Le Cyberespace Ca Sert D'abord

LE CYBERESPACE, ÇA SERT, D’ABORD, À FAIRE LA GUERRE.
PROLIFÉRATION, SÉCURITÉ ET STABILITÉ DU CYBERESPACE
Frédérick Douzet, Aude Géry
La Découverte | « Hérodote »
© La Découverte | Téléchargé le 14/10/2022 sur www.cairn.info via Bibliothèque Nationale du Royaume du Maroc (IP: 41.143.255.95)
2020/2 N° 177-178 | pages 329 à 350
ISSN 0338-487X
ISBN 9782348060250
DOI 10.3917/her.177.0329
Article disponible en ligne à l'adresse :
--------------------------------------------------------------------------------------------------------------------
https://www.cairn.info/revue-herodote-2020-2-page-329.htm
--------------------------------------------------------------------------------------------------------------------
Distribution électronique Cairn.info pour La Découverte.

© La Découverte. Tous droits réservés pour tous pays.
La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.
Powered by TCPDF (www.tcpdf.org)

Le cyberespace, ça sert, d’abord, à faire la
guerre. Prolifération, sécurité et stabilité du
cyberespace
Frédérick Douzet 1 et Aude Géry 2
Le 12 novembre 2018, en plein Forum de la Paix de Paris réunissant près

de 70 chefs d’État ou de gouvernement venus célébrer le centenaire de l’armis-
tice de 1918, le président Emmanuel Macron lançait l’« Appel de Paris pour la
confiance et la sécurité dans le cyberespace » devant les acteurs de la gouvernance
mondiale de l’Internet, réunis à l’Organisation des Nations unies pour l’éduca-
tion, la science et la culture (Unesco) 3. Ce vibrant plaidoyer désormais soutenu
par plus de 1 000 signataires, dont 77 États, plaide en faveur du respect de prin-
cipes communs afin d’assurer la paix, la sécurité et la stabilité du cyberespace.
En avril de l’année précédente, l’Unesco avait déjà accueilli un grand colloque,
à l’initiative de l’Agence nationale pour la sécurité des systèmes d’information
Hérodote, n° 177-178, La Découverte, 2e et 3e trimestres 2020.
(ANSSI) et du ministère de l’Europe et des Affaires étrangères, intitulé « Construire

la paix et la sécurité internationales de la société numérique ». Ces initiatives s’ins-
crivent dans la continuité de multiples initiatives menées à travers le monde par les
États, la société civile et de grandes entreprises du numérique depuis le début des
années 2010. Comment expliquer un tel activisme ? Parce que le cyberespace, ça
sert, d’abord, à faire la guerre.
Au-delà du plaisir de l’hommage à son auteur, l’analogie à l’ouvrage fonda-
teur d’Yves Lacoste La géographie, ça sert, d’abord, à faire la guerre [1976] se
1. Frédérick Douzet, professeur à l’Institut français de géopolitique (université Paris 8),

directrice de l’IFG Lab et de GEODE.
2. Aude Géry, post-doctorante à GEODE (université Paris 8).
3. Internet Governance Forum 2018, Unesco, Paris.
329
Hérodote_177-178_BAT.indd 329 19/05/2020 16:06

HÉRODOTE
justifie par le constat, d’une part, de l’explosion de la conflictualité dans le cybe-

respace, devenu un nouveau vecteur des affrontements géopolitiques et même un
nouveau domaine militaire dans les stratégies et doctrines de nombreuses nations,
et, d’autre part, de sa militarisation – à savoir un jeu de processus sociaux, poli-
tiques et économiques visant à l’acceptation d’une approche militaire pour régler
un problème [Rech et al., 2014] – dans une dynamique de prolifération des armes
et des menaces qui structure désormais son évolution et sa régulation. Bien sûr,
tout comme la géographie, le cyberespace n’a pas été inventé pour faire la guerre
et ne sert pas seulement à faire la guerre [Douzet et Desforges, 2018]. On pourrait
même avancer que les attaques menées jusqu’ici sont restées sous le seuil de ce
que l’on qualifie de guerre au sens du droit international. Elles soulèvent néan-
moins des difficultés de détermination des seuils de gravité [Forteau, 2019] en
raison des audaces et des provocations des protagonistes les plus entreprenants.
Le cyberespace a complètement révolutionné nos modes de vie, bouleversé nos
économies et permis des progrès importants pour nos sociétés. Mais les bénéfices
apportés par la révolution numérique sont désormais menacés justement parce que
le cyberespace sert, d’abord, à faire la guerre.
Premièrement, l’usage du cyberespace à des fins offensives par de multiples
acteurs, notamment les États, entraîne des risques d’escalade des conflits et de
déstabilisation des sociétés qui menacent la paix et la sécurité internationales.
Certes, les scénarios catastrophes en vogue au début des années 2010 sur les
risques de « Pearl Harbor numérique 4 » et d’attaques massivement meurtrières sur
les infrastructures d’importance vitale ne se sont pas concrétisés. Mais certaines
attaques se sont propagées à l’échelle mondiale hors de tout contrôle, démon-
trant le potentiel dévastateur de la conflictualité dans le cyberespace et le risque
systémique qu’elles représentent. La prolifération des cyberarmes menace ainsi la
stabilité même du cyberespace, dont nos sociétés sont de plus en plus dépendantes,

parce que les infrastructures qui le sous-tendent sont constamment attaquées.
Deuxièmement, dans un contexte géopolitique instable marqué par la persis-
tance d’une menace terroriste, l’affaiblissement des instances multilatérales et le
clair retour de la compétition stratégique entre grandes puissances, les États se
réservent des moyens d’agir et ne sont pas prêts à renoncer à certaines de leurs
activités qui mettent pourtant en péril la sécurité et la stabilité du cyberespace.
Le contexte de défiance et de rivalités de pouvoir limite la coopération à l’échelle
internationale et constitue un frein aux efforts de régulation nécessaires pour
4. L. Panetta, « Defending the Nation from cyber attack (business executives for national
security) », New York, 11 octobre 2012, disponible sur <http://archive.defense.gov/speeches/
speech.aspx?speechid=1728>.
330

Le cyberespace, ça sert, d’abord, à faire la guerre
assurer la sécurité et la stabilité du cyberespace face au risque systémique, inter

rogeant la notion même de sécurité dans le cyberespace.
Comment définir une menace à la sécurité nationale ou internationale dans le
cyberespace ? Qu’est-ce que la « sécurité du cyberespace » ? La question fait débat
et oppose une multiplicité de points de vue d’acteurs étatiques et non étatiques
parties prenantes de ces enjeux. La notion de sécuritisation développée par
Barry Buzan et Ole Weaver dans les années 1990 – à savoir la manière dont un
acteur politique se saisit d’un objet qu’il traite, dans ses discours, comme enjeu
de sécurité pour justifier des moyens parfois extraordinaires pour le défendre –
offre un cadre d’analyse intéressant dans ce contexte [Buzan, Waever et De Jaasp,
1998]. Il permet de mieux comprendre la complexité des discussions internatio-
nales, impliquant de multiples acteurs – et en priorité les États –, sur ce que signifie
la sécurité du cyberespace, ce qu’il faudrait mettre en œuvre pour l’atteindre et les
choix politiques sous-jacents qu’elle implique.
Cet article explore le dilemme sécuritaire auquel sont confrontés les États pour
répondre aux défis du cyberespace et l’ambivalence de la notion de sécurité dans
le cyberespace. Il montre comment, en l’espace d’une décennie, le cyberespace est
devenu un champ de bataille et une priorité stratégique pour de nombreux États,
les conduisant à se représenter le cyberespace tout comme une menace géopo-
litique pour la sécurité nationale, justifiant sa militarisation malgré la prise de
conscience progressive du risque systémique lié à la prolifération des outils et
des opérations offensives. Ce dilemme est au cœur des tensions dans les discus-
sions multilatérales sur la régulation du cyberespace, dans lesquelles des acteurs
non étatiques s’invitent par un foisonnement d’initiatives qui démontre à la fois
l’importance des enjeux et la difficulté à les traiter.
L’émergence d’un nouveau domaine militaire
Les années 2010 ont vu l’émergence de la représentation du cyberespace

comme un nouveau domaine militaire, qui constitue l’aboutissement d’une
démarche de territorialisation du cyberespace par les États en réaction à la multi-
plication des surprises stratégiques auxquelles ils ont été confrontés depuis la
fin des années 2000. La territorialisation du cyberespace, d’abord initiée par les
pionniers de l’Internet pour se représenter l’espace numérique et le protéger des
rivalités géopolitiques du monde physique, s’est transformée dans les discours
des États en un impératif de sécuritisation, rapidement associé à sa militarisation
[Desforges, 2014 ; Dunn Cavelty, 2008 ; Haddad, 2018].
Cette association entre cyberattaques et militarisation du cyberespace n’allait
pourtant pas nécessairement de soi au vu de la montée en puissance et des défis
331

