Les états sont-ils responsables de la cyberdéfense privée

Sujet : Les États devraient-ils être tenus responsables au niveau international des mesures de « cyberdéfense active » adoptées par des entités privées ?

Contexte : Quels sont les rôles respectifs des États et des parties prenantes privées dans la prévention, la protection et la réponse aux cyberattaques et autres activités malveillantes?

Réflexion 2 : Le projet d’articles sur la responsabilité de l’Etat pour fait internationalement illicite de 2001 dispose dans son Article 8 : « Le comportement d’une personne ou d’un groupe de personnes est considéré comme un fait de l’Etat d’après le droit international si cette personne ou ce groupe de personnes, en adoptant ce comportement, agit en fait sur les instructions ou les directives ou sous le contrôle de cet Etat ». Cette règle s’applique bien entendu dans le cyberespace. Néanmoins la question du contrôle se pose étant donné qu’il est particulièrement difficile d’établir la preuve de directives données à des hackers par un Etat. Par conséquent on pourrait se demander si, en dépit de la jurisprudence actuellement applicable il ne faudrait pas retenir le critère du contrôle global qui a été énoncé dans l’arrêt Tadic en 1995 par le Tribunal Pénal International pour l’ex-Yougoslavie. Il ne serait donc pas nécessaire dans cette hypothèse de prouver que le cybercriminel a mené l’intégralité de ses opérations sur les instructions et sous le contrôle effectif d’un Etat. Par conséquent dès lors qu’un Etat mandate plus ou moins directement un acteur privé afin qu’il porte atteinte aux intérêts d’un autre Etat il pourrait être tenu responsable de ces actions-là.

Réflexion 1 : Par ailleurs l’article 11 du projet de l’article de la CDI sur la responsabilité de l’Etat pour fait internationalement illicite de 2001 énonce qu’« Un comportement qui n’est pas attribuable à l’Etat selon les articles précédents est néanmoins considéré comme un fait de cet Etat d’après le droit international si, et dans la mesure où, cet Etat reconnaît et adopte ledit comportement comme sien ». C’est l’hypothèse visée par l’arrêt de la CIJ du 24 mai 1980 concernant « l’affaire relative au personnel diplomatique et consulaire des Etats-Unis à Téhéran » dans lequel la Cour a condamné l’Iran alors même que le gouvernement iranien n’avait pas lui-même ordonné aux étudiants iraniens d’attaquer l’ambassade américaine à Téhéran. Cet article pourrait également s’avérer intéressant en matière de cyber-sécurité dans le sens où les Etats n’ont parfois pas directement la main sur les cyber-assaillants mais tirent profit des attaques menées. Dans ce cadre-là un Etat qui appellerait à mener des attaques, qui les reconnaîtrait ou les saluerait à posteriori pourrait être tenu responsable des actions menées.