Les sanctions européennes relatives au cyber espace : un arsenal juridique à parfaire ?

Le débarquement sur le tarmac d’un opposant au régime Biélorusse avec le consentement plus ou moins tacite de la Russie incite aujourd’hui l’Europe à se reposer la question de sa relation avec la Russie. Force est de constater que la plus grande menace pour l’Europe comme pour les pays de l’OTAN associés reste la Russie. Cela est d’autant plus vrai pour les pays Baltes, notamment la Lituanie, pays où devait atterrir l’opposant Biélorusse- qui bien que sous parapluie de l’OTAN constatent chaque jour des tentatives de déstabilisation russes passant par la désinformation cybernétique ou par des cyberattaques en bonne et due forme. Cette forme de déstabilisation russe est faite de manière particulièrement insidieuse, sans qu’il soit, la plupart du temps possible d’identifier la menace de l’Etat russe. Une de ces cyberattaques les plus grave fut certainement celle de 2007 contre l’Etat Estonien à Talinn, où une bonne partie de l’économie du pays a été paralysée pendant deux jours. Depuis l’Europe a mis en place un cadre juridique lié à un type de réponse diplomatique possible, mais non exclusif : Les sanctions. Si celles-ci sont typiquement mises en place pour faire changer de comportement politique international un acteur étatique, elles sont parfois utilisées à des fins de changement  de comportements individuels en sanctionnant des personnes nommément désignées. Il existe ainsi à l’heure actuelle un régime de sanctions mis en place dans le cadre des institutions de l’Union Européenne permettant de sanctionner des comportements de cyber-attaques ou de cyber déstabilisation à l’égard d’un Etat membre victime d’une tierce-partie.

A l’heure ou le Joint Cyber Unit prévu par la commission européenne entrera en vigueur le 30 juin 2023, permettant la création d’une toute nouvelle structure en vue de détecter et de lutter plus efficacement  contre les attaques informatiques, l’Union Européenne serait bien inspirée de réformer un outil devant faire partie du quatrième pilier de l’entité conjointe nouvelle. Il reste que le régime de sanctions de l’Union Européenne doit s’adapter aux menaces croissantes et nouvelles qu’imposent les cybers attaques. Cela passe inévitablement par une refonte du régime de sanctions de l’Union Européenne, en gardant ses spécificités, tout en regardant ce qui se fait ailleurs, notamment aux USA où le cadre juridique pour de telles sanctions existe depuis 2015.

L’existence de sanctions européennes

Ainsi le régime de sanctions de l’Union Européenne a été mis en place en 2019 par une décision du Conseil de l’Union Européenne 2019/797 et  par un règlement du Conseil de l’Union Européenne n°2019/7961). Cela constitue aujourd’hui une base juridique solide pour la mise en place de telles sanctions. Ce règlement et cette décision visent selon les textes à « dissuader et répondre aux cyberattaques ayant un effet significatif lesquelles constituent une menace extérieure importante pour l’Union Européenne et ses Etats membres ».

Ainsi il s’agit sur la base de listes de personnes nommément désignées, menant des activités de cyberattaques, de prendre des mesures telles que des restrictions en termes de visas et de gel des avoirs à leur égard.

Tout d’abord l’article 1, prévoit que le régime de cyber-sanctions s’applique aux attaques constituant une menace extérieure c’est-à-dire les cyberattaques qui ont pour origine ou sont menées à partir de l’extérieur de l’Union, qui utilisent des infrastructures situées en dehors de l’Union Européenne, sont exécutées par toute personne physique ou morale toute entité ou tout organisme établi ou opérant à l’extérieur de l’Union, ou sont réalisées avec le soutien sous les instructions ou sous le contrôle de toute personne physique ou morale entité ou organisme opérant en dehors de l’Union Européenne. Le règlement impose donc un élément d’extranéité pour se voir applicable, qui est celui d’une opération dont au moins les éléments préparatoires de celle-ci ont été menés en dehors de l’Union Européenne. Evidemment le règlement se trouvera applicable si tous les éléments de  la cyberattaque ont été, de l’élément préparatoire jusqu’à l’attaque en elle-même, exécutés depuis l’Union Européenne. Enfin, il ne se trouvera pas applicable lorsque la cyberattaque n’a pas de dimension extérieure, son auteur devant alors faire l’objet d’une appréhension par les autorités de l’Etat membre depuis lequel l’attaque a été menée.

Deuxième remarque le régime de sanctions, comme tout régime de sanctions diplomatiques, a une valeur éminemment politique. Le règlement n°2019/796 permet la mise en place de sanctions prises sur le fondement de l’article 21 paragraphe 2 du TUE (Traité de l’Union Européenne) qui renvoie aux objectifs du traité de l’Union Européenne, c’est-à-dire la sauvegarde des valeurs de l’Union Européenne, ses intérêts fondamentaux, sa sécurité, son indépendance et la consolidation de ces mêmes valeurs2) En clair, l’imposition de mesures de sanctions sur le fondement du règlement n°2019/796 doit être rendu nécessaire afin de répondre aux objectifs de l’Union Européenne qui sont de préserver son autonomie et ses valeurs. On peut donc imaginer théoriquement que l’Union Européenne puisse décider d’appliquer ce régime de sanctions en réponse à des attaques contre des pays tiers alliés ou à des organisations internationales. Les sanctions européennes peuvent donc potentiellement avoir une dimension extraterritoriale, en venant en secours d’un pays tiers non- membre de l’Union Européenne ou à une organisation internationale qui n’est pas située sur le territoire d’un pays membre de l’Union, si celles-ci répondent aux objectifs décrits par la politique de sécurité commune. On peut penser inévitablement que ce rôle d’assistance est dévolu à l’OTAN par l’intermédiaire de l’article 5 du traité de Washington qui dispose que  «les parties conviennent qu’une attaque armée contre l’une ou plusieurs d’entre elle survenant en Europe ou en Amérique du Nord sera considérée comme une attaque contre toutes les parties». Mais ce cadre semble difficilement transposable aux cybers attaques. D’une part, l’article 5 a été conçu dans une seule optique d’agression mutuelle au sens classique du terme, c’est-à-dire agression militaire- et d’autre part l’OTAN ne propose pas de possibilité de mécanisme de sanctions visant à répondre à une agression cyber, ce n’est d’ailleurs pas son rôle. Le cadre européen de sanctions offre enfin l’avantage de la souplesse, permettant ainsi de répondre à une agression qui n’est pas dirigée exclusivement contre un pays de l’OTAN mais contre tout Etat ou toute organisation internationale à partir du moment où cela répond aux objectifs de la Politique Extérieure commune définie par l’Union Européenne en vertu de l’article 21 paragraphe 2. Le champ d’application géographique de ces sanctions est donc potentiellement large.

 

Néanmoins le champ d’application matériel des cyber-sanctions est limité par le règlement aux activités ayant un effet « significatif »3), excluant de facto les opérations ayant un impact minime, relatif à une ou plusieurs intrusions sur un système informatique, ainsi que l’intrusion dans des systèmes d’information. Cette intrusion doit avoir pour conséquence d’entraver ou interrompre le fonctionnement de tels systèmes. Le règlement étant applicable uniquement aux attaques portant atteinte aux intérêts de l’Union Européenne, on peut considérer que l’impact significatif issu de l’entrave ou de l’interruption est d’office constitué lorsqu’il porte sur ces institutions, organes ou organismes et agences, ou représentants de l’Union Européenne. Pour les autres interruptions et entraves, l’impact « significatif » doit être évalué en tenant compte selon l’article du règlement de plusieurs critères concrets comme la portée, l’échelle, l’impact ou la gravité de la perturbation causée (….) aux fonctions de l’Etat, à l’ordre public ou à la sécurité mais aussi du nombre de personnes physiques ou morales, d’entités ou d’organisme touchés ou encore au nombre d’Etats membres concernés. Ces critères posent évidement la question de l’évaluation concrète de l’impact des cyberattaques sur les pays membres ou sur les institutions européennes. En réalité l’évaluation du degré d’importance est très difficilement mesurable et dépend moins de considérations objectives que de variables politiques. En effet, si on peut imaginer, ce qu’envisage le règlement, que le montant de la perte économique causé à la société ou encore le bénéfice économique tiré par l’auteur de l’infraction, ou encore la quantité ou la nature des données volées pourrait être prises en compte par le Conseil de l’Union Européenne comme élément objectif permettant d’évaluer le caractère « significatif » de l’attaque, les critères ne sont pas limitatifs et laissent une place non négligeable à l’appréciation politique. Il ne faut pas oublier que le Conseil de l’Union Européenne est composé de 27 chefs d’Etat et de gouvernement des pays qui sont eux-mêmes issus d’une tendance politique. Ils chercheront ainsi toujours à imposer leur vision politique au détriment de critères objectifs permettant d’évaluer la gravité de la situation qui leur est présentée. Il est vrai néanmoins que juger de « la criticité de l’impact » grâce à de simple critères « objectifs » est compliqué. Certaines conséquences sur le moyen ou long  terme sur l’entreprise ou l’institution ayant fait l’objet de l’attaque sont ainsi difficilement évaluables à la suite d’une cyber-attaque. Par exemple, l’atteinte économique ou réputationnelle ne peut être décelée que des années après la survenance de l’attaque.

