Manuel de Tallinn
Le Manuel de Tallinn est un guide rédigé par un groupe d’experts mandatés par l’OTAN, qui propose une transposition du droit international aux cyberconflits. La deuxième version de ce projet est parue en 2017[1]. Il est possible d'obtenir ce Manuel sur le site internet du CCD COE.
Une troisième édition est en préparation et devrait paraître en 2026.
Origine
modifierL'OTAN manifeste un intérêt certain pour le cyberespace depuis les années 2000. Sa politique de cyberdéfense se fonde non seulement sur la coopération et la défense collective de ses alliés mais également sur la nécessité pour les États de développer des capacités toujours plus à la pointe. De l'évolution constante des nouvelles technologies ont découlé de nouvelles menaces appelées cyberattaques. En 2007, l'Estonie a été la cible de violentes attaques cybernétiques[2]. Ne souhaitant plus être prise au dépourvu, l'Estonie a développé de réelles capacités dans ce domaine, si bien que l'OTAN y installa son Centre d’excellence de coopération pour la cyberdéfense de l’organisation (CCD COE), à Tallinn Ce centre "indépendant" de l'OTAN a pris l'initiative de réunir un groupe d'experts de nationalités différentes dont la concertation de trois ans a abouti à la rédaction du Manuel de Tallinn relatif à l'applicabilité du droit des conflits armés aux cyber-attaques employées dans le cadre d'un conflit armé international ou non international. Ce texte bien que non contraignant apporte des pistes de réflexions intéressantes.
Le comité était présidé par Michael N.Schmitt, président et professeur au département juridique de l’United States Naval War College. Une vingtaine d’experts indépendants ont élaboré le manuel, assistés ponctuellement par d’autres organismes tels que le Comité international de la Croix-Rouge (CICR), l’Allied Command Transformation (ACT) et l’US Cyber command.
Enjeux
modifierTenter de transposer les règles de droit international actuellement applicables à l'utilisation des armes conventionnelles en période de conflits, aux armes cybernétiques
modifierLa révolution du numérique a engendré une nouvelle forme de menaces : les cyberattaques. Soucieux de se défendre mais également de pouvoir riposter, la majorité des États ont intégré dans leur arsenal militaire ces nouvelles armes (volet offensif et défensif)[3]. La multiplication des attaques cybernétiques[4] et le discours dissuasif de certains États (exemple : États-Unis)[5] poussent à se poser la question de la nécessité d'un encadrement juridique plus précis de ces armes.
Le Centre de cyberdéfense de l'OTAN, à travers la réunion de son groupe d'experts s'est penché sur la question de l'applicabilité du droit international (notamment le droit des conflits armés et le droit international humanitaire) aux cyberattaques employées dans le cadre de conflits armés. Il est important de souligner que nous ne sommes pas en présence d'un vide juridique. En effet, certaines organisations comme le CICR et des États (exemples : l'Australie ou encore les États-Unis)[6] considèrent que le droit international existant est suffisant pour encadrer les cyberattaques.
En reprenant cette idée, le groupe d'experts dirigés par Michael N. Schmitt a décidé de transposer les règles de droit international existantes aux cyberattaques. De cette étude, 95 règles ont été reprises, transformées, développées, expliquées afin de comprendre quel pourrait être le cadre juridique le plus précis applicable à ces armes dans le jus ad bellum (droit de faire la guerre) et le jus in bello (droit dans la guerre).
