Les cyberattaques font rarement la une des journaux. Nous savons que les acteurs étatiques, les terroristes et les criminels peuvent tirer parti des cyber-moyens pour cibler les infrastructures numériques de nos sociétés. Nous avons également appris que, dans la mesure où nos sociétés deviennent dépendantes des technologies numériques, elles deviennent plus vulnérables aux cyberattaques.

Les exemples ne manquent pas, allant des attaques de 2007 contre les services numériques estoniens et de la cyberattaque de 2008 contre une centrale nucléaire en Géorgie à WannaCry et NotPetya, deux attaques de ransomware qui ont crypté des données et exigé le paiement d'une rançon, et la cyberattaque de ransomware sur l'US Colonial Pipeline, un système d'oléoduc américain qui fournit du carburant aux États du sud-est.

Lors de l'analyse des implications éthiques et juridiques des cyberattaques, il est crucial de distinguer les acteurs impliqués, car la licéité de certaines actions dépend également des acteurs impliqués.

Mon travail se concentre principalement sur les cyber-attaques entre États. L'un des exemples les plus récents de ce type d'attaques est celui lancé contre les forces militaires ukrainiennes et attribué à l'UNC1151, une unité militaire biélorusse, avant l'invasion russe de l'Ukraine.

Les observateurs ont examiné l'invasion russe et s'attendaient à ce que le cyber soit un élément clé. Beaucoup craignaient un "cyber-Pearl Harbor", c'est-à-dire une cyber-attaque massive qui aurait des conséquences destructrices disproportionnées et conduirait à une escalade du conflit.

Jusqu'à présent, l'invasion de l'Ukraine s'est révélée hautement destructrice et disproportionnée, mais le cyber n'a joué que peu, voire aucun rôle, dans l'obtention de ces résultats. Cela signifie-t-il qu'un cyber-Pearl Harbor n'arrivera jamais ? Plus important encore, cela signifie-t-il que les cyberattaques sont une capacité secondaire en temps de guerre et que nous pouvons continuer à laisser leur utilisation sous-réglementée ?

La réponse courte aux deux questions est non, mais il y a des nuances. Jusqu'à présent, les cyberattaques n'ont pas été utilisées pour provoquer des destructions massives; un cyber-Pearl Harbor, comme l'affirmaient certains commentateurs au début des années 2000. L'absence d'élément cybernétique en Ukraine n'est pas une surprise, compte tenu de la violence et de la destruction de l'invasion russe. Les cyberattaques sont plus perturbatrices que destructrices. Ils ne valent pas la peine d'être lancés lorsque les acteurs visent des dégâts cinétiques massifs. Une telle destruction est réalisée plus efficacement avec des moyens conventionnels.

Cependant, les cyberattaques ne sont ni sans victimes ni inoffensives et peuvent entraîner des dommages indésirables et disproportionnés qui peuvent avoir de graves conséquences négatives pour les individus et pour nos sociétés en général. Pour cette raison, nous avons besoin de réglementations adéquates pour informer l'utilisation par l'État de ces attaques.

Pendant de nombreuses années, le débat international sur ce sujet a été mené par une approche myope. L'objectif était de réglementer les cyberattaques interétatiques dans la mesure où elles ont des résultats similaires à une attaque armée (conventionnelle). En conséquence, la majorité des cyberattaques interétatiques n'ont pas été réglementées.

C'est l'échec de ce que j'ai appelé "l'approche par analogie" de la réglementation de la cyberguerre, qui vise à réglementer une telle guerre uniquement dans la mesure où elle ressemble à la guerre cinétique, c'est-à-dire si elle entraîne des destructions, des effusions de sang et des victimes. En effet, il ne parvient pas à saisir la nouveauté des cyberattaques, qui sont plus perturbatrices que destructrices, et la gravité des menaces qu'elles font peser sur une société numérique. Cette approche repose sur l'incapacité à reconnaître la valeur éthique, culturelle, économique et infrastructurelle que les actifs numériques ont pour nos sociétés numériques.

Il est rassurant qu'après l'échec de 2017, en 2021, le Groupe d'experts gouvernementaux des Nations Unies sur la promotion d'un comportement responsable des États dans le cyberespace dans le contexte de la sécurité internationale puisse convenir que les cyberattaques interétatiques devraient être réglementées conformément aux principes de la sécurité internationale. Droit humanitaire (DIH).

Bien que ce soit dans la bonne direction, ce n'est qu'un premier pas, qui n'a que trop tardé. En effet, les principes du DIH et les principes éthiques de la théorie de la guerre juste sont toujours valables lorsque l'on considère la cyberguerre. Nous avons besoin que les cyberattaques interétatiques soient proportionnées, nécessaires et qu'elles distinguent les combattants des non-combattants. Cependant, la mise en œuvre de tels principes est problématique dans le contexte de la cyber-par exemple, nous manquons d'un seuil clair pour les attaques proportionnées et disproportionnées, et de critères pour évaluer les dommages aux actifs immatériels. Nous manquons également de règles pour prendre en compte les questions liées à la souveraineté et à la diligence raisonnable.

Des analyses philosophiques et éthiques sont nécessaires pour combler cette lacune et comprendre la nature d'une guerre qui dissocie l'agression de la violence, qui cible des objets non physiques et qui peut pourtant paralyser nos sociétés. Dans le même temps, nous devons nous assurer que, alors que de plus en plus d'institutions de défense considèrent les technologies numériques comme un atout décisif pour maintenir leur supériorité face à leurs adversaires, elles investissent, développent et utilisent ces capacités conformément aux valeurs qui sous-tendent les sociétés démocratiques et pour maintenir stabilité internationale.

Alors que la technologie numérique continue d'être intégrée dans les capacités de défense, voir par exemple l'intelligence artificielle (IA), des questions plus conceptuelles et éthiques émergent concernant leur gouvernance. À cette fin, il est important que les institutions de défense identifient et traitent les risques et opportunités éthiques que ces technologies entraînent et s'efforcent d'atténuer les premiers et de tirer parti des seconds.

Hier, le ministère de la Défense du Royaume-Uni a publié un document d'orientation :Ambitieux, sûr, responsable :notre réponse à la fourniture d'une capacité activée par l'IA dans la défense, contenant une annexe donnant les principes éthiques pour l'utilisation de l'IA dans la défense. C'est un pas dans la bonne direction. Les principes sont larges et il reste encore du travail à faire pour les mettre en œuvre dans des contextes de défense spécifiques. Cependant, ils marquent une étape importante, car ils montrent l'engagement du ministère de la Défense à se concentrer sur les implications éthiques de l'utilisation de l'IA et à les aborder de manière cohérente avec les valeurs des sociétés démocratiques.

Ces principes arrivent deux ans après ceux publiés par le U.S. Defense Innovation Board. Entre les deux ensembles de principes, il existe des convergences qui peuvent laisser entrevoir l'émergence d'une vision partagée parmi les alliés quant à la manière d'utiliser l'IA et, plus largement, les capacités numériques pour la défense. Mon espoir est que ces principes puissent être les germes pour développer un cadre partagé pour la gouvernance éthique de l'utilisation des technologies numériques à des fins de défense.