Enfin les textes font référence à la possibilité d’imposer des sanctions à l’égard de tentatives de cyberattaques dommageables qui pourraient avoir un effet significatif. Cette possibilité laisse songeur quant à sa réelle applicabilité compte tenu de la difficulté de prouver les effets significatifs d’une opération n’ayant pas concrètement pris fin…. Néanmoins une telle disposition peut s’expliquer là encore par une volonté politique, celle du Conseil de l’UE, de ne pas laisser impunies des tentatives qui peuvent se solder dans le futur par des attaques.

Ce régime de sanctions a l’avantage néanmoins d’exister là où il n’existe aucun cadre juridique au sein de l’ONU permettant la mise en place d’un tel régime de sanctions. En effet, le régime de sanctions prévu au sein de l’ONU repose sur l’article 41 du Chapitre 7 de la charte des Nations Unies qui prévoit que les sanctions n’impliquant pas l’emploi de la force armée : « Le Conseil de sécurité peut décider quelles mesures n’impliquant pas l’emploi de la force armée doivent être prises pour donner effet à ses décisions, et peut inviter les Membres des Nations Unies à appliquer ces mesures. Celles-ci peuvent comprendre l’interruption complète ou partielle des relations économiques et des communications ferroviaires, maritimes, aériennes, postales, télégraphiques, radioélectriques et des autres moyens de communication, ainsi que la rupture des relations diplomatiques »

Ainsi, il revient au conseil de sécurité de décider des mesures n’impliquant pas l’usage de la force armée. Or, d’une part, la Chine et la Russie, par leur présence au sein du conseil de sécurité et détenant un droit de véto bloqueraient certainement toute proposition visant à instaurer un régime de sanctions et d’autre part, il n’existe pas en réalité de consensus sur cette question au sein de l’Assemblée générale de l’ONU ou au sein du Conseil de Sécurité de l’Onu . Ainsi, lors d’une commission organisée le 23 Octobre 20174) sur le thème du cyberespace les membres du conseil de sécurité ont étalé leurs différences, notamment la Russie pour qui «l’application du droit international existant au cyberespace est un moyen de couvrir des actions de force dans le domaine sensible de l’information d’origine spatiale ». Le régime de sanctions de l’UE qui est autonome comparativement à celui des Nations Unies, même s’il retranscrit nombre de résolutions des Nations Unies en matière de sanctions en droit de l’Union Européenne, retrouve ici tout son sens.

 

Exemple de sanctions prises par l’UE sur la base des règlements

Sur la base de ces règlements, les premières sanctions de l’Union Européenne contre les cyber-attaques ont été prises à l’encontre de Russes, de Chinois et de Nord-Coréens impliqués dans les attaques comme WannaCry, NotPetya ou Cloud Hopper. Ainsi, par un règlement de l’Union Européenne n°2020/1125 du 30 Juillet 2020 faisant application du règlement de l’Union Européenne n°2019/796, deux entreprises nord-coréenne et chinoise et six ressortissants de ces pays ont été sanctionnés d’une mesure de gel des avoirs et d’interdiction de déplacement au sein de l’Union Européenne. Le point commun entre ces attaques, reste d’une part le moyen utilisé : celui d’un ransomware « WannaCry » ou WannaCrypt, un logiciel prenant en otage les données personnelles et exploitant une faille de sécurité des systèmes de Microsoft les plus anciens en retard sur leurs mises à jour et donc vulnérables ; et celui de l’ampleur des ransomware « WannaCry » et « WannaCypt » qui ont touché au moins 3 000 000 ordinateurs dans 150 pays dont des agences russes. Enfin, par un règlement d’éxécution n°2020/ 1536 du 22 Octobre 2020 faisant application du même règlement le Conseil de l’Union Européenne a imposé des mesures restrictives à l’égard de deux personnes et d’un organisme responsable d’attaques contre le Bunderstag allemand5) ( le parlement fédéral allemand).

Au total à l’heure actuelle, 8 personnes et quatre entités sont pour l’instant désignées au titre du règlement de l’UE n°2019/796 et donc font l’objet d’une mesure de gel des avoirs et d’interdiction de déplacement au sein  de l’UE. On peut remarquer que deux sous directions du GRU, soit la direction générale des renseignements de la Russie, en clair les services secrets russes, sont sanctionnées au titre du règlement 2019/796, mais aussi six ressortissants russes. L’attribution de la responsabilité de ces attaques à l’Etat russe se pose dès lors, même si les attaques « WannaCry » ou « Not Peyta » ont touché des entités russes. Cette question de l’attribution de la responsabilité des attaques à un pays souverain pose inévitablement la question de l’imputabilité en droit international d’un fait illégal à un Etat. Ainsi, pour qu’une cyberattaque puisse être attribuée à un Etat, il faut que l’acte internationalement répréhensible soit attribué à l’Etat, que la conduite constitue un comportement internationalement illicite, enfin qu’il n’y ait pas de circonstance excluant l’illicéité du fait en question. Il est d’ailleurs bon de rappeler que les actes attribuables à l’Etat sont applicables dans le cyberespace puisque le droit international s’applique aux activités de l’Etat dans le cyberespace6). Comme le disait un diplomate allemand, l’attaque « ne se produit pas dans le cyberespace, mais dans un endroit précis » violant la souveraineté de l’Etat par cette cyberattaque. Cependant, d’après une jurisprudence constante de la Cour Internationale de Justice, notamment Détroit de Corfou7) il ne suffit pas que l’acte soit mené depuis le territoire d’un Etat ou mené par des citoyens de cet Etat pour l’attribuer à celui-ci. Il faut encore que ces personnes agissent sous instruction, sous-direction ou contrôle de l’Etat, par l’utilisation de la puissance publique par exemple. Enfin, il en est de même lorsque l’Etat en question approuve à posteriori le comportement des personnes responsables de l’acte. D’après la lecture des critères d’attribution, il revient clairement d’interroger la responsabilité de la Russie du fait des actes du GRU qui de fait est rattaché au ministre de la Défense russe Serguei Choigou qui de toute manière agit pour le compte de l’Etat russe. Pourtant le degré de certitude exigé par l’Union Européenne pour attribuer le fait international à un Etat nuit de fait à l’attribution de ces cyberattaques à un Etat. En effet  l’Union Européenne exige une quasi-certitude que l’acte soit attribuable à l’Etat pour lui imposer des sanctions, et le caractère particulièrement complexe des cyber-attaques ne peut bien souvent  aboutir au degré de certitude voulu par les autorités européennes. Certains pays européens, comme les Pays-Bas ou le Royaume-Uni, ont néanmoins individuellement attribués à plusieurs reprises des cyber-attaques dans le cadre de déclaration unilatérale ou bilatérale comme en 2018. Mais force est de constater que le régime de sanctions, à défaut de preuve plus évidente de la responsabilité d’un Etat, continuera à désigner des individus comme portant cette responsabilité.