HÉRODOTE
posés par la cybercriminalité perpétrée par des acteurs non étatiques contre des
intérêts individuels et privés, et qui aurait pu concentrer l’essentiel de l’attention.
Elle implique que les États qualifient le cyberespace de menace à la sécurité
nationale au détriment d’autres qualifications, comme une approche seulement
technique [Nissenbaum, 2005 ; Dunn Cavelty, 2012], et que les États désignent un
ennemi, acte éminemment politique [Rid et Buchanan, 2015].
La militarisation du cyberespace s’explique en partie par une compréhension
plus avancée de l’Internet et des technologies numériques de la part des acteurs
de la défense, qui leur a permis de mieux anticiper et faire connaître la menace,
et de rapidement allouer des moyens à ce nouveau domaine, contribuant ainsi
à définir les priorités de l’État autour des questions de sécurité nationale. Mais
c’est surtout la montée en puissance des attaques d’origine étatique à des fins
stratégiques, combinée à la numérisation croissante du champ de bataille et aux
opportunités offertes par l’association des opérations numériques aux autres
moyens de combat, qui a conduit à la représentation du cyberespace comme un
champ de bataille militaire. Cette représentation, prédominante dans les démo-
craties occidentales, a d’emblée été combattue par la Chine et la Russie, qui
préféraient initialement au concept de cyberespace celui d’espace informationnel
ou de sécurité de l’information, visant en priorité à préserver la stabilité de leur
régime [Goldsmith et Wu, 2006 ; Limonier, 2018]. Ces deux pays dénoncent
régulièrement les risques d’une militarisation du cyberespace, à laquelle ils sont
toutefois accusés de participer pleinement. La « matérialisation de la cyberguerre »
a ainsi renforcé cette représentation dans les démocraties occidentales [Kaiser,
2015] et conduit à l’adoption du cyberespace comme le cinquième domaine
militaire après la terre, la mer, l’air et l’espace par de grandes puissances du cyber
espace, à commencer par les États-Unis, le Royaume-Uni et la France. En 2016,
l’Organisation du traité de l’Atlantique Nord (Otan) à son tour reconnaît le cyber

espace comme un domaine militaire opérationnel 5.
La pertinence de cette représentation a d’ailleurs fait l’objet de vastes débats
dans la littérature scientifique en raison des spécificités propres à l’espace numé-
rique. Martin Libicki le premier a dénoncé cette métaphore comme mal adaptée
à la compréhension de cet environnement hyperdynamique, en reconfiguration
rapide et permanente, dont la plasticité requiert une adaptation constante et une
grande agilité [Libicki, 2012]. Il estime qu’elle ramène aux concepts classiques
du combat guerrier comme « le contrôle, la manœuvre, la supériorité » alors que
le contrôle est illusoire dans le cyberespace et que les armées ne manœuvrent pas
5. Rand Corporation, « Operationalizing Cyberspace as a military domain », juin 2019, en

ligne.
332

dans le même champ de bataille que leur adversaire, puisqu’il a le pouvoir de
réduire ses vulnérabilités et limiter l’impact d’une attaque par des mesures
de cyberdéfense. Le succès d’une attaque dans le cyberespace dépend ainsi en
partie de la cible, dont les évolutions sont rapides et dynamiques.
Le concept même de cyberguerre ne fait pas consensus dans le monde acadé-
mique, en dépit de son large succès médiatique et politique. Dans son ouvrage
Cyber War Will Not Take Place, Thomas Rid [2013] estime que les opérations
menées jusqu’à présent ne relèvent pas de la guerre, définie comme un « acte de
force, politique, instrumentalisé et potentiellement létal, mené grâce à un code
malveillant », mais ne sont que des versions à peine plus sophistiquées d’activités
aussi anciennes que la guerre : l’espionnage, le sabotage et la subversion. Il est vrai
que, même du point de vue du droit international, la seule opération qui aurait pu
être qualifiée d’agression armée – mais ne l’a pas été par le régime iranien – est
l’attaque Stuxnet contre les centrifugeuses nucléaires de Natanz en 2010, menée
– d’après les révélations du New York Times – par les États-Unis avec l’aide des
services israéliens [Sanger, 2012 ; Zetter, 2014]. À ce jour, aucun État n’a pour
l’instant officiellement dénoncé d’acte de guerre dans le cyberespace.
Le seuil de ce qui est acceptable – et accepté – en termes d’opérations offen-
sives semble par ailleurs constamment repoussé, au vu des hostilités de plus en
plus frontales menées par des États qui poussent leur avantage dans le cyber
espace sans nécessairement déclencher de réponse circonstanciée. Les débats sur
le sujet laissent volontiers entendre que, plus qu’une question de seuil, ce n’est
qu’une question de temps avant que la cyberguerre ne batte son plein. Or la réalité
s’avère plus complexe. D’une part, les États font preuve d’une certaine retenue par
rapport à leurs pleines capacités d’action, ce qui leur permet de rester en dessous
du seuil de déclenchement d’un conflit ouvert, même s’ils en testent les limites.
D’autre part, le recours aux cyber opérations s’inscrit le plus souvent dans une
combinaison de modes d’action – techniques et non techniques, en ligne et hors

ligne, directs et indirects, étatiques ou non étatiques – qui ajoute au brouillard de
la (cyber)guerre, dont il n’est pas toujours évident de savoir où elle commence et
où elle s’arrête.
La seule certitude en la matière est que les cyber opérations font désor-
mais partie de l’arsenal des plus grandes armées et viennent en appui de tous
les moyens utilisés pour mener la guerre ; et que le cyberespace est devenu un
nouvel espace de confrontation dans les rivalités de pouvoir géopolitiques entre
une multitude d’acteurs, entraînant une prolifération des opérations – dont les plus
avancées viennent généralement des États – qui ont conduit à la matérialisation de
la cyberguerre.
333

HÉRODOTE
La matérialisation de la cyberguerre : une série de surprises stratégiques
D’après Robert Kaiser, les cyberattaques de 2007 contre l’Estonie ont servi
de catalyseur à la matérialisation de la cyberguerre et continuent d’influer sur la
manière dont les États se représentent les menaces futures de cyberguerre [Kaiser
2015]. Menées dans le contexte de manifestations de la minorité russophone contre
le déplacement de la statue du Soldat de bronze à Tallinn, ces attaques en déni de
service 6 avaient paralysé les sites Web de nombreuses organisations du pays, dont
des banques, des médias, des ministères et le parlement. Dès l’année suivante, en
juillet 2008, une vague de cyberattaques contre des sites géorgiens précédait de
peu l’entrée des chars russes dans le pays, inaugurant la première cyberattaque
connue combinée à une opération militaire au sol. Ces attaques ont suscité, malgré
leur nature rudimentaire, une véritable prise de conscience des États, de par leur
dimension publique et spectaculaire. Depuis, les cyberattaques se sont multipliées,
mais, surtout, elles sont devenues beaucoup plus ciblées, sophistiquées, créa-
tives et préjudiciables, obligeant les États à s’adapter constamment à un paysage
évolutif de la menace, marqué par une succession de surprises stratégiques et un
élargissement constant de son périmètre.
En 2010, Stuxnet a inauguré la première attaque majeure contre une infra
structure critique, dans une tentative conjointe des États-Unis et d’Israël d’enrayer
le programme nucléaire iranien. En 2013, les révélations d’Edward Snowden
ont démontré comment les pratiques d’espionnage pouvaient atteindre une
ampleur inédite à une échelle insoupçonnée grâce à l’interconnexion planétaire
des systèmes d’information et de communication, suscitant une brutale prise de
conscience de nombreux pays, notamment européens, de leur grande dépendance
aux plateformes et technologies numériques américaines. En 2014, les attaques
contre l’entreprise de divertissement Sony Pictures 7 ont pris le gouvernement

