« Si une attaque cyber s’apparente à un acte de guerre, notamment par la gravité de ses effets, une riposte adéquate s’impose, au-delà même de la neutralisation des seules infrastructures impliquées, dans une logique cette fois de conflit ouvert », avait expliqué, en décembre 2016, Jean-Yves Le Drian, alors ministre de la Défense. Et d’ajouter : « Une attaque informatique majeure, eu égard aux dommages qu’elle causerait, pourrait constituer une agression armée au sens de l’article 51 de la Charte des Nations unies et justifier l’invocation de la légitime défense. »
Seulement, cette posture suppose de répondre à au moins deux questions. Ainsi, quelle riposte peut-on envisager après une attaque informatique ayant perturbé pendant quelques heures le fonctionnement d’une centrale électrique, comme cela est devenu presque courant en Ukraine? En d’autres termes, quel est le curseur pour envisager d’éventuelles représailles?
Mais pour pouvoir riposter, encore faut-il déterminer l’identité de l’agresseur. Ce qui est encore loin d’être évident. C’est même le « grand problème du cyberespace », avait dit, en février 2017, Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cela étant, l’on a souvent une idée du responsable d’une attaque informatique… Et l’attribution de cette dernière est avant tout une décision politique, basée sur un faisceau d’indices.
Si, par exemple, une attaque informatique se produit sur le fuseau horaire de Moscou et que le code malveillant que l’assaillant a introduit dans le système visé contient des caractères en cyrillique, il convient d’être prudent. « Tout cela peut aussi bien être une ruse pour orienter l’attribution de manière délibérée », avait expliqué M. Poupard.
Quoi qu’il en soit, l’Otan se penche sur ces questions, comme l’a indiqué le général Curtis Scaparrotti, le commandant suprême des forces alliées en Europe (SACEUR) lors d’une audition parlementaire, la semaine passée.
Cela étant, sur ce sujet, la déclaration finale publiée à l’issue du sommet de Newport, en septembre 2014, souligne que les « cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique » et que « leur impact sur les sociétés modernes pourrait être tout aussi néfaste que celui d’une attaque conventionnelle. »
« Une cyberattaque peut être considérée comme un cas pour l’Alliance. L’Otan, alors, peut alors et doit réagir. Comment? Cela dépendra de la sévérité de l’attaque », avait ensuite expliqué Jens Stoltenberg, le secrétaire général de l’Otan.
Ainsi, selon le SACEUR, les activités déstabilisatrices de la Russie contre certains membres de l’Otan restent « au-dessous du seuil » qui pourrait déclencher l’article 5. Et de préciser que les actions de Moscou sont en général « ambiguës, ce qui risque de rendre une décision difficile. » « Mais je dirais que les pays de l’Otan en sont conscients et qu’ils y travaillent », a-t-il ajouté.
Interrogé pour savoir si les Européens n’allaient pas se diviser sur ce sujet, le général Scaparrotti a dit penser au contraire « qu’ils peuvent se mettre d’accord sur quelque chose qui serait une attaque méritant l’article 5. »
Si l’Otan arrive à trouver un compromis sur une telle définition, alors « avoir une plus grande agilité, une plus grande flexibilité sur la réponse à apporter », a estimé le SACEUR.
Pour rappel, le cyberespace est considéré par l’Otan comme « un domaine opérationnel » à part entière depuis 2016.