Sous l'impulsion de Florence Parly, ministre des Armées, en lien avec le Commandement de la cyberdéfense (Comcyber), la direction des affaires juridiques (DAJ) et la direction générale des relations internationales et de la stratégie (DGRIS), le rapport « Droit international appliqué aux opérations dans le cyberespace » vient d'être publié. « Ce document a vocation à préciser la position française concernant l’application du droit international aux opérations cyber afin, notamment, de réduire les risques d’incompréhension ou d’escalade non maîtrisée, et de contribuer à une lecture du corpus juridique cohérente avec la recherche d’un cyberespace pacifique et sûr », peut-on lire dans le rapport.

Ce document s'inscrit dans la continuité des travaux menés dans le cadre de la Revue stratégique de cyberdéfense (février 2018), du Groupe des experts gouvernementaux chargé d’examiner les progrès de la téléinformatique dans le contexte de la sécurité́ internationale (GGE), ainsi que de l’Appel de Paris. Il a également été alimenté par les réflexions actuellement conduites dans ce domaine par des universitaires et des experts indépendants ayant contribué au Manuel de Tallinn 2.05, sans pour autant les prendre pour argent comptant. « En vertu de l’obligation de diligence requise, les États veillent à ce que leur domaine de souveraineté dans le cyberespace ne soit pas utilisé pour commettre des faits internationalement illicites. Le non-respect de cette obligation par un État ne constitue pas un motif d’exception au principe d’interdiction de recours à la force, contrairement à l’avis de la majorité des experts du Manuel de Tallinn », indique le rapport.

La France s'autorise à recourir à la légitime défense préemptive en réponse à une cyberattaque

De même : « Contrairement à la définition adoptée par les experts du Manuel de Tallinn, la France ne retient pas uniquement l’existence de critères matériels pour qualifier une cyberopération d’attaque. En effet, elle considère qu’une cyberopération constitue une attaque dès lors que les équipements ou les systèmes visés ne rendent plus le service pour lesquels ils ont été mis en place, que cela soit de manière temporaire ou définitive, réversible ou non ». 

Outre la qualification des cyberattaques, le rapport regorge de nombreux éléments portant sur la position de la France en matière de cyberespace et de ses enjeux juridiques et politiques associés. « Des cyberattaques qui, isolément, n’atteignent pas le seuil de l’agression armée pourraient être qualifiées comme telle si l’accumulation de leurs effets atteint un seuil de gravité suffisant », peut-on lire dans le document. « Dans des circonstances exceptionnelles, la France s’autorise à recourir à la légitime défense préemptive en réponse à une cyberattaque « non encore déclenchée, mais sur le point de l’être, de façon imminente et certaine, pourvu que l’impact potentiel de cette agression soit suffisamment grave ».