Lors du récent sommet de l’OTAN au pays de Galles, les Alliés ont placé la cyberdéfense sous le couvert de l’article 5 du traité : « Nous affirmons dès lors que la cyberdéfense relève de la tâche fondamentale de l’OTAN qu’est la défense collective. Il reviendrait au Conseil de l’Atlantique Nord de décider, au cas par cas, des circonstances d’une invocation de l’article 5 à la suite d’une cyberattaque » (art. 72 de la déclaration finale du sommet). Cette décision soulève un certain nombre de questions (par exemple par si vis pacem, qui a été le déclencheur de cet article, merci à lui, voir aussi un billet précédent de ma plume). Nous chercherons dans cet article à examiner l’étendue de cette cyberprotection désormais assurée par l’article 5 du traité.

Qu’est-ce qui est réellement protégé ?

En fait, il s’agit simplement des réseaux de l’Alliance (et leurs connexions nationales) : mais il ne semble pas qu’une attaque contre des infrastructures propres à un pays déclenche automatiquement l’appel à l’article 5. Toutefois, un pays qui serait frappé pourrait probablement juger politiquement adéquat d’invoquer l’article 5. (Art 72 : « la responsabilité fondamentale de l’OTAN en matière de cyberdéfense est de défendre ses propres réseaux et l’assistance aux Alliés doit être envisagée dans un esprit de solidarité, en soulignant la responsabilité des Alliés qui est de développer les capacités appropriées pour la protection des réseaux nationaux »).

Dès lors, les principes affichés permettent de circonscrire la garantie donnée puisque le texte parle du « principe de l’indivisibilité de la sécurité des Alliés ainsi que les principes de prévention, de détection, de résilience, de rétablissement et de défense » (a. 72).

Quel est le seuil de déclenchement ?

La déclaration affirme : « Les cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique. Leur impact sur les sociétés modernes pourrait être tout aussi néfaste que celui d’une attaque conventionnelle. » (a. 72). On le voit, le texte est assez flou. On comprend que le niveau de l’agression doit être suffisamment élevé pour que les dégâts occasionnés soit assimilables à une attaque conventionnelle.

Constatons que cette question du seuil était déjà pertinente lorsqu’on considérait les cyberstratégies nationales : elle prend encore plus d’acuité dans le cadre allié. Ainsi, un pays qui serait attaqué pourrait tout à fait considérer que l’agression est insupportable quand ses alliés seraient moins sensibles au niveau de dommage. Une autre question cruciale, valable là aussi pour des stratégies nationales, prend un relief nouveau dans le cadre allié : qu’est-ce qu’une infrastructure critique ? Prudemment, la déclaration n’utilise pas l’expression.

On peut également se référer à un certain nombre de précédents. Ainsi, lors de la campagne aérienne au Kossovo en 1999, les sites Internet de l’OTAN avaient été attaqués par des patriotes serbes et russes, au point qu’à l’époque on avait évoqué une « Web war one ». Pourtant, il ne s’agissait que des sites publics et les réseaux internes, notamment les réseaux opérationnels et les réseaux classifiés, n’avaient pas été touchés. En 2007 en Estonie, le pays avait eu d’énormes problèmes de fonctionnement de son Internet, l’accès à des sites publics et privés étant durablement affecté par des DDOS massives. Toutefois, si le pays avait été ralenti pendant quelques jours, si un ministre estonien avait comparé cela à une sorte de blocus, si l’opération avait incontestablement revêtu une grande ampleur, on n’avait déploré aucun décès ni dommage grave. Certes, les Alliés avaient alors pris conscience de la potentialité des agressions cyber mais s’agissait-il réellement d’infrastructures « critiques » ? Des infrastructures privées (le réseau bancaire) ont elles la même signification stratégique que des infrastructures publiques (le réseau du ministère des finances) ? Surtout, cela entraînait-il forcément le déclenchement d’une riposte ?

