Le Conseil européen se dit prêt à utiliser l'arme des sanctions diplomatiques contre les acteurs étatiques ou non qui utiliseraient des cyberattaques contre le Vieux Continent.

Sur la scène internationale, l’Union européenne s’est toujours efforcée d’apparaître comme une puissance pacifique — elle n’a d’ailleurs guère le choix, l’intégration des États membres n’étant pas assez poussée pour pouvoir espérer se doter d’une défense commune et d’une diplomatie cohérente. Il n’empêche, le Vieux Continent agit parfois de concert dans le monde, comme en témoignent les sanctions qui ont été prises contre la Russie à la suite de l’annexion de la Crimée, en Ukraine.

Cette logique, l’Union européenne entend la poursuivre au sujet des attaques visant ses systèmes d’information ou ceux des pays membres. C’est ce que fait savoir le Conseil européen, l’instance réunissant les chefs d’État ou de gouvernement, dans un communiqué paru lundi 19 juin. En cas d’attaque informatique, en fonction de sa gravité et de son ampleur, des mesures d’ordre diplomatique pourraient être prises en représailles, avec pourquoi pas des sanctions économiques.

europe
CC European Parliament

« L’Union européenne est préoccupée par la capacité et la volonté accrues d’acteurs étatiques et non étatiques à poursuivre leurs objectifs par des activités cybermalveillantes. De telles activités peuvent constituer des actes illicites au regard du droit international et sont susceptibles de donner lieu à une réponse conjointe de l’Union européenne », met en garde le Conseil, sans toutefois, diplomatie oblige, pointer du doigt quelqu’un en particulier.

Bien consciente que des actions de cette nature ont déjà eu lieu sur son territoire — en 2007, l’Estonie a été la cible d’une série de cyberattaques en provenance, selon les autorités locales, de la Russie, laquelle a nié toute implication. Ces opérations avaient paralysé plusieurs pans de la société estonienne pendant quelques jours –, l’Union européenne reste néanmoins « attachée au règlement des différends internationaux dans le cyberespace par des moyens pacifiques ».

Bruxelles entend régler pacifiquement les différends internationaux dans le cyberespace

Ceci étant dit, d’autres leviers sont à disposition du Vieux Continent. Il n’est pas forcément nécessaire de faire parler la poudre.

Bruxelles « fera pleinement usage des mesures relevant de la politique étrangère et de sécurité commune, y compris, si nécessaire, des mesures restrictives », en tenant compte de « la portée, l’échelle, la durée, l’intensité, la complexité, la sophistication et l’incidence de la cyberactivité ». L’attaque DDOS d’un site vitrine de l’Union ne mérite pas, par exemple, de suspendre tout flux commercial avec un pays. Il faut garder une certaine proportionnalité dans la réaction.

L’approche de l’Union européenne est dans tous les cas nettement plus mesurée que celle imaginée par l’Organisation du traité de l’Atlantique nord, qui, après des réflexions initiées en 2013, considère depuis 2014 qu’une cyberattaque visant l’un des pays membres est une agression dirigée contre tous les autres. Certaines attaques pourraient même déclencher une réaction militaire de la part de l’Alliance. Faut-il toutefois s’en étonner, dans la mesure où l’Otan est une structure militaire ?

otan-armee-militaire
CC Paul Shaw

Rappelons d’ailleurs que l’Otan a ouvert en 2008 et en 2013 des centre de réaction contre les cyberattaques. La France a fini par rejoindre cette structure et planche sur ces problématiques avec des pays comme les États-Unis, le Royaume-Uni, l’Allemagne, la Pologne et l’Italie, tout en disposant de ses propres structures et forces, afin de pouvoir garder une autonomie que ce soit dans l’appréciation de la situation ou bien dans sa capacité à se défendre.

Reste toutefois deux interrogations :

Quel degré de certitude peut-on avoir dans le « cyberespace » sur l’auteur d’un acte manifestement hostile ? Il ne s’agirait pas de déployer des sanctions économiques lourdes contre un pays accusé d’avoir commis des attaques informatiques contre des installations critiques en Europe, alors que celui-ci n’aurait servi que de point de passage. Il est en effet tout à fait possible de faire transiter une opération par un ou plusieurs pays tiers, afin de masquer ses traces.

Est-il possible d’appliquer des sanctions économiques et diplomatiques de manière efficace contre un « acteur non étatique » ? Le Conseil de l’Union européenne ne donne pas d’exemple pour illustrer ce qu’il entend par acteur non étatique, mais sans doute pense-t-il aux organisations considérées comme terroristes par le Conseil de l’Union européenne (une liste noire existe), avec à la clé diverses sanctions (gel des fonds et des avoirs financiers) et mesures (coopération policière et judiciaire).

Partager sur les réseaux sociaux