L'attribution des attaques informatiques : une compétence étatique souveraine ?
Auteur / Autrice : | Coline Boniface |
Direction : | Karine Bannelier-christakis, Cédric Lauradoux |
Type : | Projet de thèse |
Discipline(s) : | Sécurité Internationale et défense |
Date : | Inscription en doctorat le Soutenance le 12/12/2023 |
Etablissement(s) : | Université Grenoble Alpes |
Ecole(s) doctorale(s) : | École doctorale sciences juridiques |
Partenaire(s) de recherche : | Laboratoire : Centre d'études sur la sécurité internationale et les coopérations européennes (Grenoble ; 199.-....) |
Jury : | Président / Présidente : Jean-François Ponsot |
Examinateurs / Examinatrices : Karine Bannelier, Christina Binder, Serena Forlati, Frederique Segond | |
Rapporteurs / Rapporteuses : Christina Binder, Serena Forlati |
Résumé
Lémergence dun nouvel « écosystème cyber » bâti sur des principes de dématérialisation, danonymat, d'ubiquité d'accès et d'instantanéité des communications, a complexifié lapplication de certains principes de droit international, largement employés pour éviter les conflits armés dans les relations internationales. Lobservation de ces principes est pourtant essentielle dans le le cyberespace, car celui-ci est également devenu, pour reprendre les termes de Guillaume Poupard, un « espace géopolitique où lon fait la guerre ». C'est un lieu où les États se comparent, se regardent et se livrent des conflits discrets et invisibles mais dont les effets se font ressentir dans le monde physique. Si le terme de "cyber guerre" ne fait pas lunanimité aujourd'hui, la menace est bien réelle et trouve un écho tous les mois dans les médias qui relatent des attaques informatiques d'ampleur, capables d'impacter des secteurs stratégiques. Ces attaques peuvent être le fait d'acteurs étatiques ou non étatiques mais conduites sous le contrôle d'un État ou répondant à ses objectifs. Pour obtenir réparation du préjudice qu'il a subi, l'État victime doit engager la responsabilité internationale de l'État auteur du fait en se référant au droit coutumier de la responsabilité internationale. Si son application au cyberespace est établie depuis 2015 par les travaux du Groupe dexperts gouvernementaux chargés dexaminer les progrès de la téléinformatique, on cherche aujourdhui à établir les modalités de cette application Cette question soulève des enjeux techniques comprenant l'examen des éléments issus de l'analyse des réseaux et des machines infectées ainsi que ceux issus du travail du renseignement humain. Le résultat de cette enquête est susceptible d'être utilisé par le juge international dans le contexte de l'attribution juridique qui, du fait de ses spécificités, souffre aujourd'hui d'une absence de pratique ou d'exemple concret. Ces résultats sont donc majoritairement utilisés par les États qui décident de nommer publiquement le responsable de l'attaque à des fins stratégiques et politiques. Depuis quelques années, cette pratique de l'attribution passe également entre les mains d'acteurs privés qui développent une certaine expertise en la matière, comme en témoignent les enquêtes conduites par les des firmes de sécurité informatique sur lesquelles les États s'appuient dans leurs déclarations officielles d'attribution. Les enjeux techniques, juridiques et politiques de l'attribution des attaques informatiques méritent d'être analysés sous l'angle du droit international mais sans négliger les aspects informatique et géopolitique, afin de déterminer si les spécificités du cyber espace limitent la souveraineté des États en la matière.