 

Le régime de sanction américaine et son application

Les Etats-Unis se sont dotés très tôt d’un cadre règlementaire instituant un régime de sanctions contre les cyber-attaques. Ainsi, l’Executive Order n°13694 du 1er Avril 20158) , l’équivalent d’un décret présidentiel aux Etats-Unis, prévoit un régime de sanctions consistant en un gel des avoirs des personnes listées comme SDN c’est-à-dire comme Specially Designated Names par le secrétaire du Trésor américain. Par conséquent cet Executive Order impose un gel des avoirs envers les personnes listées ou nommément désignées et interdit à toute US Person d’avoir une quelconque relation commerciale avec la personne listée ou désignée par le Secrétaire du Trésor. La sanction est en soit d’une particulière sévérité puisqu’en matière de gel des avoirs les USA appliquent la règle dite des « fifty percent rules » , c’est-à-dire que toute personne morale détenant 50% des parts d’une société elle-même listée se voit appliquer la même sanction de gel. Enfin, la définition extensive de « US person » pratiquée par l’OFAC n’invite guère au relativisme. En effet, est considérée comme  US persons  « Tout citoyen américain, résident permanent, et toute entité organisée selon les lois des USA ou de toute juridiction au sein des Etats-Unis incluant les succursales étrangères ».

La prise de conscience d’un régime de cyber sanctions spécifiques est liée notamment aux nombreuses interférences russes notamment lors de l’élection du président Donald Trump.

Ainsi L’Executive Order n°13694 a donc été rapidement amendé par l’Executive Order n°13757 du 28 Décembre 20169) pris par le président Barack Obama à la suite de la défaite d’Hilary Clinton en novembre de la même année. Défaite qui à bien des égards a été attribuée à la Russie. Les deux Executive Order admettent la possibilité, tout comme le régime européen de sanctions, de désigner nommément des personnes ayant participé à des activités de cyber-attaques. Ainsi sur le fondement des deux EO de nombreuses personnes physiques comme morales ont été désignées au titre du programme de sanctions instauré par ses EO. Au-delà même des personnes russes qui ont été sanctionnées à la suite de l’interférence, des personnes physiques et morales iraniennes, nigérianes, mais aussi nord-coréennes ont été sanctionnées ou sont encore à l’heure actuelle sanctionnées sur le fondement de ces deux Executive Order.

Si la possibilité de sanctions plus larges, comme des sanctions sectorielles, manque là aussi, la récente évolution du régime de sanctions américain pousse clairement celui-ci dans la direction d’une reconnaissance de la responsabilité des Etats dans le domaine des cyberattaques. En effet, par un Executive Order n°1402410) le président Joe Biden interdit aux institutions financières américaines, de participer au marché primaire des obligations libellées en rouble ou non roubles émises, après le 14 Juin 2021, notamment par la Banque Centrale de Russie, ainsi que prêter notamment à cette dernière des fonds libellés en rouble ou non rouble. L’OFAC vient de donner une définition particulièrement large d’une « Institution financière américaine » même s’il exclut de son application les filiales d’une « US person ». Ainsi la sanction secondaire concerne toute entité américaine et ses succursales étrangères dont l’activité consiste à accepter des dépôts à effectuer l’octroi, le transfert, la détention ou le courtage de prêts ou d’autres extensions de crédits, de contrats à terme sur les matières premières. Le terme de « Institutions financières américaines » inclut les institutions de dépôts, la banques et les caisses d’épargnes ainsi que les sociétés de fiducie, les courtiers et négociants en valeurs mobilières, les courtiers et négociants en contrats à terme et en options, les négociants en contrats à terme et en devises, les bourses de valeurs et de marchandises, les sociétés de compensation, les sociétés d’investissement, les régimes d’avantages sociaux des employés, ainsi que les sociétés de portefeuille américaines, les sociétés affiliées américaines et les sociétés d’affaires américaines.

Enfin, et c’est le plus important, il enjoint le Secrétaire du Trésor américain d’imposer des mesures de gel des avoirs sur un ensemble d’entités pouvant être impliquées dans ces activités et notamment toute personne qui a ou a été leader officiel, ou membre du gouvernement de la Fédération de Russie, ou toute entité politique, agence ou instrumentalité du gouvernement fédéral russe. Il s’agit officiellement de pouvoir sanctionner des entités politiques impliquant directement la Russie en tant qu’Etat. La déclaration politique liée à la sanction ne laisse pas place au doute. Selon Joe Biden il s’agit de punir la Russie pour « ses actions de déstabilisation internationale » et notamment leur tentative d’interférer dans l’élection politique américaine, cette fois-ci de 2020.

Le régime de sanctions américain se dirige progressivement donc vers un régime de sanctions sectoriel concernant le domaine de la sécurité nationale russe. Ce qui tend à étendre le champ d’application des sanctions et à désigner nommément la Russie dans des activités de cyberattaques qui lui sont attribuables.

Indéniablement le régime de sanctions américain reste  politique  étant donné les déclarations précédentes du président Biden sur le président Poutine. Mais en général la politique de sanctions américaine reste infiniment plus volontariste, que celle européenne puisqu’objectivement il est compliqué de ne pas associer une action du GRU à l’Etat russe. Reste qu’ici la volonté de sanction ne repose que sur le seul pouvoir exécutif, c’est-à-dire le Président américain et ses Secrétaires d’Etats et aux agences fédérales liées étroitement au Président américain.

Même s’il est avéré que la CISA, l’agence américaine spécialisée dans la cybersécurité, prend en compte des sources ouvertes d’informations provenant de sociétés de sécurité comme par exemple FireEye, Kapersky, Symantec ou MITRE dans son identification des sanctions, on peut aisément penser que la politique de sanctions dépend moins des constats dressés par ces sociétés que de la conception politique du président en place. Cela apparait de manière encore plus criante que les sanctions mises en place par l’Union Européenne : Là où des critères de désignation existent en Union Européenne, notamment le critère « significatif » de l’attaque avec la mention de certains critères techniques pour apprécier celui-ci, la mise en place de sanctions aux USA relève de la quasi-discrétion du Président américain.

Mais force est de constater que cela favorise une plus grande réactivité de mise en œuvre de la décision, là où les Etats membres doivent s’entendre à l’unanimité pour la prise de décision.

 

Proposition d’amélioration du système de sanctions européen.

Réactivité plus forte de l’Europe

L’intensité de la dissuasion dépend avant tout de la réactivité de l’UE dans la mise en place des sanctions. Or, La décision de sanction du conseil de l’Union Européenne, devant être prise à l’unanimité des Etats membres et du haut-représentant de l’Union Européenne pour les affaires étrangères et la politique de sécurité, favorise l’inertie au sein du Conseil si un Etat membre s’y oppose. Même si d’autres réponses pourraient être mises en place comme celle judiciaire, la réponse diplomatique par l’intermédiaire d’une politique de sanctions coordonnée reste le cœur de la politique de sécurité commune voulue par les européens. Il serait souhaitable dans ce cadre-là d’une mise à l’agenda plus systématique des sanctions liées au cyberespace au sein du Conseil     de l’Union Européenne, voire la mise en place de Conseil Européen exceptionnel à la suite de cyberattaques d’une certaine importance nécessitant sanctions.

D’autre part, la coopération entre RELEX le Groupe des conseillers pour les relations extérieures qui s’occupe des questions juridiques, financières et institutionnelles de la PESC et le service européen d’action extérieure (EEAS) qui s’occupe des questions purement politiques  pourrait s’avérer cruciale dans la rapidité de la réponse à apporter. En effet les politiques de sanctions sont entérinées par ces deux institutions européennes, et ensuite mises à l’agenda du Conseil par le COREPER. La coordination entre ces deux entités pourrait dès lors se matérialiser par le développement de critères d’appréciation communs avec une liste déjà préexistence de critères de désignation de ces entités.

Solidarité entre les pays membres 

Pour qu’une décision puisse être prise il faut que l’ensemble des Etats membres puisse adhérer à une politique unique de dissuasion. Pour cela il serait intéressant d’appliquer des mécanismes prévus par les traités européens dans le cadre d’une agression armée ou d’une action terroriste. Ainsi l’activation de la clause de solidarité prévue par l’article 222 du TFUE qui permet aux États membres la possibilité d’agir conjointement afin de prévenir les menaces terroristes sur  l’un des pays de l’UE ou encore l’article 42.7 du traité de l’Union Européenne qui stipule qu’ au cas où un État membre serait l’objet d’une agression armée sur son territoire, les autres États membres lui doivent aide et assistance par tous les moyens en leur pouvoirserait souhaitable en tant que garantie de solidarité envers l’ensemble des Etats membres. Il s’agit ainsi d’impliquer les Etats membres dans la prise de décision en leur assurant une collaboration commune européenne globale de l’Union Européenne, en cas de cyber-attaques mais aussi en cas de riposte de l’Etat tiers à la sanction prise à son égard. Il s’agira ainsi d’apporter une réponse européenne, plutôt qu’une réponse de l’OTAN, via son article 5, et de crédibiliser une politique européenne de sécurité commune.