Prévenir les dérives et l'escalade de la violence
modifierParadoxalement, alors que certaines des dernières cyberattaques les plus violentes sont généralement imputées aux États-Unis (Stuxnet, Flame), ces derniers ont à plusieurs reprises indiqué qu’ils n’hésiteraient pas à répondre à ce genre d’attaques et à utiliser « tous les moyens nécessaires — diplomatiques, relatifs à l'information, militaires et économique — en fonction des besoins et dans le respect du droit international, pour défendre notre pays, nos alliés, nos partenaires et nos intérêts»[7]
Ainsi, même si l’application du droit international aux cyberattaques pourrait autoriser par voie d’exception le recours à la légitime défense pour les États visés par les attaques, cela les contraindrait pour autant à respecter les principes directeurs du droit des conflits armés. À l’instar d’un conflit armé « classique », les belligérants seraient limités dans les moyens de faire la guerre par les conventions de La Haye et de Genève. La transposition du droit international aux cyberattaques et cyberconflits est donc protectrice tant pour l’attaquant que pour l’attaqué, qu’il soit combattant, groupe armé ou État.
Par ailleurs, les rédacteurs du Manuel indiquent qu’il est possible d’assimiler des cyberconflits à des conflits armés dans la mesure où les conséquences qui découlent des attaques sont semblables ou similaires. Plusieurs débats sont cependant ouverts concernant la qualification des cyberattaques en « attaque armée » au sens de la Résolution 3314 de la Charte des Nations unies. Il serait également plus acceptable de parler de cyberconflit que de cyberguerre, les moyens cybernétiques étant utilisés en complément des moyens conventionnels.
Contenu
modifierL'objectif du Manuel de Tallinn étant d'apporter un éclairage sur l'interprétation possible des normes internationales du droit des conflits armés au domaine cyber, les experts ont envisagé de le rédiger sous la forme d'une énumération de règles qui sont au nombre de 95. L'approche interprétative développée sous la forme d'une liste exhaustive est le fruit d'un consensus entre les experts sur les questions du jus ad bellum (droit de faire la guerre) et du jus in bello (droit de la guerre dans le cadre d'un conflit armé international et/ou d'un conflit armé non international).
Les règles de droit international analysées par les experts du Manuel de Tallinn
modifierLe droit international ne dispose actuellement d'aucun texte encadrant spécifiquement l'emploi des cyberattaques dans les conflits armés. C'est à partir de ce constat que les experts du Manuel de Tallinn ont envisagé d'analyser à travers les différentes normes juridiques internationales, leur application quant à cette nouvelle forme d'attaque. On entend par normes de droit international applicables aux cyberconflits, qu'ils soient internationaux ou non, celles relevant notamment du jus ad bellum et du jus in bello. En effet, le Manuel de Tallinn appuie son argumentation sur l'intégralité du corpus juridique international à savoir :
- les conventions et traités internationaux sur le droit de la mer, de l'air, des télécommunications et de l'espace extra-atmosphérique.
- les conventions et traités internationaux relatifs au droit de la guerre (les conventions de Genève, les protocoles additionnels, les conventions de La Haye et la convention sur l'interdiction ou la restriction de l'emploi de certaines armes.
- les conventions et traités relatifs aux statuts des Tribunaux pénaux internationaux (TPIR et TPIY) et la Cour internationale de justice
- les conventions et traités relatifs aux droits de l'enfant, à la protection des biens culturels, ainsi qu'à l’environnement.
La jurisprudence a également été utilisée par les experts. En effet, certains arrêts rendus par la Cour internationale de justice sont susceptibles d'apporter des éléments de réponses aux questions que l'on viendrait à se poser :
- « Activités militaires et paramilitaires au Nicaragua et contre celui-ci »(1986)[8]
- « Les plateformes pétrolières »(2003)[9]
- « Tadić » (1995,1997,1999)[10]
- « Milošević » (2004)[11]
Enfin, les experts du Manuel de Tallinn se sont inspirés de la doctrine. En effet, de nombreux organismes internationaux se sont positionnés sur le sujet de l'emploi des cyberattaques dans les conflits, notamment le CICR dans le cadre de sa mission de promouvoir le respect du droit international humanitaire et son intégration dans les législations nationales[12]. Les divers manuels militaires de droit opérationnel ont également servi de pistes pour les différents rédacteurs.