L’Alliance conserve une certaine ambiguïté sur ces questions, à dessein car l’ambiguïté fait partie de la dissuasion recherchée. Ainsi, Jamie Shea, Vice secrétaire général adjoint aux Défis de sécurité émergents, déclare-t-il : « For the first time we state explicitly that the cyber realm is covered by Article 5 of the Washington Treaty, the collective defence clause. We don’t say in exactly which circumstances or what the threshold of the attack has to be to trigger a collective NATO response and we don’t say what that collective NATO response should be."This will be decided by allies on a case-by-case basis, but we established a principle that at a certain level of intensity of damage, malicious intention, a cyber attack could be treated as the equivalent of an armed attack . » (*)

Quelle justification légale ?

Sans surprise, les Alliés reprennent la hiérarchie des normes déjà établie par le manuel de Tallinn : « Par ailleurs, notre politique établit que le droit international, notamment le droit international humanitaire et la Charte des Nations Unies, s’appliquent dans le cyberespace » (a. 72). Rappelons toutefois que le manuel de Tallinn, publié par le Centre d’Excellence de Cyberdéfense estonien, n’est pas un document officiel mais simplement le résultat de plusieurs mois de discussions entre juristes spécialistes du droit humanitaire et du droit des conflits armés. Cela constitue bien sûr une clef d’interprétation mais ne constitue pas, au sens propre, un document officiel de l’OTAN. D’ailleurs, un certain nombre de points demeurent en débat.

C’est pourquoi il est intéressant de noter que la déclaration ne mentionne que le droit international humanitaire et la Charte des Nations-Unies, non le droit des conflits armés (DCA) : est-ce qu’il faut comprendre que le « droit de la guerre », qui appartient au DCA, n’est pas incorporé dans les questions de cyberconflictualité ? Mais alors, comment le placer sous l’article 5 ? Autant de questions d’un néophyte auxquelles les juristes répondront sans doute.

Il reste que l’Alliance s’inscrit dans une certaine hiérarchie des normes et, conformément au traité de l’Atlantique Nord, se réfère à la Charte.

Quelle attribution ?

Supposons résolue la question du seuil, une autre question surgit alors : contre qui ? En effet, l’inattribution constitue un des principes stratégiques du cyberespace. Les acteurs, pour peu qu’ils prennent des précautions suffisantes, réussissent assez facilement à camoufler leurs actions. On ne réussit pas à désigner « scientifiquement » l’auteur d’un acte, même si des méthodes de faisceaux d’indices permettent de l’identifier. L’agressé subodore l’identité de l’agresseur mais il a toujours une marge d’incertitude pour déterminer à 100 % l’auteur de l’agression. Pourtant, cela suffit en général pour emporter la décision, du moins dans un système assez centralisé comme celui d’un État. Or, l’organe de décision de l’Alliance s’appelle le Conseil de l’Atlantique Nord où les 28 Alliés ont la même voix. L’établissement d’une vue commune est difficile à établir et on peut imaginer que tel ou tel allié, s’il y trouve un intérêt politique, prendra appui sur l’incertitude de la désignation de l’agresseur pour ralentir la prise de décision. Depuis une certaine éprouvette agitée lors de la discussion en 2003 au Conseil de Sécurité des Nations-Unies sur la question irakienne, la notion de « preuves » avancées pour déclencher une opération internationale a pris une acuité certaine. Surtout, il faudra établir la communication associée : convaincre un décideur est une chose, convaincre l’opinion publique en est une autre. Or, autant un État peut prendre certaines mesures et agir discrètement, autant cette discrétion est difficile à tenir à 28. Aussi toute action de l’OTAN (surtout si elle était prise sous couvert de l’article 5) devrait bénéficier d’une action de communication portant notamment sur la désignation de l’ennemi.

Quelle riposte ?

À supposer toutes les difficultés surmontées et les décisions prises, que pourrait faire l’OTAN ? En fait, pas grand-chose. Beaucoup de journalistes mentionnent le Centre de Tallinn mais cet organisme n’appartient pas à la structure intégrée de l’Alliance et n’a pas de compétences opérationnelles (*). Il y a bien quelques équipes techniques travaillant à Mons et à Bruxelles mais elles ne paraissent pas taillées pour répondre à une crise de grande ampleur : elles sont en fait dimensionnées pour protéger les réseaux de l’OTAN, comme on l’a déjà dit.