Désignation d’autorité Etatique comme responsable des attaques

 La décision du Conseil de l’Union Européenne établissant le cadre des mesures ciblées exclue de fait la possibilité d’attribuer la responsabilité des attaques à un Etat. Pourtant comme on l’a vu,  la question de la responsabilité d’un Etat est parfois claire. La question de l’attribution de la responsabilité politique à un autre pays- notamment celle de la Russie- est laissée à la discrétion des pays membres de l’Union Européenne au cas par cas. Cette disposition semble en contradiction avec les objectifs actuels européens basés sur la coopération notamment dans le domaine de la défense. En effet le 11 décembre le conseil de l’Union Européenne a adopté une décision établissant une Coopération Structurée Permanente soit CSP ou PESCO permettant aux Etats membres de travailler ensemble, de manière renforcée en matière de sécurité et de défense. Cette PESCO ou CSP a vocation à s’étendre et concerne actuellement 25 Etats membres qui s’entendent de concert, pour au nom de cette structure nouvelle, adopter des sanctions ciblées ou sectorielles envers des entités ou des Etats. Au final cette structure n’engage par les Etats dans une solidarité de reconnaissance, mais il incite clairement l’Union Européenne à adopter une position commune. Le régime de sanctions lié au cyberespace semble s’éloigner de la possibilité de lier les sanctions prises  au nom de la PESCO ou CSP, puisqu’il écarte la possibilité d’une reconnaissance et d’une désignation commune. On ne peut pas désigner au nom de la PESCO des entités personnes physiques ou morales et laisser au  cas par cas la possibilité d’attribuer la responsabilité aux divers Etats membres. Cela reviendrait à faire un pas en avant un pas en arrière : Avancer pour mieux reculer. A minima une coordination commune, faute d’une reconnaissance commune, en matière de reconnaissance et d’attribution des attaques à un Etat, entre Etats  membres semble nécessaire. Pourtant la cyberdéfense peut constituer dans les prochaines années l’un des axes majeurs de la politique de défense européenne compte tenu de la raréfaction des formes conventionnelles de conflit.

L’Union Européenne nage entre deux eaux en termes de sanctions de cyberattaques laissant la primauté de la reconnaissance aux Etats membres, tout en sous-entendant par la mise sous sanction d’entités personnes physiques ou morales de ressortissants de l’Etat tiers que l’Etat lui-même est responsable. Certes il s’agit d’un outil diplomatique, donc inévitablement il s’agit parfois de préserver les susceptibilités des uns et des autres et de ne pas nuire aux possibles relations bilatérales qu’entretiendrait l’UE avec cet Etat. Mais force est de constater que l’outil manque de cohérence face à une potentielle menace étatique. Les Etats-Unis commencent à le comprendre via un régime de sanctions qui vise directement l’Etat tiers responsable

 

Les mesures ciblées individuelles ont d’ailleurs certaines limites connues : ils ne peuvent avoir les effets voulus par une politique de sanctions cohérente. Une politique de sanctions vise en effet, et en premier lieu, le changement de comportement sur le plan du droit international de l’Etat fautif. Or force est de constater que  les maigres sanctions ciblées prises à l’encontre des entités russes ou encore chinoises, personnes physiques ou morales, ne peuvent avoir un effet dissuasif important sur l’Etat depuis lesquels agissent les personnes physiques11)

Il ne s’agit pas pour autant de suivre complètement la logique américaine. La volonté de l’Union Européenne  d’imposer une autonomie stratégique européenne notamment, montre que l’Union Européenne ne doit pas sans prêter garde, calquer le modèle de sanctions américain sur le sien. Il faut laisser la place à la démonstration par la preuve de l’implication de l’Etat ou de ses entités agissant pour leur compte. Il serait ainsi idéal de prévoir un régime de sanctions plus sectoriel visant directement l’Etat membre, en parallèl duquel coexisterait un régime de sanctions plus ciblé comme celui actuellement mis en place par la décision et le règlement. En résumé, il s’agit de sanctionner réellement l’Etat quand celui-ci, doit, à l’évidence être sanctionné, mais en même temps rester dans le cadre de la légalité et de la proportionnalité de la mesure prise face à l’agression. Il aurait été imprudent par exemple d’attribuer l’attaque « WannaCry » à la Russie alors que tout montre à penser que la Russie elle-même a été touchée lors de l’attaque.

Par la mise en place de ce régime, il ne s’agit pas de s’attaquer uniquement à la Russie, mais aussi à tout Etat ayant vocation à s’attaquer à un Etat membre de l’Union Européenne. L’idéal serait d’imposer ces sanctions sans biais idéologique, mais avec fermeté et sans frein diplomatique quand les cyber-attaques étatiques méritent d’être dénoncées.

La nécessité de répondre donc à une menace étatique est aujourd’hui plus que nécessaire compte tenu des enjeux que comportent la menace des cyberattaques. La capacité opérationnelle de l’Union Européenne à établir un cadre de mesures de sanctions étatiques cohérent doit constituer la pierre angulaire de sa politique diplomatique dans les années à venir.

 

1

 

Conseil de l’Union Européenne « Décision du Conseil 2019/797 du 17 Mai 2019 concernant les mesures

restrictives contre les cyberattaques menaçant l’Union Européenne OU ses Etats membres » et le règlement n°2019/796 du Conseil de l’Union Européenne RÈGLEMENT (UE) 2019/ 796 DU CONSEIL – du 17 mai 2019

– concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres (europa.eu), RÈGLEMENT (UE) 2019/ 796 DU CONSEIL – du 17 mai 2019 – concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres (europa.eu)

 

2Paragraphe 6, Article 1er « Lorsque cela est jugé nécessaire pour réaliser les objectifs de la politique étrangère et de sécurité commune (PESC) figurant dans les dispositions pertinentes de l’article 21 du traité sur l’Union européenne, des mesures restrictives au titre du présent règlement peuvent également être appliquées en réponse à des cyberattaques ayant des effets importants dirigées contre des pays tiers ou des organisations internationales »
3Paragraphe 1, Article 1er « Le présent règlement s’applique aux cyberattaques ayant des effets importants, y compris les tentatives de cyberattaques ayant des effets potentiels importants, qui constituent une menace extérieure pour l’Union ou ses États membres »
4

 

Première Commission: les délégations restent divisées sur les moyens d’empêcher une militarisation

de l’espace | Couverture des réunions & communiqués de presse

 

5

 

EUR-Lex – 32020R1536 – EN – EUR-Lex (europa.eu)

 

6Un manuel a été consacré au développement de l’applicabilité du droit international aux cyberattaques. Talinn Manual2.0 on the International Law applicable to Cyber Operations- On the direction of Michael N Schmitt
7

 

CIJ Affaire du Détroit de Corfou, arrêt au fond du 9 Avril 1949 1646.pdf (icj-cij.org)

 

8

 

Executive Order — “Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber- Enabled Activities” | whitehouse.gov (archives.gov)

 

9DCPD-201600880.pdf (govinfo.gov)
10

 

Federal Register :: Blocking Property With Respect To Specified Harmful Foreign Activities of the Government of the Russian Federation

 

11

 

Targeted Sanctions. The Impacts and Effectiveness of United Nations Action, Thomas J. Biersteker, Sue E. Eckert, et Marcos Tourinho

Publié le 23 septembre 2021 par

Virginie GASTINE MENOU

Partagez
Partager sur twitter
Partager sur linkedin

Les lecteurs de cet article ont également aimé

Inscrivez-vous à la Newsletter
[sibwp_form id=2]
fr_FR

Recherchez parmi tous nos contenus

Les sanctions européennes relatives au cyber espace : un arsenal juridique à parfaire ?

