L’OTAN prévoit une réaction militaire contre les cyberattaques

Une attaque informatique visant l’un des États membres de l’Organisation du traité de l’Atlantique Nord (OTAN) pourra désormais être considérée comme une agression visant toutes les parties et entrainer potentiellement une réaction militaire, en vertu de l’article 5 du traité qui organise la défense collective de l’Amérique du Nord et de la plupart des pays européens.

L’information a été confirmée par Anders Fogh Rasmussen, le secrétaire général de l’OTAN, alors que se tient actuellement le 24ème sommet de l’organisation à Newport (Pays de Galles). « À partir de maintenant, la cyberdéfense devient une mission essentielle de l’OTAN en matière de défense collective dans la mesure où les cyberattaques nuisent à nos sociétés autant que des attaques conventionnelles« .

From now on #cyber defence is a #NATO core task of collective defence as cyber attacks harm our societies as much as conventional attacks

— AndersFogh Rasmussen (@AndersFoghR) 5 Septembre 2014

L’annonce s’inscrit dans une évolution plus globale de l’OTAN sur ce sujet. En 2013, le centre d’excellence chargé des questions de cyberdéfense a publié un manuel sur le droit applicable à la cyberguerre et ouvert la réflexion sur une riposte militaire visant les auteurs de cyberattaques. À l’époque, il était précisé que ce document ne reflétait pas une actualisation de la doctrine de l’Alliance.

La même année, l’OTAN a ouvert un centre de réaction contre les cyberattaques (un autre a été ouvert en 2008). La France a rejoint officiellement cette structure cet été et travaille désormais avec des pays comme les États-Unis, le Royaume-Uni, l’Allemagne, la Pologne ou encore l’Italie, tout en disposant de ses propres structures et forces, incluant un corps de réservistes spécialisés.

Il va sans dire que l’évolution de la doctrine de l’OTAN ne concerne que le cas où un pays membre est attaqué par un pays non-membre.

Pas question, évidemment, de déclencher quoi que ce soit si une attaque informatique se déroule entre deux pays membres. D’ailleurs dans le cyberespace, ces « attaques » sont plutôt des opérations d’espionnage que des agressions visant à neutraliser le fonctionnement de l’État d’en face. Et c’est heureux, vu que la France et les États-Unis ont parfois mené des actions électroniques chez l’autre.

Pas question, non plus, de déclencher automatiquement une réponse militaire à chaque attaque DDOS. Il faudra constater le niveau de l’agression et, surtout, déterminer avec précision son origine. En effet, il n’est pas toujours aisé de savoir qui se cache derrière une cyberattaque. Un pays A peut s’en prendre un pays B en passant par le pays C afin de donner l’illusion que c’est ce dernier qui opère.

En outre, il faudra prendre en compte la puissance du pays qui agresse si son identité est établie avec certitude. L’on peut par exemple penser que l’OTAN réfléchira à deux fois avant de se lancer dans une aventure militaire avec la Russie, si c’est elle qui se trouve derrière une attaque informatique visant un pays membre. Il faudra vraiment que l’agression soit excessive pour esquisser un tel scénario.

Celui-ci existe pourtant.

Rappelons que l’Estonie a été la cible en 2007 d’une série de cyberattaques. À l’époque, le pouvoir en place avait pointé du doigt la responsabilité de la Russie, laquelle a évidemment nié toute implication, bien que des faisceaux d’indice, à défaut de preuve, ont désigné Moscou. Or, l’Estonie a rejoint l’OTAN en 2004. Une évolution plus tôt de la doctrine aurait peut-être pu produire des effets inédits avec la Russie.

( photo : Ieuanb123 )