Certes, le communiqué évoque un « cyberpolygone », expression nouvelle dans le vocabulaire de l’Alliance, ce qui témoigne d’une véritable innovation, au moins sémantique : « Nous développerons la capacité de cyberpolygone OTAN en nous appuyant, dans un premier temps, sur la capacité de cyberpolygone estonienne, tout en tenant compte des capacités et des besoins de l’École des systèmes d’information et de communication de l’OTAN et d’autres établissements OTAN de formation et d’entraînement ». Mais comme on le voit, il s’agit d’instrument de formations et d’entraînement, pas vraiment de riposte à des agressions cyber. C’est ce qu’indique Christian Liflander, spécialiste de la question au siège de l’OTAN : « Our role when it comes to cyber defence, is to serve as a platform for allies ».

D’autant plus que l’Alliance n’aurait pas de capacités offensives, ainsi que l’a déclaré le Secrétaire Général Adjoint Ducaru : « Il n’est pas du tout question de se lancer dans des opérations cyberoffensives, qui restent du ressort de chaque État membre ». Dès lors, la capacité de riposte ne constituerait pas une capacité partagée à 28 (« commune », dans le jargon allié) mais elle dépendrait du bon vouloir d’un des Alliés qui en disposerait. Cela fait immédiatement penser, toutes choses égales par ailleurs, au nucléaire : l’Alliance n’est nucléaire que parce qu’un des Alliés - les États-Unis - met à disposition de l’Alliance sa garantie nucléaire. Celle-ci a d’ailleurs été un peu partagée au moyen de certaines bombes qui seraient emportées par des avions alliés non américains, avec un système de double clef de mise à feu. Il reste que la capacité de dissuasion nucléaire alliée repose essentiellement sur les Américains et leur décision autonome (la capacité nucléaire de la France et du Royaume-Uni est égalemnt reconnue).

Ce modèle pourrait donc être reconduit : toutefois, aucun détail, aucune allusion n’ont été donnés. Nous sommes ici dans de la spéculation pure. Personne ne sait si aujourd’hui les États-Unis accepteraient de mettre à disposition une arme de leur panoplie cyber à disposition de l’Alliance, dans le cas où les Alliés déclareraient l’article 5.

La question de l’escalade

Un dernier point demeure dans l’ombre : celui de l’éventuelle escalade. Convenons d’emblée que d’une façon générale, cette question est peu abordée par les stratégistes, y compris dans le cadre de stratégies nationales : on ne saurait faire grief à l’Alliance de conserver sur cette question un silence prudent.

Toutefois, la question de l’escalade est double : à l’intérieur du cyber, mais aussi entre le cyber et les autres sphères stratégiques (*). En effet, la question de la riposte se double d’une autre, celle de la proportionnalité de la riposte. Or, face à une attaque cyber, faut-il répondre par une attaque cyber ? La proportion signifie-t-elle justement de demeurer dans le cyberespace ? Mais si l’attaque a été suffisamment grave au point d’être comparable à une attaque conventionnelle, la riposte doit-elle également infliger des dommages équivalents ? De plus, comme il n’existe pas de cyberarme absolue et que chaque arme doit être adaptée en fonction de la cible, ce qui prendrait du temps, comment répondre à l’exigence de simultanéité de la riposte ?

Face à toutes ces difficultés, une option ne pourrait-elle pas consister à utiliser des armes conventionnelles qui auraient l’avantage de répondre au besoin de simultanéité mais aussi de maîtriser les effets ? Cela serait de plus certainement plus dans les capacités actuelles de l’Alliance… Cependant, une telle option poserait la question de l’équivalence d’une riposte conventionnelle à une agression cyber (même si celle-ci a eu, on l’a vu, des effets comparables à une attaque conventionnelle) : mais le critère de déclenchement entraîne-t-il la même liberté de réponse ? Personne ne répond aujourd’hui à ces questions et, à dire le vrai, bien peu sont ceux qui les posent.

En conclusion, d’autres difficultés opérationnelles et politiques pourraient également être détaillées : ce court article ne visait qu’à relever les principales car le sujet est immense.. Il reste cependant à constater qu’au-delà de la déclaration de principe, qui constitue à l’évidence un signal politique et symbolique important et non négligeable, la mise en œuvre d’une riposte cyber sous le couvert de l’article 5 paraît aujourd’hui délicate à mettre en œuvre. Mais de toute façon, toute mise en œuvre de l’article 5 serait délicate.