✋ Vous avez déjà consulté 3 articles aujourd'hui.
Créez un compte GRACES Community gratuitement pour accéder à tous nos contenus.

Par Cédric Samy ETIEVANT

Stagiaire Monitoring sanctions internationales, Bank of China

Le débarquement sur le tarmac d’un opposant au régime Biélorusse avec le consentement plus ou moins tacite de la Russie incite aujourd’hui l’Europe à se reposer la question de sa relation avec la Russie. Force est de constater que la plus grande menace pour l’Europe comme pour les pays de l’OTAN associés reste la Russie. Cela est d’autant plus vrai pour les pays Baltes, notamment la Lituanie, pays où devait atterrir l’opposant Biélorusse- qui bien que sous parapluie de l’OTAN constatent chaque jour des tentatives de déstabilisation russes passant par la désinformation cybernétique ou par des cyberattaques en bonne et due forme. Cette forme de déstabilisation russe est faite de manière particulièrement insidieuse, sans qu’il soit, la plupart du temps possible d’identifier la menace de l’Etat russe. Une de ces cyberattaques les plus grave fut certainement celle de 2007 contre l’Etat Estonien à Talinn, où une bonne partie de l’économie du pays a été paralysée pendant deux jours. Depuis l’Europe a mis en place un cadre juridique lié à un type de réponse diplomatique possible, mais non exclusif : Les sanctions. Si celles-ci sont typiquement mises en place pour faire changer de comportement politique international un acteur étatique, elles sont parfois utilisées à des fins de changement  de comportements individuels en sanctionnant des personnes nommément désignées. Il existe ainsi à l’heure actuelle un régime de sanctions mis en place dans le cadre des institutions de l’Union Européenne permettant de sanctionner des comportements de cyber-attaques ou de cyber déstabilisation à l’égard d’un Etat membre victime d’une tierce-partie.

A l’heure ou le Joint Cyber Unit prévu par la commission européenne entrera en vigueur le 30 juin 2023, permettant la création d’une toute nouvelle structure en vue de détecter et de lutter plus efficacement  contre les attaques informatiques, l’Union Européenne serait bien inspirée de réformer un outil devant faire partie du quatrième pilier de l’entité conjointe nouvelle. Il reste que le régime de sanctions de l’Union Européenne doit s’adapter aux menaces croissantes et nouvelles qu’imposent les cybers attaques. Cela passe inévitablement par une refonte du régime de sanctions de l’Union Européenne, en gardant ses spécificités, tout en regardant ce qui se fait ailleurs, notamment aux USA où le cadre juridique pour de telles sanctions existe depuis 2015.

L’existence de sanctions européennes

Ainsi le régime de sanctions de l’Union Européenne a été mis en place en 2019 par une décision du Conseil de l’Union Européenne 2019/797 et  par un règlement du Conseil de l’Union Européenne n°2019/7961). Cela constitue aujourd’hui une base juridique solide pour la mise en place de telles sanctions. Ce règlement et cette décision visent selon les textes à « dissuader et répondre aux cyberattaques ayant un effet significatif lesquelles constituent une menace extérieure importante pour l’Union Européenne et ses Etats membres ».

Ainsi il s’agit sur la base de listes de personnes nommément désignées, menant des activités de cyberattaques, de prendre des mesures telles que des restrictions en termes de visas et de gel des avoirs à leur égard.

Tout d’abord l’article 1, prévoit que le régime de cyber-sanctions s’applique aux attaques constituant une menace extérieure c’est-à-dire les cyberattaques qui ont pour origine ou sont menées à partir de l’extérieur de l’Union, qui utilisent des infrastructures situées en dehors de l’Union Européenne, sont exécutées par toute personne physique ou morale toute entité ou tout organisme établi ou opérant à l’extérieur de l’Union, ou sont réalisées avec le soutien sous les instructions ou sous le contrôle de toute personne physique ou morale entité ou organisme opérant en dehors de l’Union Européenne. Le règlement impose donc un élément d’extranéité pour se voir applicable, qui est celui d’une opération dont au moins les éléments préparatoires de celle-ci ont été menés en dehors de l’Union Européenne. Evidemment le règlement se trouvera applicable si tous les éléments de  la cyberattaque ont été, de l’élément préparatoire jusqu’à l’attaque en elle-même, exécutés depuis l’Union Européenne. Enfin, il ne se trouvera pas applicable lorsque la cyberattaque n’a pas de dimension extérieure, son auteur devant alors faire l’objet d’une appréhension par les autorités de l’Etat membre depuis lequel l’attaque a été menée.

Deuxième remarque le régime de sanctions, comme tout régime de sanctions diplomatiques, a une valeur éminemment politique. Le règlement n°2019/796 permet la mise en place de sanctions prises sur le fondement de l’article 21 paragraphe 2 du TUE (Traité de l’Union Européenne) qui renvoie aux objectifs du traité de l’Union Européenne, c’est-à-dire la sauvegarde des valeurs de l’Union Européenne, ses intérêts fondamentaux, sa sécurité, son indépendance et la consolidation de ces mêmes valeurs2) En clair, l’imposition de mesures de sanctions sur le fondement du règlement n°2019/796 doit être rendu nécessaire afin de répondre aux objectifs de l’Union Européenne qui sont de préserver son autonomie et ses valeurs. On peut donc imaginer théoriquement que l’Union Européenne puisse décider d’appliquer ce régime de sanctions en réponse à des attaques contre des pays tiers alliés ou à des organisations internationales. Les sanctions européennes peuvent donc potentiellement avoir une dimension extraterritoriale, en venant en secours d’un pays tiers non- membre de l’Union Européenne ou à une organisation internationale qui n’est pas située sur le territoire d’un pays membre de l’Union, si celles-ci répondent aux objectifs décrits par la politique de sécurité commune. On peut penser inévitablement que ce rôle d’assistance est dévolu à l’OTAN par l’intermédiaire de l’article 5 du traité de Washington qui dispose que  «les parties conviennent qu’une attaque armée contre l’une ou plusieurs d’entre elle survenant en Europe ou en Amérique du Nord sera considérée comme une attaque contre toutes les parties». Mais ce cadre semble difficilement transposable aux cybers attaques. D’une part, l’article 5 a été conçu dans une seule optique d’agression mutuelle au sens classique du terme, c’est-à-dire agression militaire- et d’autre part l’OTAN ne propose pas de possibilité de mécanisme de sanctions visant à répondre à une agression cyber, ce n’est d’ailleurs pas son rôle. Le cadre européen de sanctions offre enfin l’avantage de la souplesse, permettant ainsi de répondre à une agression qui n’est pas dirigée exclusivement contre un pays de l’OTAN mais contre tout Etat ou toute organisation internationale à partir du moment où cela répond aux objectifs de la Politique Extérieure commune définie par l’Union Européenne en vertu de l’article 21 paragraphe 2. Le champ d’application géographique de ces sanctions est donc potentiellement large.

 