Les cyberattaques et le jus ad bellum : les questions du recours à l'emploi de la force, de l'agression armée et de la légitime défense dans le cyberespace
modifierPour étudier la question du recours à l'emploi de la force, les experts du Manuel de Tallinn sont partis de l'article 2§4 de la Charte des Nations unies qui énonce : « Les membres des Nations Unies s'abstiennent dans leurs relations internationales, de recourir à la menace ou à l'emploi de la force, soit contre l'intégrité territoriale ou l'indépendance politique de tout État, soit de toute autre manière incompatible avec les buts des Nations Unies. »
À partir de cela, on peut estimer que des attaques informatiques sont susceptibles de relever de l'usage de la force au sens de cet article, à condition toutefois que les effets de ces attaques soient comparables, en termes de létalité et de destruction à ceux d'attaques conventionnelles ou nucléaires, biologiques ou chimiques. Le Manuel de Tallinn énonce « qu'une opération cyber constitue un emploi de la force quand son niveau (degré/seuil d'intensité) et ses effets sont comparables à une opération traditionnelle(non cyber) qui aurait atteint le niveau de l'emploi de la force ». L'analyse porte donc sur un facteur quantitatif et qualitatif.
Michael N. Schmitt a répertorié plusieurs indices permettant de qualifier une cyberopération en emploi de la force[13] :
- la sévérité des dommages
- l'immédiateté
- la cause à effet
- le degré d'invasion-pénétration dans le système
- l'évaluation des effets
- le caractère militaire
- l'implication de l’État
- la présomption de légalité
Les cyberattaques et le jus in bello : la question de la conduite des hostilités dans le cyberespace
modifierDeux enjeux importants sont également présents dans le Manuel de Tallinn, à savoir :
- la qualification de l'opération cyber en conflit armé international ou non international (permet l'application du droit des conflits armés)
- la définition de l'attaque cybernétique
Le Manuel est très clair sur le premier point. Les opérations cyber réalisées dans le cadre d'un conflit armé doivent respecter le droit des conflits armés. Les experts sont unanimes sur cette analyse, à l'exception de certains qui estiment que la connexion ne s'applique pas automatiquement à toutes les cyberattaques mais seulement à celles ayant un lien suffisant entre l'opération et les buts militaires.
Les experts se sont également penchés sur les notions de « conflit armé international » et « conflit armé non international ».
- Le premier cas se caractérise par des hostilités incluant des opérations cyber ou étant restreintes à de telles opérations entre deux ou plusieurs États. Cela est également admis pour les acteurs non étatiques agissant "sous le contrôle" d'un État. Aucun consensus n'a été trouvé concernant le niveau d'intensité de l'hostilité permettant de déterminer de l'internationalisation du conflit.
- Le second cas peut être constaté lorsqu'il y a une violence armée prolongée qui inclut ou est limitée à une cyberopération entre les forces armées d'un gouvernement et un groupe armé ou encore entre deux ou plusieurs groupes armés. Un seuil minimum d'intensité doit être atteint lors de la confrontation, et les parties au conflit doivent montrer un minimum d'organisation.
En ce qui concerne la définition de l'attaque cybernétique, celle-ci serait selon les experts une "opération cybernétique, offensive ou défensive, dont on peut raisonnablement attendre qu'elle cause des pertes en vies humaines, des blessures aux personnes, des dommages ou des destructions de biens. Utilisée dans le cadre de conflits, elle devra obligatoirement respecter le principe de distinction entre civils et combattants, le principe de proportionnalité, la nécessité et la concomitance.