américain complètement par surprise, démontrant que les attaques à effet stra-
tégique pouvaient aussi toucher de grandes entreprises, à l’instar de l’attaque
TV5 Monde en 2015 8.
Puis, en 2015, la surprise est venue de l’usage sophistiqué des réseaux sociaux
par l’État islamique pour diffuser sa propagande, favoriser la radicalisation en ligne,
trouver de nouvelles recrues, lever des fonds, organiser des départs vers la Syrie
6. Attaque qui vise à rendre un serveur, un service ou une infrastructure indisponible en

envoyant une multitude de requêtes simultanées depuis de multiples points du réseau.
7. David E. Sanger et Nicole Perlroth, « U.S. said to find North Korea ordered cyberattack
on Sony », The New York Times, 17 décembre 2014.
8. Martin Untersinger, « Le piratage de TV5 Monde vu de l’intérieur », Le Monde, 10 juin
2017.
334

et fomenter des attentats. Elle a contraint les démocraties occidentales, très foca-
lisées sur les attaques techniques, à élargir leur approche pour prendre en compte
les opérations informationnelles. Cela n’a pourtant pas empêché l’administration
américaine de se faire surprendre par les opérations d’ingérence attribuées à la
Russie dans l’élection présidentielle de 2016, auxquelles elle n’était visiblement pas
préparée 9. Les opérations de manipulations de l’information à des fins d’ingérence
ou de déstabilisation des démocraties mobilisent désormais une grande attention.
En 2016, un scénario longtemps redouté s’est concrétisé avec l’attaque des
serveurs de l’entreprise Dyn par la manipulation d’un réseau d’objets connectés
(caméras, imprimantes, etc.), signifiant l’expansion du champ des vulnérabilités
et la démultiplication des vecteurs d’attaques. Enfin les attaques de WannaCry et
NotPetya, en 2017, ont inauguré l’ère des attaques à propagation massive, incon-
trôlable et fulgurante, causant les dégâts les plus importants jamais enregistrés
en touchant de manière indiscriminée dans plus de 150 pays des dizaines d’en-
treprises et d’institutions qui n’étaient pas initialement visées par l’attaque. Elles
ont démontré non seulement le besoin de protéger les systèmes mais aussi d’être
en mesure de réagir très vite pour parer à la contamination rapide, démontrant le
risque systémique lié à l’interconnexion des réseaux.
Ces surprises stratégiques ont révélé la vulnérabilité mais aussi l’impréparation
des États, y compris les plus avancés, face à cette menace évolutive et protéiforme.
Elles ont joué un rôle majeur dans la représentation du cyberespace comme un
nouveau domaine militaire qui justifie la mobilisation de ressources exceptionnelles
au nom de la sécurité nationale. Cette représentation a entraîné une réorganisation
institutionnelle qui a conduit nombre d’entre eux à mettre en place des agences
de cybersécurité et des commandements cyber au sein des armées afin d’assurer leur
cyberdéfense. Elle les a aussi encouragés à développer des outils offensifs à des fins
de renseignement, de surveillance ou d’opérations militaires pour assurer leur puis-
sance, dans une dynamique de course aux cyberarmes que les révélations d’Edward
Snowden semblent paradoxalement avoir contribué à décomplexer. La cyberstratégie
de l’administration Trump assume d’ailleurs pleinement la prolifération de ces outils
offensifs et la pénétration des systèmes à des fins dissuasives [Smeets, 2020] 10.
La matérialisation de la cyberguerre au cours de la dernière décennie a ainsi
renforcé la dynamique de sécuritisation et de militarisation du cyberespace amorcée
dès les années 2000. La notion de sécurité reste toutefois ambiguë car, comme le
souligne Dunn Cavelty [2012], la conception de la sécurité d’un point de vue mili-
taire peut être associée à de sérieux risques. Les outils développés par les États pour
9. Voir l’article de Camille François et Herbert Lin dans ce numéro.

10. Voir aussi l’article de Stéphane Taillat dans ce numéro.
335

HÉRODOTE
assurer leur sécurité nationale peuvent accroître le risque auquel ils sont exposés,
particulièrement dans le cyberespace comme nous le verrons. Ils peuvent égale-
ment engendrer de l’insécurité dans d’autres domaines de la sécurité, économique,
politique ou social [Buzan, Wæwer et de Wilde, 1998]. Les réseaux d’informa-
tion et de communication sont partagés entre le monde économique, militaire, la
société civile et les institutions. Le cyberespace offre ainsi une multitude d’inter
actions et d’interconnexions complexes entre ces domaines, dont les enjeux sont
liés. Le cyberespace est ainsi utilisé par une multitude d’acteurs pour des usages
différents, dont les intérêts et les représentations de la sécurité peuvent s’avérer
profondément divergents. Le seul débat sur le chiffrement illustre les antagonismes
profonds que peuvent générer les technologies numériques entre les différents
acteurs de la sécurité [Gasser et al., 2016] : entre les partisans d’un chiffrement fort
au nom de la protection des entreprises et des secrets d’État, les partisans d’un accès
réservé aux données pour des besoins de police et justice ou encore les défenseurs
de la sécurité des données personnelles et des libertés civiles 11. Au sein d’un même
gouvernement, des conceptions divergentes de la sécurité coexistent et parfois
s’affrontent, alors que différents ministères et agences poursuivent des objectifs de
sécurité différents – et parfois contradictoires – dans le cyberespace.
Les représentations du risque cyber ne sont pas uniformes non plus entre les
États. Elles dépendent, bien au contraire, du contexte géopolitique, des rapports
de force régionaux, du niveau de développement de l’économie numérique, des
capacités de cyberdéfense, et de la culture stratégique. Les déséquilibres dans la
maîtrise des technologies, des infrastructures, des flux de données, des capacités
d’action dans l’espace numérique façonnent les représentations. Le cyberespace,
dans bien des pays d’Afrique, est d’abord un enjeu de connectivité et de déve-
loppement économique, mais aussi de lutte contre la cybercriminalité. Dans les
régimes autoritaires, c’est la dimension informationnelle du cyberespace qui, par

l’expression de la dissidence, la propagation de rumeurs ou les risques de subver-
sion, représente la principale menace pour la stabilité politique.
Mais la représentation militaire du cyberespace prédomine parmi les grandes
puissances occidentales qui possèdent des capacités avancées et jouent un rôle
central dans les négociations internationales. Elle influence ainsi fortement les
décideurs politiques, au détriment d’autres approches du risque susceptibles de
mieux prendre en compte la sécurité du secteur privé ou des utilisateurs indivi-
duels. Or cette militarisation du cyberespace entraîne aussi des risques dont les
États prennent progressivement conscience et qui les confronte à un véritable
dilemme sécuritaire.
11. East-West Institute, « Encryption policy in democratic regimes », 2018, en ligne.
336

Risque géopolitique vs risque systémique : le dilemme sécuritaire des États
Les États ont en effet progressivement pris conscience des risques induits par
la prolifération, les armes qu’ils développent pouvant se retourner contre eux.
Dans le milieu numérique, les outils offensifs peuvent être volés, copiés, récu-
pérés, analysés, retravaillés et réutilisés. Les nouveaux concepts d’attaques et les
tactiques peuvent être imités et réemployés. En d’autres termes, les cyberattaques
sont susceptibles d’apprendre des choses à l’adversaire et de le faire progresser 12.
Un document classifié de la NSA de 2013, divulgué par Edward Snowden et publié
par The Intercept en 2015 13, confirme ainsi ce que beaucoup redoutaient : le régime
iranien a appris des cyberattaques qu’il a subies et s’est servi de ces connaissances
pour améliorer ses propres capacités [Zetter, 2014]. Le rapport précise que l’Iran
aurait imité les techniques offensives d’une autre cyberattaque contre son indus-
trie pétrolière pour lancer l’attaque Shamoon contre l’entreprise Saudi Aramco en
2012, sabotant d’un coup 30 000 ordinateurs. La prolifération entraîne ainsi de fait
une montée en compétences de tous les acteurs, adversaires et criminels compris,
et participe directement à accroître la sophistication des attaques et donc la menace
pour tout l’environnement numérique.
Et surtout, parce que les technologies et les réseaux sont partagés entre les
militaires, le secteur privé, les institutions et la société civile, ces attaques sont
susceptibles de se propager à grande vitesse et, parfois, de manière incontrôlée.
Les risques de dégâts collatéraux non maîtrisés constituent d’ailleurs un sérieux
frein à l’action des armées dans l’espace numérique, où la notion d’attaque « chirur-
gicale » apparaît comme un contresens tant les interactions et les interconnexions
entre les systèmes et leurs points de vulnérabilité sont difficiles à anticiper dans ce
domaine. Le virus Stuxnet, conçu spécifiquement pour les installations nucléaires
de Natanz qui ne sont pas connectées à l’Internet, s’est pourtant propagé dans le
cyberespace, probablement par le truchement d’une clé USB.