O. Kempf

• Signalons ici que la décision de placer le cyber sous l’article 5 a été prise à une réunion ministérielle en juin 2014 : la déclaration de Galles ne fait que donner de la publicité une décision que les spécialistes avaient remarquée en son temps
• Pour plus de détail, voir le chapitre 15 consacré à la cyberdéfense de mon ouvrage L’OTAN au 21ème siècle, Éditions du Rocher, 2014.
• Sur la notion de sphère stratégique, voir O. Kempf, Introduction à la cyberstratégie, Economica, 2012

Références:

Les deux articles (72 et 73) portant sur la cyberdéfense de la déclaration des chefs d’Etat et de Gouvernement, publiée à l’issue du sommet de Galles, le 4 septembre 2014 (http://www.nato.int/cps/en/natohq/official_texts_112964.htm?selectedLocale=fr) : Art 72 L’Alliance estime qu’à l’avenir, les cybermenaces et les cyberattaques continueront de se faire de plus en plus fréquentes, sophistiquées et potentiellement dommageables. Pour répondre à ce défi en constante évolution, nous avons entériné une politique de cyberdéfense renforcée, qui contribuera à l’accomplissement des tâches fondamentales de l’Alliance. Cette politique réaffirme le principe de l’indivisibilité de la sécurité des Alliés ainsi que les principes de prévention, de détection, de résilience, de rétablissement et de défense. Elle rappelle que la responsabilité fondamentale de l’OTAN en matière de cyberdéfense est de défendre ses propres réseaux et que l’assistance aux Alliés doit être envisagée dans un esprit de solidarité, en soulignant la responsabilité des Alliés qui est de développer les capacités appropriées pour la protection des réseaux nationaux. Par ailleurs, notre politique établit que le droit international, notamment le droit international humanitaire et la Charte des Nations Unies, s’appliquent dans le cyberespace. Les cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique. Leur impact sur les sociétés modernes pourrait être tout aussi néfaste que celui d’une attaque conventionnelle. Nous affirmons dès lors que la cyberdéfense relève de la tâche fondamentale de l’OTAN qu’est la défense collective. Il reviendrait au Conseil de l’Atlantique Nord de décider, au cas par cas, des circonstances d’une invocation de l’article 5 à la suite d’une cyberattaque.

Art 73 Nous sommes déterminés à développer plus avant nos capacités nationales de cyberdéfense, et nous renforcerons la cybersécurité des réseaux nationaux dont l’OTAN dépend pour mener à bien ses tâches fondamentales, afin de contribuer à assurer la résilience et la protection complète de l’Alliance. L’étroite coopération bilatérale et multinationale joue un rôle essentiel dans le renforcement des capacités de cyberdéfense de l’Alliance. Nous continuerons d’intégrer la cyberdéfense aux opérations, à la planification opérationnelle et à la planification de circonstance de l’OTAN ainsi que d’améliorer le partage de l’information entre les Alliés et notre connaissance de la situation. Le rôle que jouent les partenariats forts est essentiel face aux cybermenaces et aux cyberrisques. Par conséquent, nous allons continuer de collaborer activement sur la cybersécurité avec les pays partenaires concernés, au cas par cas, et avec d’autres organisations internationales, y compris l’UE, comme convenu, et nous intensifierons notre coopération avec le secteur industriel, dans le cadre d’un cyberpartenariat OTAN-industrie. Les innovations et les connaissances technologiques du secteur privé sont indispensables pour que l’OTAN et les Alliés puissent atteindre les objectifs énoncés dans la politique de cyberdéfense renforcée. Nous accroîtrons le niveau des activités de formation et d’entraînement ainsi que des exercices en matière de cyberdéfense menés à l’OTAN. Nous développerons la capacité de cyberpolygone OTAN en nous appuyant, dans un premier temps, sur la capacité de cyberpolygone estonienne, tout en tenant compte des capacités et des besoins de l’École des systèmes d’information et de communication de l’OTAN et d’autres établissements OTAN de formation et d’entraînement.