Critiques
modifierPoints forts du Manuel de Tallinn
modifierCe Manuel a permis la création de 95 règles de droit pour lesquelles la règle du consensus a été respectée. Cela est d'autant plus remarquable que certaines nationalités présentes à la réflexion et à la rédaction n'étaient pas parties aux protocoles additionnels aux Conventions de Genève. Il est intéressant de constater que l'ensemble des participants ont ainsi pu apporter leur expertise en se référant à leurs manuels opérationnels dans le but de proposer des définitions de règles de droit communes. Des accords ont également été trouvés sur les critères de qualification d'emploi de la force et d'agression armée en droit international mais aussi sur la qualification d'une cyberattaque dans la conduite des hostilités lors d'un conflit armé international ou non international.
Points faibles du Manuel de Tallinn
modifierIl a été fortement critiqué, notamment par le professeur Huang Zhixiong de l'université de Wuhan, déplorant le fait que la majorité des participants/rédacteurs soient majoritairement des Anglo-saxons[14]. Les critiques majeures sous-entendent que le Manuel de Tallinn ne reflétait pas la vision de la Communauté Internationale mais seulement d'une poignée de nationalités. La critique semble cependant avoir été prise en compte puisque les consultations en vue de la rédaction du Manuel de Tallinn 2.0 (à paraître fin 2016) ont réuni plus de 50 États[15]. Cependant, les notions faisant le plus débat n'ont pour autant pas trouvé de solution, comme par exemple pour la légitime défense (CICR c/ USA). Les seuils d'intensité n'ont pas fait l'objet de consensus laissant ainsi une assez grande marge d'interprétation aux États.
Enfin, le Manuel de Tallinn a développé des critères extensifs d'une ampleur telle qu'il n'est pas applicable au regard du contexte actuel. En effet, aucune cyberattaque ou cyberopération n'a jusqu'à aujourd'hui atteint une ampleur en matière de conséquences et de dommages physiques tels que décrits dans le Manuel. Cela ne signifie pas que ce ne sera jamais le cas. Actuellement, aucune cyberopération n'a abouti à un tel niveau de gravité entrainant l'application du champ de qualification proposé dans le Manuel.
Le Manuel de Tallinn expose l'importance des moyens cyber dans les conflits et leur évolution exponentielle. Les experts, dont Michael Schmitt, estiment que dans le futur la création d'un texte les encadrant spécifiquement s'avérera nécessaire voire crucial.
Notes et références
modifier- (en) « The Tallinn Manual », sur ccdcoe.org (consulté le ).
- L'Estonie dénonce les cyber-attaques terroristes russes
- « Livre blanc sur la Défense et la Sécurité nationale 2013 », sur calameo.com (consulté le ).
- « defense.gouv.fr/content/downlo… »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?).
- Le Monde avec AFP, « Les Etats-Unis pourraient répliquer militairement à une potentielle cyberattaque », Le Monde, (lire en ligne).
- http://unbisnet.un.org:8080/ipac20/ipac.jsp?session=1425I501324LY.58410&profile=bib&uri=link=3100006~!1277140~!3100001~!3100040&aspect=alpha&menu=search&ri=1&source=~!horizon&term=A%2F66%2F152&index=ZUNSYMA
- Les États-Unis pourraient répliquer militairement à une potentielle cyberattaque, Le Monde, 31 mai 2011.
- http://www.icj-cij.org/docket/files/70/6502.pdf
- http://www.icj-cij.org/docket/files/90/7287.pdf
- http://www.icty.org/x/cases/tadic/acjug/fr/tad-991507f.pdf
- http://www.icty.org/x/cases/slobodan_milosevic/tdec/en/040616.htm
- « Pas de vide juridique dans le cyberespace », sur icrc.org (consulté le ).
- http://digitalcommons.law.villanova.edu/cgi/viewcontent.cgi?article=1019&context=vlr
- « Tallinn 2.0 and a Chinese View on the Tallinn Process » (consulté le )
- « Over 50 States Consult Tallinn Manual 2.0 », (consulté le )
Voir aussi
modifierArticles connexes
modifier- Conventions de Genève de 1949
- Droit international humanitaire
- Droit des conflits armés
- Droit de la guerre
- Éthique militaire