Les attaques WannaCry et NotPetya sont emblématiques du risque systémique
que fait peser la prolifération des cyberarmes sur nos sociétés. Ces attaques se
sont propagées à travers le monde à une vitesse fulgurante et de manière incon-
trôlée, touchant des hôpitaux et occasionnant des centaines de millions d’euros de
dégâts dans des entreprises qui n’étaient même pas la cible initiale. En mai 2017,
le rançongiciel 14 WannaCry a en effet infecté plus de 200 000 ordinateurs dans
12. K. Zetter (2015), « The NSA Acknowledges What We All Feared : Iran Learns from US
cyberattacks », Wired, 2 octobre 2015.
13. « Iran – Current topics, interaction with GCHQ », The Intercept.
14. Logiciel malveillant qui bloque l’accès aux données d’un ordinateur jusqu’au versement
d’une rançon.
337

HÉRODOTE
150 pays jusqu’à la découverte d’une astuce (kill switch) pour l’arrêter. Les inves-
tigations ont conduit notamment les États-Unis, le Royaume-Uni et l’Australie 15
à rejeter la piste criminelle et officiellement attribuer l’attaque à la Corée du
Nord. L’attaque NotPetya, ressemblant initialement à un rançongiciel, s’est avérée
conçue pour complètement saboter les systèmes. La Maison-Blanche chiffre
à 10 milliards de dollars les dégâts occasionnés par cette seule attaque, la plus
dévastatrice à ce jour, attribuée à la Russie par le Royaume-Uni, suivi par les
autres pays des Five Eyes 16.
Enfin, ces deux attaques ont utilisé EternalBlue, un outil offensif développé par
la NSA qui exploitait une vulnérabilité de Microsoft. Cet outil a été volé à la NSA
et mis à disposition publique sur l’Internet, puis utilisé par d’autres acteurs pour
lancer des attaques qui se sont propagées de manière incontrôlée et sont venues
frapper le pays qui avait initialement conçu cet outil offensif.
Ces attaques montrent ainsi le dilemme sécuritaire auquel font face les États
à propos des opérations offensives dans le cyberespace [Segal, 2013 ; Buchanan,
2018] et qui oppose deux représentations du risque cyber qui ne s’excluent pas
mais au contraire coexistent, suscitant des tensions complexes et des objectifs
parfois irréconciliables entre et au sein des gouvernements.
D’un côté, les États se représentent la menace cyber comme un risque systé-
mique, autrement dit un phénomène extrêmement complexe, transfrontalier, pas
nécessairement d’origine étatique et qui à l’image des pandémies peut se répandre
très rapidement, s’avérer très difficile à stopper et entraîner des dommages massifs.
Il est dès lors dans l’intérêt de tous les acteurs de stopper la contagion qui pour-
rait avoir des conséquences désastreuses. Cette approche du risque plaide pour
une coopération renforcée entre gouvernements – mais aussi au sein des gouver-
nements et avec les acteurs privés –, et une limitation des armes, dans l’intérêt
commun de la stabilité du système.

Mais, d’un autre côté, la menace cyber est d’abord une menace géopolitique
pour les États, puisque les outils offensifs sont utilisés par leurs adversaires mais
aussi par leurs alliés et concurrents économiques pour accroître leur pouvoir en
appui du renseignement, de l’espionnage, de l’influence voire des opérations
militaires. Juguler ce risque entraîne les États dans la direction opposée, celle du
développement d’un arsenal offensif et d’une coopération limitée pour protéger
leurs capacités souveraines. Cette approche domine clairement les représenta-
tions des États aux capacités les plus avancées, comme en témoigne la course aux
15. Liam Tung, « UK joins US in blaming Wannacry on North Korea, Australia to follow
suit », CSO, 19 décembre 2017.
16. États-Unis, Australie, Canada, Nouvelle-Zélande.
338

cyberarmes à laquelle ils se livrent et les doctrines offensives qu’ils ont dévelop-
pées en l’espace de quelques années [Buchanan, 2016].
La représentation dominante du risque géopolitique est source de défiance
entre les États et les encourage à renforcer leur contrôle « territorial » du cyber
espace et leurs capacités souveraines. Elle limite leur capacité à se mettre d’accord
sur les modalités de régulation du comportement des États dans le cyberespace
et l’interprétation du droit international. Elle explique aussi que les discussions
internationales excluent un sujet central dans la pratique offensive des États : l’es-
pionnage. Pourtant, la recherche de l’équilibre entre ces deux approches est au
cœur de la réflexion sur la régulation du cyberespace dans les discussions inter-
nationales entre les États, qui commencent à prendre la mesure de leur propre
vulnérabilité face au risque systémique.
Les diplomates à l’assaut du « Far West numérique »
Pendant des années les États les plus avancés ont profité de l’opacité de l’es-
pace numérique pour mener des opérations offensives en toute discrétion et en
toute impunité. Mais avec la matérialisation de la cyberguerre et la multiplication
des attaques de grande ampleur qui les ont touchés, les États ont progressivement
pris conscience des risques auxquels ils étaient exposés, qui prennent désormais
une ampleur systémique.
D’une part, la technologie, largement accessible et à faible coût, est désor-
mais à la portée d’un nombre beaucoup plus important d’acteurs, étatiques et non
étatiques, de plus en plus entreprenants et créatifs. La décennie 2010 a ainsi été
marquée par une diversification des cibles – attaques d’entreprises privées à des
fins stratégiques –, une diversification des acteurs impliqués, et dont les liens avec
les États ne sont pas toujours faciles à établir, et une diversification des modes
opératoires, avec pour seule limite l’imagination des attaquants dans le détour-
nement de l’usage des technologies numériques. La menace est plus présente,
complexe, protéiforme et imprévisible.
D’autre part, la transformation numérique des sociétés les rend de plus en plus
dépendantes au cyberespace, dont la stabilité est désormais essentielle à leur bon
fonctionnement. Or la multiplication des objets connectés mal sécurisés, l’in-
formatique embarquée dans les appareils médicaux, les véhicules et même les
armements militaires, accroît constamment la surface d’attaque. Autrement dit, plus
une société est connectée et dépendante au numérique, plus le nombre de points de
vulnérabilité est théoriquement important. La montée en puissance de l’ordinateur
quantique – qui promet de révolutionner le chiffrement en démultipliant la puis-
sance de calcul – et de l’intelligence artificielle laisse envisager une sophistication
339

HÉRODOTE
des attaques potentiellement déstabilisatrices, même si ces technologies pourront

aussi être utilisées au service de la cybersécurité.
Les États se trouvent ainsi face au même type de dilemme que lors de la
prise de conscience des dangers du nucléaire. Sauf que la technologie numérique
est à la portée d’énormément d’acteurs, et pas seulement des États, qu’elle est plus
facile à voler et réutiliser qu’un missile nucléaire, qu’elle est par nature duale et
omniprésente, ce qui rend le contrôle de la possession d’outils offensifs impossible
et nécessite une approche totalement différente de la contre-prolifération. Mais
parce qu’elle peut se retourner contre les États qui la développent, au risque de
menacer la sécurité internationale et la stabilité même du cyberespace, elle pose
la question du risque systémique, qui était au cœur de la doctrine de l’équilibre
de la terreur. Ce risque les a conduits, dès la fin des années 1990, à engager des
discussions sur la régulation du cyberespace, qui après des années de blocage sur
toute négociation [Maurer, 2011], et le changement de posture des États-Unis en
faveur du multilatéralisme sous l’administration Obama ont permis des avancées
notables.
Suite à une première résolution de la Russie en 1998, l’Assemblée générale des
Nations unies a créé un groupe d’experts gouvernementaux (GGE) pour entamer
des discussions sur les enjeux de sécurité des technologies de l’information et de
la communication (TIC). Seuls 15 États étaient initialement représentés, dont les
5 membres permanents du Conseil de sécurité, en raison du choix de ce format
mais aussi du nombre limité d’États à posséder des compétences dans ce domaine.
En tout, 5 GGE ont successivement été créés et si la représentation s’est progres-
sivement élargie, elle reste marquée par un nombre restreint de membres (25 États
en 2016-2017). Seuls trois des GGE créés ont pu élaborer un rapport en 2010
(A/65/201), 2013 (A/68/98) et 2015 (A/74/170), les deux autres GGE n’ayant pu
aboutir à un rapport de consensus.

