Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonLe point de vue d'une victime sur le droit international dans le cyberespace
Publié par le Lawfare Institute en coopération avec
Au printemps 2022, deux importantes opérations de ransomware ont ciblé 27 organismes gouvernementaux du Costa Rica, en plus du système de santé du pays. Le gouvernement du Costa Rica a refusé de payer la rançon demandée. À la lumière des menaces des pirates informatiques de divulguer des informations sensibles à partir des données qu'ils cryptaient, de nombreux systèmes gérés par le gouvernement ont dû être mis hors ligne (y compris ceux liés à la collecte des impôts, aux médicaments et à la sécurité sociale). Le président du Costa Rica, Rodrigo Chaves, a déclaré que le Costa Rica était « en guerre » contre les assaillants (qui étaient affiliés à deux groupes russophones, connus sous le nom de Conti et Hive). Le gouvernement du Costa Rica a passé l'année dernière à travailler sur le rétablissement et l'assainissement, avec l'assistance technique des gouvernements des États (à savoir les États-Unis et l'Espagne) et de l'industrie.
À la lumière de ces événements, il n’est pas surprenant que le Costa Rica vient de publier l’un des documents de position les plus solides sur l’applicabilité du droit international dans le cyberespace. Ce faisant, il devient (selon nos calculs) le 36e État à proposer une position nationale officielle sur le sujet. Ainsi, le Costa Rica rejoint une tendance – même s’il ne s’agit pas encore d’un échantillon important – dans laquelle les États semblent de plus en plus intéressés à améliorer la transparence de leurs points de vue juridiques respectifs et à fournir un cadre pour un dialogue futur (et, peut-être, un accord).
La déclaration du Costa Rica suit l'exemple de la grande majorité de ses prédécesseurs en reconnaissant l'applicabilité du droit international « dans son intégralité » aux technologies de l'information et de la communication (TIC), y compris l'interdiction du recours à la force et le droit international humanitaire (DIH). Il aborde bon nombre des sujets abordés dans les déclarations nationales d'autres États, tels que la non-intervention, la souveraineté, les contre-mesures et la diligence raisonnable, tout en en soulevant d'autres qui n'ont pas reçu autant d'attention, notamment les droits de l'homme, le règlement pacifique des différends et la neutralité. Le Costa Rica a clairement consacré du temps à examiner les déclarations d'autres États et, en particulier, les « projets universitaires sur l'application du droit international aux cyberopérations », notamment le processus d'Oxford (dont l'un de nous est co-organisateur), les manuels de Tallinn, et la boîte à outils Cyberlaw.
L'Institut pour le droit, l'innovation et la technologie de la Temple University Law School, connu sous le nom d'iLIT, a travaillé en collaboration avec le programme Tech, Law and Security de l'Université américaine pour cataloguer et analyser les trois douzaines de déclarations nationales existantes sur l'application du droit international. Nous avons donc été heureux de lire la déclaration détaillée du Costa Rica. Il offre l'occasion non seulement de s'intéresser aux nouvelles contributions du Costa Rica, mais également d'évaluer l'état général du fonctionnement du droit international dans le cyberespace.
La souveraineté
Le Costa Rica rejoint la majorité des États qui ont abordé le sujet de la souveraineté (dont le Brésil, le Canada, le Japon et, plus récemment, l'Irlande) en la catégorisant comme une règle pouvant être enfreinte par les cyberopérations d'autres États. Ce faisant, la déclaration du Costa Rica isole encore davantage le Royaume-Uni, qui a redoublé d'idée selon laquelle la souveraineté est mieux considérée comme un principe de base informant d'autres règles, notant qu'il « ne considère pas que le concept général de souveraineté en soi fournit une base suffisante ou claire pour extrapoler une règle spécifique ou une interdiction supplémentaire en matière de cyberconduite.
Quelles cyberopérations violeront la souveraineté ? Ici aussi, la déclaration du Costa Rica a une portée très large, incluant non seulement les attaques physiques mais aussi les cyberopérations qui déclenchent une « perte de fonctionnalité de la cyberinfrastructure située dans l'État victime ». Cette position est logique étant donné les dommages économiques non physiques (mais importants) que le Costa Rica a subis lors des attaques de ransomware de 2022. De même, le Costa Rica qualifie « d'usurpation de fonctions intrinsèquement gouvernementales » de violation de la souveraineté, conformément au Manuel de Tallinn 2.0, et inclut les opérations « interférant avec les processus démocratiques d'un État, tels que les élections, les réponses à une urgence de sécurité nationale ou de santé, comme comme la pandémie de COVID-19, et son choix de politique étrangère. La position du Costa Rica diffère de la déclaration précédant immédiatement la sienne (de l'Irlande) qui n'avait pas reconnu l'usurpation des fonctions gouvernementales comme une condition de violation de la souveraineté.