Cyber guerre, cyber attaque, cyber espace et cyber protection ?
Publié le 16 juillet 2021
En mai 2020, 40 dirigeants internationaux, dont le Président du Comité international de la Croix-Rouge, Peter Maurer, ont lancé un appel visant à mettre fin aux cyberattaques contre le secteur de la santé . A travers celui-ci, les gouvernements du monde entier ont été appelés à prendre des mesures immédiates et résolues pour prévenir et stopper les cyberattaques dirigées contre les hôpitaux, les centres de santé, les instituts de recherche et les autorités internationales qui fournissent des soins et des conseils vitaux dans le contexte de la pandémie de COVID-19.
Ces derniers mois de nombreuses cyberattaques ont, en effet, été lancées contre des établissements médicaux – notamment en Espagne, aux États-Unis, en France, en République tchèque et en Thaïlande –, des organisations internationales comme l'Organisation mondiale de la Santé et d'autres autorités sanitaires.
Les cyberattaques contre le secteur de la santé sont diverses et peuvent aller d’attaques de programmes ou logiciels malveillants dans le but de compromettre l’intégrité du système ainsi que la vie privée des patients à des attaques massives par déni de service distribué (DSD) qui perturbent la capacité des établissements à fournir des soins aux patients. Il peut également s’agir de lancer de larges campagnes de désinformation visant à ébranler la confiance du public envers les acteurs clés, ou de provoquer des interférences avec les installations d'essai et de recherche sur les vaccins.
La multiplication de ces cyberattaques souligne ainsi la vulnérabilité de ce secteur à un moment où les soins médicaux sont essentiels et les événements récents témoignent d'une tendance émergente : les cyber-opérations mettent de plus en plus de vies humaines en danger.
Mais que dit le droit international humanitaire (DIH) en la matière ?
Au niveau interétatique, le cadre juridique applicable dépend du contexte dans lequel les cyber opérations se produisent. Pour le Mouvement de la Croix-Rouge et du Croissant-Rouge, il est hors de doute que le DIH régit — et, de ce fait, limite — les cyber opérations pendant les conflits armés, de même qu’il réglemente l’emploi de tout autre type d’arme, de moyen et de méthode de guerre dans un conflit armé, qu’il soit nouveau ou ancien. Dès lors, il est communément admis que les cyber opérations conçues pour tuer, blesser ou causer des dommages matériels constituent des attaques au sens du DIH.
Pour le CICR, il convient d'y inclure aussi les cyber opérations qui causent des dommages par leurs effets directs et indirects prévisibles, par exemple lorsque des patients placés en unités de soins intensifs décèdent du fait d’une cyber opération contre un réseau électrique qui prive l’hôpital d’électricité.
Les règles régissant la conduite des hostilités sont donc particulièrement pertinentes dans le cyberespace. Elles ont pour objet de protéger la population civile contre les effets des hostilités et reposent sur le principe fondamental de la distinction, qui impose aux belligérants de faire en tout temps la distinction entre la population civile et les combattants ainsi qu’entre les biens de caractère civil et les objectifs militaires, et de ne diriger leurs opérations que contre des objectifs militaires
En outre, en vertu du droit international humanitaire, certains biens, tels que les unités et transports médicaux bénéficient d’une protection spécifique. Afin que cette protection soit visible de toutes et tous, ont été établis des emblèmes spécifiques et toute attaque délibérée dirigée contre une personne, du matériel ou un bâtiment arborant un emblème protecteur constitue un crime de guerre au regard du droit international.
Le cyberespace, un espace humanitaire ?
Dans la mesure où des biens protégés par le DIH sont également présents sur internet, connectés par un réseau et peuvent faire l’objet d’attaques tant en temps de paix qu’en temps de guerre, le cyberespace pourrait également être considéré comme un espace humanitaire au sein duquel pourraient être élaborées des normes protégeant les cyber infrastructures.
Pourrait également être créé un emblème numérique afin de mieux protéger certaines installations telles que des hôpitaux, des centres et instituts de recherche médicale qui font déjà l’objet d’une protection en droit international humanitaire mais qui ne sont pas “marquées” comme telles dans le cyberespace. De même les membres du Mouvement international de la Croix-Rouge et du Croissant-Rouge pourraient arborer un emblème numérique comme marqueur distinctif pour protéger les services numériques du Mouvement.
Certains d’entre vous se moqueront peut-être de la naïveté de cette proposition, or sachez qu’elle est loin d’être complètement inédite ! En effet, en 1977, les Etats Parties s’étaient accordés pour codifier, entre autres, les signaux lumineux et radio pour protéger les unités et moyens de transport sanitaires. Par conséquent ces derniers, en plus d’arborer l’emblème distinctif, sont également protégés dans l'obscurité et par des systèmes de radar. Et ce n’est pas tout, l’article 1(4) de l’Annexe I du Protocole additionnel I aux Conventions de Genève disposent que “Les Hautes parties contractantes et, en particulier, les Parties au conflit sont invitées en tout temps à convenir de signaux, moyens ou systèmes supplémentaires ou différents qui améliorent la possibilité d’identification et mettent pleinement à profit l’évolution technologique dans ce domaine”. Ce moment n’est-il pas venu ?
Cet article a été rédigé sur la base d’un billet de blog écrit par Adriano Iaria, responsable du plaidoyer humanitaire au sein de la Croix-Rouge italienne, disponible ici