La lecture de ces trois rapports illustre, de façon chronologique, d’une part,
la prise de conscience par les États de leur propre vulnérabilité et de l’existence
d’un risque systémique et, d’autre part, la domination du risque géopolitique sur le
risque systémique, limitant par conséquent toute avancée en matière de régulation
de l’espace numérique. Il convient tout d’abord de préciser que ces rapports ne
sont que des recommandations transmises à l’Assemblée générale, ce sont des
instruments non contraignants qui ne créent donc aucune obligation pour les États.
Ils démontrent donc une volonté de s’engager politiquement sans se contraindre
juridiquement et témoignent en ce sens d’une prise de conscience quant au besoin
d’identifier des limites pour préserver la sécurité et la stabilité du cyberespace.
Dans le rapport de 2010, les États reconnaissent que « [l]e réseau mondial des
TIC est devenu le théâtre d’activités perturbatrices » (para. 4) dans lequel différents
acteurs agissent. Ils recommandent de renforcer les capacités de cybersécurité des
340

États, de mettre en œuvre des mesures de confiance et de « poursuivre la concerta-

tion entre États sur des normes éventuelles relatives à l’utilisation des TIC par les
États, afin de réduire le risque collectif et de protéger les infrastructures nationales
et internationales essentielles » (para. 18 i).
En 2013, les États ont reconnu, pour la première fois dans un texte international,
que le droit international s’applique au cyberespace : « [l]e droit international et, en
particulier, la Charte des Nations unies sont applicables et essentiels au maintien de
la paix et de la stabilité ainsi qu’à la promotion d’un environnement informatique
ouvert, sûr, pacifique et accessible » (Rapport GGE 2013, para. 19). Tout d’abord,
cette affirmation renforce la territorialisation de l’espace numérique, confirmée par
l’assertion selon laquelle « [l]a politique des États en matière informatique et leur
compétence territoriale pour ce qui est des infrastructures informatiques présentes sur
leur territoire relèvent de la souveraineté des États et des normes et principes inter-
nationaux qui en découlent » (para. 20). La reconnaissance de l’application du droit
international dans le cyberespace a donc pour conséquence de délimiter les droits et
obligations des États en matière de cyber opérations puisque les États ne pourront pas
mener d’opérations contraires à leurs engagements internationaux. À titre d’exemple,
ils ne pourront pas mener des cyber opérations pour intervenir dans les affaires inté-
rieures d’un autre État, sauf à violer le principe de non-intervention [Delerue, 2020].
Elle reflète aussi la volonté des États d’inscrire leurs comportements dans
l’ordre juridique international. L’espace numérique n’est donc plus ce « Far West
numérique 17 » dans lequel seule la loi du plus fort domine, au moins en théorie.
Il existe des règles qui découlent du droit international, mais la question est de
savoir comment elles s’appliquent, autrement dit quels sont les droits et devoirs
des États. Or l’interprétation du droit international appliqué à un environnement
aussi nouveau, complexe et dynamique pose de sérieuses difficultés. De ce fait,
les États membres du troisième GGE ont recommandé l’élaboration de « normes,
règles et principes de comportement responsable des États » visant à réduire

les risques pesant sur la sécurité et la stabilité du cyberespace. Ces normes, qui
découlent du droit international d’après le rapport, énoncent des principes ou des
bonnes pratiques pour guider le comportement des États. La mission qui sera
confiée au quatrième GGE, créé dès la remise du rapport de 2013 et qui s’est réuni
en 2014-2015, était d’approfondir ces normes.
Cet apparent consensus onusien cache néanmoins de profondes dissensions
sur les modalités de régulation du cyberespace, liées à la représentation du risque
géopolitique, et qui apparaissent en filigrane dans le rapport de 2015. Dès la lecture
17. G. Poupard, « Sécurité informatique : tous connectés, tous responsables », Libération,

22 janvier 2019.
341

HÉRODOTE
de la table des matières, on détecte les premières fissures du consensus entre les
États. Le rapport contient en effet six parties, dont les troisième et sixième portent
respectivement sur les normes de comportement responsable des États et le droit
international. Contrairement au rapport de 2013, une séparation stricte, au moins
en apparence, est établie entre les normes et les règles du droit international. De ce
fait, le rapport fait apparaître le clivage entre les États sur la nécessité d’élaborer
– ou non – de nouvelles règles de droit international pour assurer la sécurité de
l’espace numérique. D’un côté, une partie des États, dont les États-Unis, estiment
que le droit international existant suffit à réguler les comportements et argumentent
en faveur d’engagements politiques, via des normes non contraignantes, qui
traduisent les attentes de la communauté internationale et permettent une meilleure
prévisibilité du comportement des États. Ces normes peuvent s’appuyer sur des
obligations existantes mais ne créent pas de nouvelles obligations internationales.
De l’autre côté, certains États, notamment la Russie, ont une approche plus léga-
liste du droit international et considèrent que le droit existant ne suffit pas à réguler
le comportement des États dans le cyberespace en raison de ses spécificités. Il faut
donc de nouvelles règles, de nouveaux droits et obligations contraignantes dans
le but de compléter le droit international, via un traité [Delerue et Géry, 2017].
Or en séparant les normes des questions de droit international, le rapport donne
l’impression que les normes sont autonomes et que leur mise en œuvre n’est pas
rattachable à la mise en œuvre des obligations du droit international.
Cela peut être lu comme le fait que le droit international se suffit à lui-même et
n’a pas besoin d’être précisé. La mention du but et de la valeur des normes limite
d’ailleurs leur portée : elles sont non contraignantes et servent d’étalon de mesure
pour apprécier les comportements des États mais n’ont pas pour but de limiter
les droits des États (Rapport GGE 2015, para. 10). Leur caractère est purement
déclaratoire, puisqu’elles doivent être précisées pour être mise en œuvre. De plus,

la partie consacrée au droit international se contente, dans une large mesure, de
réitérer ce qui avait été écrit dans le rapport de 2013. À l’inverse, cette séparation
peut être lue comme le fait que ces normes illustrent le besoin de nouvelles règles
mais que les États souhaitent limiter leur engagement, ce qui correspond à la
lecture qu’en fait la Russie. Ces deux lectures coexistent et reflètent les difficultés
d’élaboration d’un consensus entre les États.
Ce rapport a toutefois abouti à des avancées majeures 18. Ainsi, les États se sont
mis d’accord sur une série de normes non contraignantes pour réduire les risques
pour la paix, la sécurité et la stabilité internationales. Elles interdisent notamment
18. T. Maurer et J. Healey, « What it’ll take to forge peace in cyberspace », Christian Science
Monitor, 20 mars 2017.
342

les cyber opérations causant des dommages intentionnels aux infrastructures d’im-
portance vitale et les attaques contre les équipes de réponse d’urgence aux attaques
informatiques (CERT). Les États ne devraient pas sciemment autoriser des cyber
opérations malveillantes depuis leur territoire. Ils s’engagent à notifier les vulnéra-
bilités de manière responsable, lutter contre la prolifération des techniques et outils
informatiques malveillants, échanger de l’information et se prêter mutuellement
assistance, et à mettre en œuvre les mesures recommandées par l’Assemblée géné-
rale en matière de protection des infrastructures d’importance vitale.
L’adoption de ces normes montre donc une volonté commune d’assurer la sécurité
et la stabilité de l’espace numérique. Elle reste néanmoins le fruit de compromis
entre États et surtout de la recherche d’un équilibre permettant de juguler le risque
systémique tout en continuant à utiliser l’espace numérique à des fins offensives, un
principe de réalité au regard du contexte géopolitique [Lewis, 2018]. En témoignent
les nombreux caveats dans la formulation des recommandations, comme l’em-
ploi du conditionnel (states should ou should not) ou l’ambiguïté sur la nature des
cyber opérations proscrites. Ainsi, ce ne pas sont pas les cyber opérations contre
des infrastructures d’importance vitale qui sont proscrites mais celles contraires au
droit international et causant des « dommages intentionnels » à ces infrastructures.
L’Assemblée générale des Nations unies a souhaité que les discussions se pour-
suivent, donnant lieu à un cinquième GGE. Mais les négociations de 2016-2017
ont échoué en raison de désaccords profonds sur la question du droit international
et de son interprétation. Les communiqués et déclarations des États-Unis, Cuba et
la Russie 19 font état d’une apparente remise en cause de l’applicabilité de certaines
règles du droit international (légitime défense, droit de la responsabilité inter
nationale, droit international humanitaire) mais surtout de dissensions profondes
sur l’interprétation de ces branches du droit. Elles s’expliquent en partie par un
contexte géopolitique particulièrement tendu, marqué par l’affirmation de puis-
sance des États dans l’espace numérique : accusations d’ingérence russe dans
l’élection présidentielle américaine, montée en puissance de la menace informa-
tionnelle, focalisation des tensions commerciales entre les États-Unis et la Chine
sur les technologies numériques, cyberattaques à propagation systémique, début
des attributions publiques et menaces de représailles. Ce contexte suscite auprès
de certains États – notamment la Chine – des interrogations sur la portée et les
conséquences potentielles de leurs engagements juridiques. Ce contexte géopoli-
tique laissait d’emblée présager de la réticence des États à s’entendre pour avancer
19. E. Korzak, « UN GGE on cybersecurity : the end of and era ? », The Diplomat, juil-
let 2017 ; A. M. Sukumar, « The UN GGE failed. Is international law in cyberspace doomed as
well ? », Lawfare, 2017, en ligne.
343

