacitaire (renseignement, défensive, offensive). Enfin, le Dr Iasiello a évoqué l’utilité des opérations cyber pour les politiques étrangères à partir d’étude de cas, où il a montré que ces opérations ont pu être des succès tactiques mais n’ont jamais constitué de succès stratégique.

Lors d’une discussion avec des officiels américains, ceux-ci m’ont expliqué que le cyber était incorporé dans leur processus de planification grâce à la constitution d’une Joint Cyber Team permanente dans l’équipe de planification, avec des éléments venant du J3 et du J6. L’incorporation des spécialistes d’info ops est prévue. Enfin, la question se pose de rassembler toutes ces JCT des différents commandements régionaux sous l’autorité du Cyber command, de façon que le cyber devienne un Componant command, selon les ambitions du Général Alexander. Toutefois, il n’est pas du tout assuré que cette décision soit prise. Il reste qu’elle signifierait que le cyber ne demeure pas seulement l’attribut du niveau stratégique, mais qu’il peut être mis en œuvre par des niveaux inférieurs.

L’automatique et l’humain : cette année la CyCOn avait pris pour thème général « les agents automatiques ». Cela a donné lieu à de multiples conférences, qui ont pourtant souvent peu distingué entre les automatismes en général (les robots et tout particulièrement les drones) et les automatismes cyber. Cette analogie est peut-être fructueuse, mais a empêché cependant de bien appréhender ce qui appartient spécifiquement à l’automatisme cyber, et donc les conséquences qu’il faut en tirer.

Il reste qu’une des conclusions régulièrement répétée fut celle ce l’importance du facteur humain : beaucoup d’orateurs ont expliqué qu’on ne pouvait réduire le cyber à une simple technique et qu’il fallait incorporer la dimension humaine non seulement dans son contrôle, mais aussi dans son fonctionnement (et, bien sûr, dans ses sources d’erreur).

Par ailleurs, on s’est beaucoup interrogé sur les mesures de riposte automatique, sensées apporter la réactivité nécessaire au cyberespace. Pourtant, ces mesures présentent des risques, et notamment celui d’escalade de la violence (Jeffrey Caton).

Autonomie des agents : Une présentation sur des « agents intelligents autonomes » (A Guarino) a suscité beaucoup d’intérêt : en effet, il ne s’agit plus seulement d’automatisme mais aussi de prise d’initiative, autrement dit d’agents apprenants et s’adaptant. Cette idée mérite d’être approfondie. Mais de façon sous-jacente, cela pose la question de l’erreur (est-elle informatique, ou humaine ?) et donc de la responsabilité induite.

Internet des objets : Ce fut le mot magique de la conférence (j’imagine que l’an dernier, cela a dû être Big Data). L’Internet des objets (et même l’étape suivante, « Internet of everything » (l’Internet de tout) selon B. Covington) suscite beaucoup d’interrogations, car il rend bien compte de l’automatique à venir. En quoi cela aura-t-il des conséquences sur la conflictualité ?

Militaire : de façon transversale, un mot a traversé les interventions, sans qu’il suscite de débat direct : celui de « militaire ». En effet, très souvent, l’adjectif « militaire » est apparu comme donné, et donc comme un « critère ». Cela est surprenant car à l’origine, le militaire est celui qui se spécialise pour répondre à une réalité existante, la guerre. Or, le cyber paraît flou et les limites peu marquées : la distinction entre « paix » et « guerre », entre public et privé, entre civil et militaire semble imprécise. Une solution inconsciente consiste alors à prendre le « militaire » comme le critère du conflit. S’il y a du militaire, alors nous sommes en présence d’un conflit armé, ce qui constitue, à l’évidence, un retournement de la logique. Alors que l’organe répondait à la fonction, l’organique devient le critère de la fonction…

Ethique : voici probablement le sujet le plus nouveau. Trois interventions ont été prononcées, dont deux passionnantes (Dr Taddeo et Sh. Vallor, PhD). Certes, elles ont étendu la réflexion éthique existant sur les drones aux « systèmes automatiques » ce qui n’est pas proprement cyber. Ainsi, un drone est piloté : un maliciel l’est-il ? Le maliciel ne ressemble-t-il pas plus à un missile (programmation, tire et oublie) ? De même, les caractéristiques des agents cyber (duplication, mutabilité) ne les rendent-ils pas différents des autres agents automatiques plus tangibles ?

Il reste que voici un domaine de réflexion neuf et qui méritera d’être approfondi car cela pose la question de la responsabilité. Or, contrairement à ce qu’a affirmé le Pr Boothby, 99 % des problèmes ne sont pas résolus par le cadre légal. La responsabilité entraîne des questions bien sûr légales, mais aussi politiques, de commandement, et morales. Un séminaire est organisé par le CCD COE à Rome en novembre sur le sujet.

Conclusion : de très nombreuses conférences ont permis un débat riche et divers. Comme toujours dans ces circonstances, chacun a pu y piocher selon ses besoins et centres d’intérêt. Surtout, la durée des débats (trois jours et demi) a permis de nombreuses rencontres, contacts, discussions, qui sont l’autre grand intérêt de ces événements. Elle a permis à des personnalités de parler, comme le président estonien M. Toomas IIves, ou le général Alexander, commandant la NSA et le Cyber Command américain.

La CyCon apparaît donc comme l’équivalent dans le domaine des cyberconflits de la Conférence de sécurité de Munich pour les questions de sécurité, ou Davos pour les questions économiques.

O. Kempf