Néanmoins le champ d’application matériel des cyber-sanctions est limité par le règlement aux activités ayant un effet « significatif »3), excluant de facto les opérations ayant un impact minime, relatif à une ou plusieurs intrusions sur un système informatique, ainsi que l’intrusion dans des systèmes d’information. Cette intrusion doit avoir pour conséquence d’entraver ou interrompre le fonctionnement de tels systèmes. Le règlement étant applicable uniquement aux attaques portant atteinte aux intérêts de l’Union Européenne, on peut considérer que l’impact significatif issu de l’entrave ou de l’interruption est d’office constitué lorsqu’il porte sur ces institutions, organes ou organismes et agences, ou représentants de l’Union Européenne. Pour les autres interruptions et entraves, l’impact « significatif » doit être évalué en tenant compte selon l’article du règlement de plusieurs critères concrets comme la portée, l’échelle, l’impact ou la gravité de la perturbation causée (….) aux fonctions de l’Etat, à l’ordre public ou à la sécurité mais aussi du nombre de personnes physiques ou morales, d’entités ou d’organisme touchés ou encore au nombre d’Etats membres concernés. Ces critères posent évidement la question de l’évaluation concrète de l’impact des cyberattaques sur les pays membres ou sur les institutions européennes. En réalité l’évaluation du degré d’importance est très difficilement mesurable et dépend moins de considérations objectives que de variables politiques. En effet, si on peut imaginer, ce qu’envisage le règlement, que le montant de la perte économique causé à la société ou encore le bénéfice économique tiré par l’auteur de l’infraction, ou encore la quantité ou la nature des données volées pourrait être prises en compte par le Conseil de l’Union Européenne comme élément objectif permettant d’évaluer le caractère « significatif » de l’attaque, les critères ne sont pas limitatifs et laissent une place non négligeable à l’appréciation politique. Il ne faut pas oublier que le Conseil de l’Union Européenne est composé de 27 chefs d’Etat et de gouvernement des pays qui sont eux-mêmes issus d’une tendance politique. Ils chercheront ainsi toujours à imposer leur vision politique au détriment de critères objectifs permettant d’évaluer la gravité de la situation qui leur est présentée. Il est vrai néanmoins que juger de « la criticité de l’impact » grâce à de simple critères « objectifs » est compliqué. Certaines conséquences sur le moyen ou long  terme sur l’entreprise ou l’institution ayant fait l’objet de l’attaque sont ainsi difficilement évaluables à la suite d’une cyber-attaque. Par exemple, l’atteinte économique ou réputationnelle ne peut être décelée que des années après la survenance de l’attaque.

Enfin les textes font référence à la possibilité d’imposer des sanctions à l’égard de tentatives de cyberattaques dommageables qui pourraient avoir un effet significatif. Cette possibilité laisse songeur quant à sa réelle applicabilité compte tenu de la difficulté de prouver les effets significatifs d’une opération n’ayant pas concrètement pris fin…. Néanmoins une telle disposition peut s’expliquer là encore par une volonté politique, celle du Conseil de l’UE, de ne pas laisser impunies des tentatives qui peuvent se solder dans le futur par des attaques.

Ce régime de sanctions a l’avantage néanmoins d’exister là où il n’existe aucun cadre juridique au sein de l’ONU permettant la mise en place d’un tel régime de sanctions. En effet, le régime de sanctions prévu au sein de l’ONU repose sur l’article 41 du Chapitre 7 de la charte des Nations Unies qui prévoit que les sanctions n’impliquant pas l’emploi de la force armée : « Le Conseil de sécurité peut décider quelles mesures n’impliquant pas l’emploi de la force armée doivent être prises pour donner effet à ses décisions, et peut inviter les Membres des Nations Unies à appliquer ces mesures. Celles-ci peuvent comprendre l’interruption complète ou partielle des relations économiques et des communications ferroviaires, maritimes, aériennes, postales, télégraphiques, radioélectriques et des autres moyens de communication, ainsi que la rupture des relations diplomatiques »

Ainsi, il revient au conseil de sécurité de décider des mesures n’impliquant pas l’usage de la force armée. Or, d’une part, la Chine et la Russie, par leur présence au sein du conseil de sécurité et détenant un droit de véto bloqueraient certainement toute proposition visant à instaurer un régime de sanctions et d’autre part, il n’existe pas en réalité de consensus sur cette question au sein de l’Assemblée générale de l’ONU ou au sein du Conseil de Sécurité de l’Onu . Ainsi, lors d’une commission organisée le 23 Octobre 20174) sur le thème du cyberespace les membres du conseil de sécurité ont étalé leurs différences, notamment la Russie pour qui «l’application du droit international existant au cyberespace est un moyen de couvrir des actions de force dans le domaine sensible de l’information d’origine spatiale ». Le régime de sanctions de l’UE qui est autonome comparativement à celui des Nations Unies, même s’il retranscrit nombre de résolutions des Nations Unies en matière de sanctions en droit de l’Union Européenne, retrouve ici tout son sens.

 

Exemple de sanctions prises par l’UE sur la base des règlements

Sur la base de ces règlements, les premières sanctions de l’Union Européenne contre les cyber-attaques ont été prises à l’encontre de Russes, de Chinois et de Nord-Coréens impliqués dans les attaques comme WannaCry, NotPetya ou Cloud Hopper. Ainsi, par un règlement de l’Union Européenne n°2020/1125 du 30 Juillet 2020 faisant application du règlement de l’Union Européenne n°2019/796, deux entreprises nord-coréenne et chinoise et six ressortissants de ces pays ont été sanctionnés d’une mesure de gel des avoirs et d’interdiction de déplacement au sein de l’Union Européenne. Le point commun entre ces attaques, reste d’une part le moyen utilisé : celui d’un ransomware « WannaCry » ou WannaCrypt, un logiciel prenant en otage les données personnelles et exploitant une faille de sécurité des systèmes de Microsoft les plus anciens en retard sur leurs mises à jour et donc vulnérables ; et celui de l’ampleur des ransomware « WannaCry » et « WannaCypt » qui ont touché au moins 3 000 000 ordinateurs dans 150 pays dont des agences russes. Enfin, par un règlement d’éxécution n°2020/ 1536 du 22 Octobre 2020 faisant application du même règlement le Conseil de l’Union Européenne a imposé des mesures restrictives à l’égard de deux personnes et d’un organisme responsable d’attaques contre le Bunderstag allemand5) ( le parlement fédéral allemand).

Au total à l’heure actuelle, 8 personnes et quatre entités sont pour l’instant désignées au titre du règlement de l’UE n°2019/796 et donc font l’objet d’une mesure de gel des avoirs et d’interdiction de déplacement au sein  de l’UE. On peut remarquer que deux sous directions du GRU, soit la direction générale des renseignements de la Russie, en clair les services secrets russes, sont sanctionnées au titre du règlement 2019/796, mais aussi six ressortissants russes. L’attribution de la responsabilité de ces attaques à l’Etat russe se pose dès lors, même si les attaques « WannaCry » ou « Not Peyta » ont touché des entités russes. Cette question de l’attribution de la responsabilité des attaques à un pays souverain pose inévitablement la question de l’imputabilité en droit international d’un fait illégal à un Etat. Ainsi, pour qu’une cyberattaque puisse être attribuée à un Etat, il faut que l’acte internationalement répréhensible soit attribué à l’Etat, que la conduite constitue un comportement internationalement illicite, enfin qu’il n’y ait pas de circonstance excluant l’illicéité du fait en question. Il est d’ailleurs bon de rappeler que les actes attribuables à l’Etat sont applicables dans le cyberespace puisque le droit international s’applique aux activités de l’Etat dans le cyberespace6). Comme le disait un diplomate allemand, l’attaque « ne se produit pas dans le cyberespace, mais dans un endroit précis » violant la souveraineté de l’Etat par cette cyberattaque. Cependant, d’après une jurisprudence constante de la Cour Internationale de Justice, notamment Détroit de Corfou7) il ne suffit pas que l’acte soit mené depuis le territoire d’un Etat ou mené par des citoyens de cet Etat pour l’attribuer à celui-ci. Il faut encore que ces personnes agissent sous instruction, sous-direction ou contrôle de l’Etat, par l’utilisation de la puissance publique par exemple. Enfin, il en est de même lorsque l’Etat en question approuve à posteriori le comportement des personnes responsables de l’acte. D’après la lecture des critères d’attribution, il revient clairement d’interroger la responsabilité de la Russie du fait des actes du GRU qui de fait est rattaché au ministre de la Défense russe Serguei Choigou qui de toute manière agit pour le compte de l’Etat russe. Pourtant le degré de certitude exigé par l’Union Européenne pour attribuer le fait international à un Etat nuit de fait à l’attribution de ces cyberattaques à un Etat. En effet  l’Union Européenne exige une quasi-certitude que l’acte soit attribuable à l’Etat pour lui imposer des sanctions, et le caractère particulièrement complexe des cyber-attaques ne peut bien souvent  aboutir au degré de certitude voulu par les autorités européennes. Certains pays européens, comme les Pays-Bas ou le Royaume-Uni, ont néanmoins individuellement attribués à plusieurs reprises des cyber-attaques dans le cadre de déclaration unilatérale ou bilatérale comme en 2018. Mais force est de constater que le régime de sanctions, à défaut de preuve plus évidente de la responsabilité d’un Etat, continuera à désigner des individus comme portant cette responsabilité.