HÉRODOTE
en matière de régulation de l’espace numérique. Ce risque était d’autant plus élevé

que, hormis en matière de mesures de confiance et de renforcement des capacités,
les discussions relatives aux normes et droit internationaux nécessitaient d’entrer
dans un niveau de détail à même de limiter un peu plus les comportements des
États. Le risque géopolitique a donc mis un coup d’arrêt aux négociations sur la
sécurité et la stabilité de l’espace numérique. En conséquence, des acteurs non
étatiques, confrontés au risque systémique, ont cherché à s’impliquer directement
dans ces discussions à travers différentes initiatives.
Beaucoup de bruit pour rien ?
Le 14 février 2017, Brad Smith, président de Microsoft, lançait un appel en

faveur de l’élaboration d’une convention de Genève du numérique 20. S’inspirant
des conventions de Genève de 1949, il appelait les États à protéger les infra
structures et les citoyens contre les attaques informatiques en temps de paix.
Il invitait également à créer une organisation internationale sur le modèle de
l’Agence internationale de l’énergie atomique chargée d’attribuer les cyber opéra-
tions aux États. Au même moment, lors de la conférence de sécurité de Munich,
la Global Commission on the Stability of Cyberspace (GCSC) lançait ses travaux.
Créée à l’initiative du ministre des Affaires étrangères des Pays-Bas avec le
soutien de grandes entreprises et de quelques États, cette commission indépendante
regroupe 28 experts internationaux venus du secteur privé, du monde acadé-
mique, de la communauté technique et des organisations non gouvernementales.
Sa mission était de proposer de nouvelles normes de comportement responsable
pour maintenir la sécurité et la stabilité dans l’espace numérique, ce qui est l’objet
de son rapport final présenté au Forum de la Paix de Paris en novembre 2019.

Entre 2017 et 2019, ces deux types d’acteurs, privé (Microsoft) et multi-acteurs
(GCSC), ont respectivement joué un rôle important dans les débats portant sur
la sécurité et la stabilité de l’espace numérique. Ils ont tout d’abord maintenu ces
questions à l’agenda international à travers des contacts plus ou moins formels
avec les États et les organisations internationales, à un moment d’incertitude quant
au futur des négociations internationales. Ils ont ensuite lancé des initiatives et
élaboré des propositions de régulation de l’espace numérique. La GCSC a ainsi
proposé huit normes 21 de comportement dont plusieurs ont été intégrées dans
20. B. Smith, « Thee need for a digital Geneva convention », Microsoft on the Issues,
14 février 2017, en ligne.
21. GCSC, « Advancing Cyberstability. Final Report », novembre 2019.
344

l’Appel de Paris en novembre 2018 et le Cybersecurity Act adopté en mai 2019 par

l’Union européenne. D’autres initiatives, consistant en des engagements du secteur
privé (Charter of Trust proposé par Siemens, Cybersecurity Tech Accord proposé
par Microsoft) ou en la création d’une organisation non gouvernementale (Cyber
Peace Institute) ont été lancées par des acteurs privés.
Toutes ces initiatives sont symptomatiques d’une volonté des acteurs privés
et de la société civile de s’impliquer dans des discussions relevant du domaine
régalien et cherchent à transférer le modèle multi-acteurs, longtemps cantonné
à la gouvernance d’autres aspects de l’Internet, vers les enjeux de sécurité inter
nationale. Ces acteurs possèdent une légitimité historique, une compétence
technique et des ressources indispensables pour assurer la sécurité et la stabilité du
cyberespace. L’Internet a été conçu par des acteurs académiques, puis développé et
commercialisé par des acteurs privés qui possèdent l’essentiel des infrastructures.
Ces entreprises mondiales disposent des compétences techniques, de données et de
ressources supérieures à celles des États dans bien des domaines et sont souvent
les premières à détecter les attaques et à réagir. Elles sont devenues des partenaires
essentiels pour la sécurité des États.
Les acteurs du secteur privé et académique, la communauté technique comme
la société civile sont fortement impliqués dans la gouvernance de l’Internet et
leur expertise peut s’avérer indispensable en raison de la technicité des enjeux
[Ríos Rodríguez, 2010], comme l’exemple de l’Arrangement de Wassenaar en
témoigne 22. La mise en œuvre de cet accord sur l’exportation des technologies
à usage dual est en effet limitée par les faiblesses techniques de sa définition.
Et, surtout, ces acteurs peuvent permettre de pousser les États à dépasser certains
blocages qui limitent l’élaboration et la portée des normes car ils ont en commun
un intérêt à la stabilité du cyberespace et la confiance des utilisateurs.
Le point d’orgue de cette logique réside dans la création fin 2019, par
Microsoft, MasterCard et la Fondation Hewlett, du Cyber Peace Institute qui, sans

officiellement faire de l’attribution, dispose d’une fonction d’accountability afin
d’évaluer le respect des normes de comportement et du droit international par les
États. De même, la désignation en janvier 2020 par Microsoft d’un représentant
spécial chargé des questions onusiennes illustre la volonté de l’entreprise d’in-
fluencer directement les discussions internationales 23.
Ces initiatives se heurtent néanmoins à une forte opposition de nombreux États
à laisser des acteurs non étatiques se mêler de la définition des droits, obligations
22. K. Moussouris, « Serious progress made on the Wassenaar Arrangement for global

cybersecurity », The Hill, 17 décembre 2017.
23. « Microsoft appoints senior governement affairs leaders in Brussels and New York,
establishes New York office to work with the United Nations », Microsoft Blog, 17 janvier 2020.
345

HÉRODOTE
et de la responsabilité des États. Bien qu’ils reconnaissent l’importance du modèle

multi-acteurs de gouvernance de l’Internet et la nécessité d’associer étroitement
tout le secteur privé et la société civile aux initiatives visant à promouvoir la
sécurité et la stabilité du cyberespace, ils défendent la dimension exclusive de
certaines de leurs prérogatives. Le rôle des acteurs non étatiques dans la sécurité
et la stabilité du cyberespace a été reconnu en 2013 et 2015 par les États membres
du GGE qui ont toutefois rappelé leur responsabilité première dans ce domaine.
D’une part, les acteurs non étatiques, sauf à disposer d’un titre spécialement
accordé, ne disposent pas d’un droit à participer à ces discussions, n’étant pas des
sujets du droit international. D’autre part, la représentation du cyberespace comme
champ de confrontation et comme objet de sécurité nationale en fait un sujet réga-
lien et limite la volonté des États de les associer aux discussions.
Cependant, l’apport des acteurs non étatiques dans les discussions inter
nationales est reconnu de plus en plus largement, même s’il reste perçu
différemment selon les États. On constate d’ailleurs que les États participent à de
multiples forums de multi-acteurs portant sur les enjeux de sécurité et stabilité
du cyberespace, désormais discutés au sein de l’Internet Governance Forum,
de l’ICANN 24 mais aussi de dialogues et d’initiatives plus spécifiques (London
Process, Raisina Dialogue, Sino-European Cyber Dialogue, US-China Cyber
Dialogue, Canada-EU Cyber Dialogue, etc.), cherchant à faire progresser la
réflexion et construire un consensus à l’extérieur des processus multilatéraux pour
faciliter les discussions internationales et/ou créer un rapport de forces en ralliant
en amont des États et des organisations à leurs positions. Cette reconnaissance du
rôle des acteurs non étatiques s’est d’ailleurs matérialisée dans l’Appel de Paris
pour la confiance et la sécurité dans le cyberespace, lancé par la France et large-
ment promu par l’entreprise Microsoft. L’Appel de Paris, qui n’est toutefois pas
soutenu par les États-Unis, la Chine et la Russie, témoigne d’une volonté affichée

de s’engager ensemble pour assurer la sécurité et la stabilité du cyberespace.
Il aura fallu attendre un peu plus d’un an après l’échec des négociations aux
Nations unies pour que de nouvelles propositions émergent. Et la manière dont
elles ont redémarré est emblématique de toute la tension entre deux appréhensions
du risque, dans un contexte géopolitique dégradé. Car ce n’est pas un, mais deux
processus qui ont démarré quasiment simultanément à l’automne 2019, l’un porté
par la Russie, l’autre par les États-Unis, avec des mandats qui se recoupent large-
ment. En octobre 2018, la Russie a proposé une nouvelle résolution sur les TIC
dans le contexte de la sécurité internationale listant plusieurs normes de compor-
tement et créant un groupe de travail à composition non limitée (Open-Ended
24. Société pour l’attribution des noms de domaine et des numéros sur internet.
346

