Vue d’Europe Quid des sanctions en matière de cyber ?

L’actualité mouvante et complexe liée à l’invasion russe en Ukraine a propulsé l’outil « sanctions » sur le devant de la scène. L’impact négatif sur la population russe et sur l’économie du pays commence à se profiler, même si l’effet dissuasif sur le terrain militaire prendra bien plus de temps à se manifester.

Ce développement est intéressant à plusieurs titres. Celui qui nous intéresse aujourd’hui est la pertinence de l’outil « sanctions » dans le domaine cyber. Pour rappel, il existe un cadre de réponse diplomatique de l’UE à des activités malveillantes cyber. C’est la Cyber Diplomacy Toolbox, une boîte à outils dont le but principal est d’aider l’Union et ses États membres à réagir de façon nécessaire et proportionnelle pour influencer les agresseurs. Pour le satisfécit des quelques geeks du réglementaire européen qui me lisent, la Décision du Conseil rendant l’outil « sanctions » opérant est datée du 17 mai 2019 et précise ce qui est compris comme une activité malveillante, les individus/entités visés par des restrictions et lesquelles sont-elles.

Des sanctions à l’encontre d’individus et d’entités, localisés en Russie, en Chine et en Corée du Nord, ont déjà été prononcées en 2020. Il semblerait que cela ne leur a fait ni chaud ni froid… Ce ne sont pas les activités malveillantes sanctionnables qui manquent, or il y a très peu de mesures restrictives prononcées et leur effet est, disons, limité. Bien sûr, il ne s’agit pas de tomber dans l’extrême opposé et de dégainer des restrictions à tout va. D’aucuns seraient tentés de donner en exemple la main lourde d’Oncle Sam (13 individus et 99 entités en 2021) : oui, et les US sont un pays unique, ce que n’est pas l’UE.

Alors, pourquoi les sanctions dans un cadre « traditionnel » marchent, mais pas lorsqu’il s’agit du domaine cyber ? Autrement dit, pourquoi les sanctions à la suite d’activités malveillantes ne sont pas un instrument efficace de politique étrangère ?

Les coupables, mieux vaut les nommer que les chercher

Pour prendre une mesure restrictive contre quelqu’un, il faut au préalable lui attribuer un acte malveillant. Or, l’attribution est avant tout une action politique. Au-delà de ce postulat, l’UE reconnaît que l’attribution, d’une activité malveillante, à un acteur étatique ou non étatique reste une décision politique souveraine de chaque État membre. En français simple, cela signifie que chaque État membre décide s’il veut sanctionner des acteurs de pays tiers (non-membres de l’UE). Le cas de la Suède illustre bien cet aspect : en avril 2021, le Procureur général a attribué au GRU, le renseignement militaire russe, l’infiltration et l’espionnage de la Fédération sportive suédoise. Malgré cet état de fait, il a également précisé que les conditions nécessaires à des poursuites ou des demandes d’extradition n’étaient pas réunies. Circulez, rien à voir.

Pour faire de l’attribution raisonnable et y appuyer une réponse diplomatique conjointe, un prérequis essentiel est le partage d’information. L’efficacité de cette activité au niveau européen a une importante marge d’amélioration. Il n’est pas possible d’avoir une action diplomatique conjointe sans conscience situationnelle partagée. Sans éléments tangibles partagés, il n’est pas possible de qualifier l’ampleur et l’impact d’un acte malveillant. De là à agir ensemble en respectant la nécessité et la proportionnalité d’une réponse…

Le sujet de la qualification va plus loin que le besoin de disposer d’éléments techniques en commun. De la manière dont les choses sont décrites, il n’est pas possible de prioriser. Un rançongiciel contre un hôpital est-il un acte plus sanctionnable que l’espionnage du Bundestag ? Devrait-on prioriser les actes avérés aux potentiels ? Les questionnements du genre sont nombreux, mais leurs réponses conjointes ne se bousculent pas au portillon.

Sharing is caring

Il n’existe pas un système juridique international « de la preuve » qui définirait sans ambiguïté et de façon absolue ce qui est probant dans tous les cas. Ainsi, ce qu’on fait, c’est collecter, apprécier, interpréter – et décider en faveur d’un recours à la loi. Or, la fourniture de preuves d’attribution s’appuie souvent sur des renseignements, démarche volontaire de la part des États membres : on est face à des niveaux d’ouverture et de partage divers car la menace de compromission d’informations sensibles est toujours prégnante. Dans ce contexte, il serait plus rapide d’énumérer ce qui peut faciliter l’utilisation de la loi au niveau européen pour justifier de sanctions.

La situation est, donc, assez complexe puisqu’il s’agit de porter les éléments techniques d’une attribution (ce qui permet de savoir quelle source de menace a fait l’acte malveillant avec un niveau de confiance raisonnable) à la connaissance des parties prenantes des autres États membres pour soutenir une action politico-judiciaire : l’imposition de mesures restrictives ciblées en guise de réponse diplomatique commune. Eh oui : si le partage d’IoC a une valeur tactique certaine, les sanctions du domaine cyber sont un coup dans l’eau si elles ne s’inscrivent pas dans le contexte plus large de la stratégie de politique étrangère de l’Union.

La Présidence française du Conseil de l’Union européenne #PFUE2022 avait l’intention (communiquée de façon peu claire et fort générique) de se saisir d’une révision de la Cyber Diplomacy Toolbox. J’utilise le passé parce que nous sommes à mi-parcours de cette présidence, l’invasion russe en Ukraine requiert une attention immédiate et il y a des élections en France dans moins de 2 mois. S’il y a une certitude dans ce contexte volatil, c’est qu’il est urgent d’attendre pour la révision de la Toolbox – quitte à perdre l’opportunité d’inscrire cette révision dans une démarche de mise en cohérence des différents outils diplomatiques de l’UE.