 

Le régime de sanction américaine et son application

Les Etats-Unis se sont dotés très tôt d’un cadre règlementaire instituant un régime de sanctions contre les cyber-attaques. Ainsi, l’Executive Order n°13694 du 1er Avril 20158) , l’équivalent d’un décret présidentiel aux Etats-Unis, prévoit un régime de sanctions consistant en un gel des avoirs des personnes listées comme SDN c’est-à-dire comme Specially Designated Names par le secrétaire du Trésor américain. Par conséquent cet Executive Order impose un gel des avoirs envers les personnes listées ou nommément désignées et interdit à toute US Person d’avoir une quelconque relation commerciale avec la personne listée ou désignée par le Secrétaire du Trésor. La sanction est en soit d’une particulière sévérité puisqu’en matière de gel des avoirs les USA appliquent la règle dite des « fifty percent rules » , c’est-à-dire que toute personne morale détenant 50% des parts d’une société elle-même listée se voit appliquer la même sanction de gel. Enfin, la définition extensive de « US person » pratiquée par l’OFAC n’invite guère au relativisme. En effet, est considérée comme  US persons  « Tout citoyen américain, résident permanent, et toute entité organisée selon les lois des USA ou de toute juridiction au sein des Etats-Unis incluant les succursales étrangères ».

La prise de conscience d’un régime de cyber sanctions spécifiques est liée notamment aux nombreuses interférences russes notamment lors de l’élection du président Donald Trump.

Ainsi L’Executive Order n°13694 a donc été rapidement amendé par l’Executive Order n°13757 du 28 Décembre 20169) pris par le président Barack Obama à la suite de la défaite d’Hilary Clinton en novembre de la même année. Défaite qui à bien des égards a été attribuée à la Russie. Les deux Executive Order admettent la possibilité, tout comme le régime européen de sanctions, de désigner nommément des personnes ayant participé à des activités de cyber-attaques. Ainsi sur le fondement des deux EO de nombreuses personnes physiques comme morales ont été désignées au titre du programme de sanctions instauré par ses EO. Au-delà même des personnes russes qui ont été sanctionnées à la suite de l’interférence, des personnes physiques et morales iraniennes, nigérianes, mais aussi nord-coréennes ont été sanctionnées ou sont encore à l’heure actuelle sanctionnées sur le fondement de ces deux Executive Order.

Si la possibilité de sanctions plus larges, comme des sanctions sectorielles, manque là aussi, la récente évolution du régime de sanctions américain pousse clairement celui-ci dans la direction d’une reconnaissance de la responsabilité des Etats dans le domaine des cyberattaques. En effet, par un Executive Order n°1402410) le président Joe Biden interdit aux institutions financières américaines, de participer au marché primaire des obligations libellées en rouble ou non roubles émises, après le 14 Juin 2021, notamment par la Banque Centrale de Russie, ainsi que prêter notamment à cette dernière des fonds libellés en rouble ou non rouble. L’OFAC vient de donner une définition particulièrement large d’une « Institution financière américaine » même s’il exclut de son application les filiales d’une « US person ». Ainsi la sanction secondaire concerne toute entité américaine et ses succursales étrangères dont l’activité consiste à accepter des dépôts à effectuer l’octroi, le transfert, la détention ou le courtage de prêts ou d’autres extensions de crédits, de contrats à terme sur les matières premières. Le terme de « Institutions financières américaines » inclut les institutions de dépôts, la banques et les caisses d’épargnes ainsi que les sociétés de fiducie, les courtiers et négociants en valeurs mobilières, les courtiers et négociants en contrats à terme et en options, les négociants en contrats à terme et en devises, les bourses de valeurs et de marchandises, les sociétés de compensation, les sociétés d’investissement, les régimes d’avantages sociaux des employés, ainsi que les sociétés de portefeuille américaines, les sociétés affiliées américaines et les sociétés d’affaires américaines.

Enfin, et c’est le plus important, il enjoint le Secrétaire du Trésor américain d’imposer des mesures de gel des avoirs sur un ensemble d’entités pouvant être impliquées dans ces activités et notamment toute personne qui a ou a été leader officiel, ou membre du gouvernement de la Fédération de Russie, ou toute entité politique, agence ou instrumentalité du gouvernement fédéral russe. Il s’agit officiellement de pouvoir sanctionner des entités politiques impliquant directement la Russie en tant qu’Etat. La déclaration politique liée à la sanction ne laisse pas place au doute. Selon Joe Biden il s’agit de punir la Russie pour « ses actions de déstabilisation internationale » et notamment leur tentative d’interférer dans l’élection politique américaine, cette fois-ci de 2020.

Le régime de sanctions américain se dirige progressivement donc vers un régime de sanctions sectoriel concernant le domaine de la sécurité nationale russe. Ce qui tend à étendre le champ d’application des sanctions et à désigner nommément la Russie dans des activités de cyberattaques qui lui sont attribuables.

Indéniablement le régime de sanctions américain reste  politique  étant donné les déclarations précédentes du président Biden sur le président Poutine. Mais en général la politique de sanctions américaine reste infiniment plus volontariste, que celle européenne puisqu’objectivement il est compliqué de ne pas associer une action du GRU à l’Etat russe. Reste qu’ici la volonté de sanction ne repose que sur le seul pouvoir exécutif, c’est-à-dire le Président américain et ses Secrétaires d’Etats et aux agences fédérales liées étroitement au Président américain.

Même s’il est avéré que la CISA, l’agence américaine spécialisée dans la cybersécurité, prend en compte des sources ouvertes d’informations provenant de sociétés de sécurité comme par exemple FireEye, Kapersky, Symantec ou MITRE dans son identification des sanctions, on peut aisément penser que la politique de sanctions dépend moins des constats dressés par ces sociétés que de la conception politique du président en place. Cela apparait de manière encore plus criante que les sanctions mises en place par l’Union Européenne : Là où des critères de désignation existent en Union Européenne, notamment le critère « significatif » de l’attaque avec la mention de certains critères techniques pour apprécier celui-ci, la mise en place de sanctions aux USA relève de la quasi-discrétion du Président américain.

Mais force est de constater que cela favorise une plus grande réactivité de mise en œuvre de la décision, là où les Etats membres doivent s’entendre à l’unanimité pour la prise de décision.

 

Proposition d’amélioration du système de sanctions européen.

Réactivité plus forte de l’Europe

L’intensité de la dissuasion dépend avant tout de la réactivité de l’UE dans la mise en place des sanctions. Or, La décision de sanction du conseil de l’Union Européenne, devant être prise à l’unanimité des Etats membres et du haut-représentant de l’Union Européenne pour les affaires étrangères et la politique de sécurité, favorise l’inertie au sein du Conseil si un Etat membre s’y oppose. Même si d’autres réponses pourraient être mises en place comme celle judiciaire, la réponse diplomatique par l’intermédiaire d’une politique de sanctions coordonnée reste le cœur de la politique de sécurité commune voulue par les européens. Il serait souhaitable dans ce cadre-là d’une mise à l’agenda plus systématique des sanctions liées au cyberespace au sein du Conseil     de l’Union Européenne, voire la mise en place de Conseil Européen exceptionnel à la suite de cyberattaques d’une certaine importance nécessitant sanctions.

D’autre part, la coopération entre RELEX le Groupe des conseillers pour les relations extérieures qui s’occupe des questions juridiques, financières et institutionnelles de la PESC et le service européen d’action extérieure (EEAS) qui s’occupe des questions purement politiques  pourrait s’avérer cruciale dans la rapidité de la réponse à apporter. En effet les politiques de sanctions sont entérinées par ces deux institutions européennes, et ensuite mises à l’agenda du Conseil par le COREPER. La coordination entre ces deux entités pourrait dès lors se matérialiser par le développement de critères d’appréciation communs avec une liste déjà préexistence de critères de désignation de ces entités.