Working Group, OEWG), c’est-à-dire un groupe de négociation ouvert à tous

les États membres des Nations unies. La première commission de l’Assemblée
générale a alors été le théâtre d’un affrontement musclé entre les soutiens de
la proposition russe et les États occidentaux qui, en réaction, ont proposé leur
propre projet de résolution créant un groupe d’experts gouvernementaux (GGE)
restreint à 25 États. Malgré d’importantes modifications du projet initial russe, les
États‑Unis, soutenus par l’Union européenne, n’ont pas retiré leur projet de résolu-
tion, aboutissant à l’adoption par l’Assemblée générale les 5 et 22 décembre 2018
de deux résolutions (A/RES/73/27 et A/RES/73/266), dans un climat de tensions
exacerbées. Une grande majorité d’États a voté en faveur de ces deux résolutions
qui témoignent néanmoins d’une fracture profonde entre les grandes puissances,
aussi bien sur les objectifs à atteindre que sur les moyens d’y parvenir. Car la
Russie n’a pas renoncé à son objectif énoncé dès 1998, à savoir l’élaboration d’un
traité qui sous-tend les négociations au sein du groupe de travail.
Or de manière intéressante c’est le groupe de travail proposé par la Russie qui
offre des consultations avec les acteurs non étatiques (ONG, entreprises, etc.), dont
certains (mais pas tous) réclament un traité. Le GGE, en revanche, ne consulte que les
organisations régionales étatiques et pas les acteurs non étatiques. Cette fracture s’est
accentuée en décembre 2019 lorsque l’Assemblée générale, sur proposition russe,
a adopté une résolution (A/RES/74/247) créant un nouveau processus de négociation
chargé d’élaborer un traité sur la cybercriminalité, les États occidentaux y étant tota-
lement opposés au motif que la convention de Budapest sur la cybercriminalité de
2001, ouverte à la signature à des États non membres du Conseil de l’Europe et déjà
ratifiée par 64 États, devrait continuer à être universalisée.
Ces deux processus de négociation sont le résultat de tensions géopolitiques
majeures, dans un contexte où les États-Unis assument une position offensive tout
en dénonçant, avec plusieurs de leurs partenaires internationaux, les cyber opéra-
tions russes et chinoises. De leur côté, des États comme la Chine et la Russie, tout
en ayant des stratégies différentes [Broeders et al., 2019], exploitent pleinement
les potentialités offensives des réseaux tout en appelant à limiter la militarisation
de l’espace numérique. L’Europe, quant à elle, cherche à offrir une troisième voie,
tout en étant limitée dans son opposition aux États-Unis, qui restent leur allié prin-
cipal, et en proie à ses propres dissensions.
Le paysage des négociations internationales devient ainsi particulièrement
foisonnant voire confus, avec une multiplication des acteurs, des initiatives et des
propositions visant à promouvoir la paix et la stabilité du cyberespace. Il risque
de conduire à des incohérences ou des ambiguïtés qui laissent une marge de
manœuvre aux États pour poursuivre leurs hostilités en relative impunité, même si
les deux présidents des groupes travaillent ensemble pour aboutir à un consensus
et limiter les contradictions. Ce foisonnement crée toutefois une dynamique
347

HÉRODOTE
permettant une meilleure prise de conscience des risques et des enjeux liés à la
prolifération des cyberarmes par les États et tous les acteurs. Mais il s’inscrit aussi
dans un contexte géopolitique particulièrement propice à la course aux armements.
Conclusion
Le cyberespace est ainsi devenu un champ de confrontation entre les États au

cours des années 2010, au point de devenir un domaine militaire à part entière pour
de nombreux États qui se sont engagés dans une course aux cyberarmes. Or la
prolifération des cyber opérations et des outils offensifs contribue à renforcer l’am-
pleur et le niveau de sophistication de la menace à laquelle ils sont confrontés dans
l’espace numérique. Les outils et les concepts d’attaques qu’ils ont développés leur
ont échappé et ont commencé à se retourner contre eux, les vulnérabilités qu’ils
exploitent dans les systèmes adverses touchent aussi les systèmes de leurs propres
entreprises et institutions qui peuvent devenir des cibles stratégiques. Enfin et
surtout, la propagation incontrôlée de certaines attaques a entraîné des conséquences
dévastatrices qui posent d’importants problèmes de responsabilité, aussi bien éthique
que juridique et économique, et suscitent une prise de conscience sur le risque systé-
mique que fait peser la prolifération sur la sécurité et la stabilité du cyberespace.
C’est pourquoi, malgré un contexte géopolitique extrêmement tendu, les États
ont choisi de relancer les discussions internationales sur la sécurité et la stabilité
du cyberespace et participent à de multiples initiatives avec les acteurs du secteur
privé et de la société civile pour tenter de juguler la menace. Mais force est de
constater que la représentation de la cybermenace comme un risque géopolitique
continue de prédominer sur la représentation du risque systémique, conduisant
certains États à se réserver des marges de manœuvre pour mener des opérations

offensives, afin d’assurer d’abord leur propre puissance dans le cyberespace, qu’ils
se représentent comme la condition de leur sécurité.
Les discussions à l’ONU étant en cours à l’heure où nous rédigeons cet
article, il est difficile de prédire leur issue. Elle dépendra in fine de ce que les
États perçoivent comme leur intérêt premier : juguler la menace systémique ou
continuer à faire la guerre. Quelle que soit l’issue des négociations, le risque systé-
mique restera nécessairement élevé en raison des intérêts stratégiques divergents
des États et parce que l’exploitation de la vulnérabilité des réseaux par un acteur
à une fin déterminée l’est en réalité par tous et à des fins multiples. Elle montre
également que, quelles que soient les initiatives et propositions, le cyberespace
ça sert, d’abord, à faire la guerre, et que sa régulation reste le résultat des « poli-
tiques juridiques extérieures » [Ladreit de la Charrière, 1983] des États et donc de
la défense de leurs intérêts.
348

