L’OTAN publie le « Manuel de Tallinn« , un essai consacré aux aspects légaux de la cyber-guerre. En chantier depuis trois ans, le document se propose de positionner le cyber dans le corpus de règles internationales qui encadrent la guerre conventionnelle (à la fois l’usage de la force par les Etats et le déroulement des opérations elles-mêmes).

« Aucun traité international ne couvre spécifiquement la cyber-guerre, mais le droit de la guerre s’applique au cyber » note en préambule le document. Et c’est là le point de départ d’un impressionnant travail d’équilibriste : il a fallu décortiquer les textes existants afin d’examiner leur application au monde cyber. Et lorsque il est impossible d’aligner les changements introduits par les nouvelles capacités cyber avec un droit existant, le document propose une adaptation de ce dernier – la plus ouverte possible.

Les deux-cent cinquante pages du Manuel de Tallinn se lisent ainsi comme un aller-retour incessant entre application fluide du droit existant aux caractéristiques particulières des opérations cyber (avec souvent des exemples très clairs) et tentatives d’innovation lorsqu’il semble impossible de réconcilier les deux.

Première notion fondamentale mise au clair par le document : la souveraineté nationale. Si aucun Etat ne peut prétendre à régner sur le monde cyber, il n’en reste pas moins souverain sur ses « eaux territoriales » cyber. Ainsi selon le document, la souveraineté cyber s’étend à toutes les infrastructures cyber situées sur son sol (y compris hors du territoire national). La précision est importante, puisque c’est sur la base d’une menace à la souveraineté de l’Etat que se justifieront par la suite d’éventuelles actions armées légitimes.

Toute atteinte à une infrastructure informatique sur le sol d’un pays pourrait donc être interprétée comme une violation de sa souveraineté (que ce soit une infrastructure critique ou une entreprise privée mineure). Cependant les experts à l’origine du document ne sont pas parvenus à tomber d’accord pour savoir si l’installation d’un malware sur un système relève également de l’atteinte à la souveraineté de l’Etat… Ils se contentent donc de rappeler que « est illégale une opération (cyber ou non, ndlr) qui menace l’intégrité territoriale ou l’indépendance politique d’une nation ou qui est contraire aux objectifs des Nations Unies« .

Ses auteurs sont en revanche formels quand à une opération cyber qui aurait pour objectifs de faire subir une coercition à l’Etat : selon sa nature il pourra s’agir d’un recours illégal à la force, soit d’une attaque armée (qui justifie des représailles militaires immédiates). Mais dans tous les cas elle sera illégale.