Solidarité entre les pays membres 

Pour qu’une décision puisse être prise il faut que l’ensemble des Etats membres puisse adhérer à une politique unique de dissuasion. Pour cela il serait intéressant d’appliquer des mécanismes prévus par les traités européens dans le cadre d’une agression armée ou d’une action terroriste. Ainsi l’activation de la clause de solidarité prévue par l’article 222 du TFUE qui permet aux États membres la possibilité d’agir conjointement afin de prévenir les menaces terroristes sur  l’un des pays de l’UE ou encore l’article 42.7 du traité de l’Union Européenne qui stipule qu’ au cas où un État membre serait l’objet d’une agression armée sur son territoire, les autres États membres lui doivent aide et assistance par tous les moyens en leur pouvoirserait souhaitable en tant que garantie de solidarité envers l’ensemble des Etats membres. Il s’agit ainsi d’impliquer les Etats membres dans la prise de décision en leur assurant une collaboration commune européenne globale de l’Union Européenne, en cas de cyber-attaques mais aussi en cas de riposte de l’Etat tiers à la sanction prise à son égard. Il s’agira ainsi d’apporter une réponse européenne, plutôt qu’une réponse de l’OTAN, via son article 5, et de crédibiliser une politique européenne de sécurité commune.

Désignation d’autorité Etatique comme responsable des attaques

 La décision du Conseil de l’Union Européenne établissant le cadre des mesures ciblées exclue de fait la possibilité d’attribuer la responsabilité des attaques à un Etat. Pourtant comme on l’a vu,  la question de la responsabilité d’un Etat est parfois claire. La question de l’attribution de la responsabilité politique à un autre pays- notamment celle de la Russie- est laissée à la discrétion des pays membres de l’Union Européenne au cas par cas. Cette disposition semble en contradiction avec les objectifs actuels européens basés sur la coopération notamment dans le domaine de la défense. En effet le 11 décembre le conseil de l’Union Européenne a adopté une décision établissant une Coopération Structurée Permanente soit CSP ou PESCO permettant aux Etats membres de travailler ensemble, de manière renforcée en matière de sécurité et de défense. Cette PESCO ou CSP a vocation à s’étendre et concerne actuellement 25 Etats membres qui s’entendent de concert, pour au nom de cette structure nouvelle, adopter des sanctions ciblées ou sectorielles envers des entités ou des Etats. Au final cette structure n’engage par les Etats dans une solidarité de reconnaissance, mais il incite clairement l’Union Européenne à adopter une position commune. Le régime de sanctions lié au cyberespace semble s’éloigner de la possibilité de lier les sanctions prises  au nom de la PESCO ou CSP, puisqu’il écarte la possibilité d’une reconnaissance et d’une désignation commune. On ne peut pas désigner au nom de la PESCO des entités personnes physiques ou morales et laisser au  cas par cas la possibilité d’attribuer la responsabilité aux divers Etats membres. Cela reviendrait à faire un pas en avant un pas en arrière : Avancer pour mieux reculer. A minima une coordination commune, faute d’une reconnaissance commune, en matière de reconnaissance et d’attribution des attaques à un Etat, entre Etats  membres semble nécessaire. Pourtant la cyberdéfense peut constituer dans les prochaines années l’un des axes majeurs de la politique de défense européenne compte tenu de la raréfaction des formes conventionnelles de conflit.

L’Union Européenne nage entre deux eaux en termes de sanctions de cyberattaques laissant la primauté de la reconnaissance aux Etats membres, tout en sous-entendant par la mise sous sanction d’entités personnes physiques ou morales de ressortissants de l’Etat tiers que l’Etat lui-même est responsable. Certes il s’agit d’un outil diplomatique, donc inévitablement il s’agit parfois de préserver les susceptibilités des uns et des autres et de ne pas nuire aux possibles relations bilatérales qu’entretiendrait l’UE avec cet Etat. Mais force est de constater que l’outil manque de cohérence face à une potentielle menace étatique. Les Etats-Unis commencent à le comprendre via un régime de sanctions qui vise directement l’Etat tiers responsable

 

Les mesures ciblées individuelles ont d’ailleurs certaines limites connues : ils ne peuvent avoir les effets voulus par une politique de sanctions cohérente. Une politique de sanctions vise en effet, et en premier lieu, le changement de comportement sur le plan du droit international de l’Etat fautif. Or force est de constater que  les maigres sanctions ciblées prises à l’encontre des entités russes ou encore chinoises, personnes physiques ou morales, ne peuvent avoir un effet dissuasif important sur l’Etat depuis lesquels agissent les personnes physiques11)

Il ne s’agit pas pour autant de suivre complètement la logique américaine. La volonté de l’Union Européenne  d’imposer une autonomie stratégique européenne notamment, montre que l’Union Européenne ne doit pas sans prêter garde, calquer le modèle de sanctions américain sur le sien. Il faut laisser la place à la démonstration par la preuve de l’implication de l’Etat ou de ses entités agissant pour leur compte. Il serait ainsi idéal de prévoir un régime de sanctions plus sectoriel visant directement l’Etat membre, en parallèl duquel coexisterait un régime de sanctions plus ciblé comme celui actuellement mis en place par la décision et le règlement. En résumé, il s’agit de sanctionner réellement l’Etat quand celui-ci, doit, à l’évidence être sanctionné, mais en même temps rester dans le cadre de la légalité et de la proportionnalité de la mesure prise face à l’agression. Il aurait été imprudent par exemple d’attribuer l’attaque « WannaCry » à la Russie alors que tout montre à penser que la Russie elle-même a été touchée lors de l’attaque.

Par la mise en place de ce régime, il ne s’agit pas de s’attaquer uniquement à la Russie, mais aussi à tout Etat ayant vocation à s’attaquer à un Etat membre de l’Union Européenne. L’idéal serait d’imposer ces sanctions sans biais idéologique, mais avec fermeté et sans frein diplomatique quand les cyber-attaques étatiques méritent d’être dénoncées.

La nécessité de répondre donc à une menace étatique est aujourd’hui plus que nécessaire compte tenu des enjeux que comportent la menace des cyberattaques. La capacité opérationnelle de l’Union Européenne à établir un cadre de mesures de sanctions étatiques cohérent doit constituer la pierre angulaire de sa politique diplomatique dans les années à venir.

 

↑1

 

Conseil de l’Union Européenne « Décision du Conseil 2019/797 du 17 Mai 2019 concernant les mesures

restrictives contre les cyberattaques menaçant l’Union Européenne OU ses Etats membres » et le règlement n°2019/796 du Conseil de l’Union Européenne RÈGLEMENT (UE) 2019/ 796 DU CONSEIL – du 17 mai 2019

– concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres (europa.eu), RÈGLEMENT (UE) 2019/ 796 DU CONSEIL – du 17 mai 2019 – concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres (europa.eu)

 

↑2 Paragraphe 6, Article 1er « Lorsque cela est jugé nécessaire pour réaliser les objectifs de la politique étrangère et de sécurité commune (PESC) figurant dans les dispositions pertinentes de l’article 21 du traité sur l’Union européenne, des mesures restrictives au titre du présent règlement peuvent également être appliquées en réponse à des cyberattaques ayant des effets importants dirigées contre des pays tiers ou des organisations internationales »
↑3 Paragraphe 1, Article 1er « Le présent règlement s’applique aux cyberattaques ayant des effets importants, y compris les tentatives de cyberattaques ayant des effets potentiels importants, qui constituent une menace extérieure pour l’Union ou ses États membres »
↑4

 

Première Commission: les délégations restent divisées sur les moyens d’empêcher une militarisation

de l’espace | Couverture des réunions & communiqués de presse

 

↑5

 

EUR-Lex – 32020R1536 – EN – EUR-Lex (europa.eu)

 

↑6 Un manuel a été consacré au développement de l’applicabilité du droit international aux cyberattaques. Talinn Manual2.0 on the International Law applicable to Cyber Operations- On the direction of Michael N Schmitt
↑7

 

CIJ Affaire du Détroit de Corfou, arrêt au fond du 9 Avril 1949 1646.pdf (icj-cij.org)

 

↑8

 

Executive Order — “Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber- Enabled Activities” | whitehouse.gov (archives.gov)

 

↑9 DCPD-201600880.pdf (govinfo.gov)
↑10

 

Federal Register :: Blocking Property With Respect To Specified Harmful Foreign Activities of the Government of the Russian Federation

 

↑11

 

Targeted Sanctions. The Impacts and Effectiveness of United Nations Action, Thomas J. Biersteker, Sue E. Eckert, et Marcos Tourinho

...
👉  Découvrez la suite de cet article en rejoignant la communauté GRACES