Bibliographie
Adam S. (2013), Managing New Security Challenges in Asia: Between Cybercrime and
Cyberconflict, in New Security Challenges in Asia, edited by Michael Wills and Robert
M. Hathaway, Washington D.C., Woodrow Wilson Center Press, 224-254.
Broeders D., Adamson L. et Creemers R. (2019), A Coalition of the Unwilling ? Chinese
& Russian Perspectives on Cyberspace (La coalition des réticents ? Perspectives
chinoises et russes sur le cyberespace), La Haye, Policy Brief.
Buchanan B. (2016), The Cybersecurity Dilemma. Hacking, Trust and Fear Between
Nations (Le dilemme de la cybersécurité. Piratage, confiance et peur entre nations),
Londres, C. Hurst & Co, 2016.
– (2018), The Cyber Security Dilemma: Hacking, Trust, and Fear Between Nations,
Londres, Hurst Publishers.
Buzan B., Wæver O. et de Wilde J. (1998), Security: A New Framework for Analysis,
Boulder : Lynne Rienner Publishers.
Delerue F. (2020), Cyber Operations and International Law (Cyber opérations et droit
international), Cambridge, Cambridge University Press.
Delerue F. et Géry A. (2017), « État des lieux et perspectives sur les normes de
comportement responsable des États et mesures de confiance dans le domaine
numérique », Paris, Les notes stratégiques.
Desforges A. (2014), Representations of Cyberspace: A Geopolitical Tool, Hérodote,
n° 152-153, 67-81.
Douzet F. et Desforges A. (2018) « Du cyberespace à la datasphère. Le nouveau front
pionnier de la géographie », Netcom, vol. 32, n° 1-2.
Dunn Cavelty M. (2008), Cyber-Security and Threat Politics – US efforts to secure the
information age, Londres, Routledge.
Dunn Cavelty M. (2012), The Militarisation of Cyberspace: Why Less May Be Better,
4th International Conference on Cyber Conflict, Talinn.
Forteau M. (2019), « Les seuils de gravité d’une cyberattaque », in M. Grange et
A.-T. Norodom (dir.), Cyberattaques et droit international. Problèmes choisis, Paris,
Pedone.
Gasser U., Gertner N., Goldsmith J., Landau S., Nye J., O’Brien D., Olsen M.,
Renan D., Sanchez J., Schneier B., Schwartztol L. et Zittrain J. (2016), « Don’t
panic. Making progress on the “going dark” debate », Berkman Center for Internet &
Society at Harvard University, 1er février 2016.
Haddad S. (2018), La cyberdéfense ou la construction d’un « champ de confrontation à part
entière », in La cyberdéfense. Politique de l’espace numérique, D. Danet, A. Cattaruzza
et S. Taillat (ed.), Paris : Armand Colin.
Kaiser R. (2015), The Birth of Cyber War, Political Geography, vol. 46, 11-20.
Lacoste Y. (1976), La géographie, ça sert, d’abord, à faire la guerre, Paris, Maspero.
Ladreit de Lacharrière G., 1983, La politique juridique extérieure, Economica, 236 p.
Lewis J. (2018), State Practice and Precedent in Cybersecurity Negotiations (La pra-
tique des États et le précédent dans les négociations en matière de cybersécurité),
Washington, CSIS.
349

HÉRODOTE
Libicki M. (2012), Cyberspace is Not a Warfighting Domain, I/S: A Journal of Law and
Policy for the Information Society, vol. 8, n° 2, 321-336.
Maurer T. (2011), Cyber Norm Emergence at the United nations. An Analysis of the
Activities at the UN Regarding Cyber-Security (L’émergence des cybernormes aux
Nations unies. Analyse des activités de l’ONU en matière de cybersécurité), Boston,
Belfer Center for Science and International Affairs.
Nissenbaum H., « Where Computer Security Meets Nations Security », Ethics and
Information Technology, n° 7, 2005, pp. 61-73.
Rech M., Bos D. Jenkings K., Williams A. et Woodward R. (2014), « Geography, mili-
tary geography, and critical military studies », Critical Military Studies, vol. 1, n° 1,
p. 47-60.
Rid T. (2012) Cyber War Will Not Take Place, Journal of Strategic Studies, 35:1, 5-32.
Rid T., Buchanan B., « Attributing Cyber Attacks », Journal of Strategic Studies, vol. 38,
n° 1-2, 2015, pp. 4-37.
Ríos Rodríguez J. (2010), L’Expert en droit international, Paris, Pedone.
Sanger D. (2012), Obama. Guerres et secrets, Paris, Belin.
Smeets M. (2020), « U.S. cyber strategy of persistent engagement and defend forward :
implications for the alliance and intelligence collection », Intelligence and National
Security, DOI : 10.1080/02684527.2020.1729316.
Zetter K. (2014), Countdown to Zero Day. Stuxnet and the Launch of the World’s First
Digital Weapon (Compte à rebours jusqu’au jour zéro. Stuxnet et le lancement de la
première arme digitale au monde), New York, Broadway Books.

Le Cyberespace Ca Sert D'abord

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Le Cyberespace Ca Sert D'abord

Transféré par

Droits d'auteur :

Formats disponibles

LE CYBERESPACE, ÇA SERT, D’ABORD, À FAIRE LA GUERRE.

PROLIFÉRATION, SÉCURITÉ ET STABILITÉ DU CYBERESPACE

Frédérick Douzet, Aude Géry

Distribution électronique Cairn.info pour La Découverte.

Powered by TCPDF (www.tcpdf.org)

Frédérick Douzet 1 et Aude Géry 2

Le 12 novembre 2018, en plein Forum de la Paix de Paris réunissant près

(ANSSI) et du ministère de l’Europe et des Affaires étrangères, intitulé « Construire

1. Frédérick Douzet, professeur à l’Institut français de géopolitique (université Paris 8),

Hérodote_177-178_BAT.indd 329 19/05/2020 16:06

justifie par le constat, d’une part, de l’explosion de la conflictualité dans le cybe-

Hérodote, n° 177-178, La Découverte, 2e et 3e trimestres 2020.

Hérodote_177-178_BAT.indd 330 19/05/2020 16:06

assurer la sécurité et la stabilité du cyberespace face au risque systémique, inter­

L’émergence d’un nouveau domaine militaire

Les années 2010 ont vu l’émergence de la représentation du cyberespace

Hérodote_177-178_BAT.indd 331 19/05/2020 16:06

Hérodote, n° 177-178, La Découverte, 2e et 3e trimestres 2020.

5. Rand Corporation, « Operationalizing Cyberspace as a military domain », juin 2019, en

Hérodote_177-178_BAT.indd 332 19/05/2020 16:06

combinaison de modes d’action – techniques et non techniques, en ligne et hors

Hérodote_177-178_BAT.indd 333 19/05/2020 16:06

La matérialisation de la cyberguerre : une série de surprises stratégiques

Hérodote, n° 177-178, La Découverte, 2e et 3e trimestres 2020.

6. Attaque qui vise à rendre un serveur, un service ou une infrastructure indisponible en

Hérodote_177-178_BAT.indd 334 19/05/2020 16:06

9. Voir l’article de Camille François et Herbert Lin dans ce numéro.

Hérodote_177-178_BAT.indd 335 19/05/2020 16:06

Hérodote, n° 177-178, La Découverte, 2e et 3e trimestres 2020.

11. East-West Institute, « Encryption policy in democratic regimes », 2018, en ligne.

Hérodote_177-178_BAT.indd 336 19/05/2020 16:06

Risque géopolitique vs risque systémique : le dilemme sécuritaire des États

cyberespace, probablement par le truchement d’une clé USB.

Hérodote_177-178_BAT.indd 337 19/05/2020 16:06

Hérodote, n° 177-178, La Découverte, 2e et 3e trimestres 2020.

Hérodote_177-178_BAT.indd 338 19/05/2020 16:06

Les diplomates à l’assaut du « Far West numérique »

Hérodote_177-178_BAT.indd 339 19/05/2020 16:06

des attaques potentiellement déstabilisatrices, même si ces technologies pourront

Hérodote, n° 177-178, La Découverte, 2e et 3e trimestres 2020.

Hérodote_177-178_BAT.indd 340 19/05/2020 16:06

États, de mettre en œuvre des mesures de confiance et de « poursuivre la concerta-

règles et principes de comportement responsable des États » visant à réduire

17. G. Poupard, « Sécurité informatique : tous connectés, tous responsables », Libération,

Hérodote_177-178_BAT.indd 341 19/05/2020 16:06

Hérodote, n° 177-178, La Découverte, 2e et 3e trimestres 2020.

Hérodote_177-178_BAT.indd 342 19/05/2020 16:06

Hérodote_177-178_BAT.indd 343 19/05/2020 16:06

en matière de régulation de l’espace numérique. Ce risque était d’autant plus élevé

Beaucoup de bruit pour rien ?

Le 14 février 2017, Brad Smith, président de Microsoft, lançait un appel en

Hérodote, n° 177-178, La Découverte, 2e et 3e trimestres 2020.

Hérodote_177-178_BAT.indd 344 19/05/2020 16:06

l’Appel de Paris en novembre 2018 et le Cybersecurity Act adopté en mai 2019 par

Microsoft, MasterCard et la Fondation Hewlett, du Cyber Peace Institute qui, sans

22. K. Moussouris, « Serious progress made on the Wassenaar Arrangement for global

Hérodote_177-178_BAT.indd 345 19/05/2020 16:06

et de la responsabilité des États. Bien qu’ils reconnaissent l’importance du modèle

Hérodote, n° 177-178, La Découverte, 2e et 3e trimestres 2020.

Hérodote_177-178_BAT.indd 346 19/05/2020 16:06

Working Group, OEWG), c’est-à-dire un groupe de négociation ouvert à tous

Hérodote_177-178_BAT.indd 347 19/05/2020 16:06

Le cyberespace est ainsi devenu un champ de confrontation entre les États au

assurer la sécurité et la stabilité du cyberespace face au risque systémique, inter