CAJI

Le cyberterrorisme est une notion à la fois intuitive et juridiquement instable. Intuitive, parce qu’elle évoque immédiatement l’idée d’un usage des technologies numériques à des fins d’intimidation collective, de désorganisation grave ou de terreur. Instable, parce qu’en droit positif, le mot recouvre des réalités très différentes : propagande en ligne, recrutement, financement, diffusion de manuels, doxxing, sabotage informatique, atteintes à des infrastructures critiques, voire opérations de désinformation revendiquées au nom d’un groupe terroriste. Le premier réflexe du juriste doit donc être de distinguer le vocabulaire médiatique de la qualification juridique. En droit français, il n’existe pas un bloc autonome et simple intitulé “cyberterrorisme” ; la logique est plutôt celle d’une terrorisation par rattachement d’infractions déjà connues, notamment les infractions informatiques, lorsqu’elles sont commises en lien avec une entreprise terroriste. (Légifrance)

Il faut d’ailleurs corriger une référence importante dans l’intitulé proposé. L’article 421-2-2 du code pénal ne définit pas le cyberterrorisme ; il vise le financement d’une entreprise terroriste. La qualification pénale du cyberterrorisme en droit français passe d’abord par l’article 421-1, qui transforme en actes de terrorisme certaines infractions de droit commun — dont les infractions en matière informatique définies par le livre III du code pénal — lorsqu’elles sont intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but de troubler gravement l’ordre public par l’intimidation ou la terreur. L’article 421-2-2 peut ensuite entrer en jeu à titre complémentaire lorsque des moyens financiers ou matériels soutiennent une telle entreprise. (Légifrance)

C’est un point capital. En droit français, le cyberterrorisme n’est donc pas défini par la seule nature numérique du moyen employé. Il résulte de la combinaison de deux éléments. D’une part, une infraction support : accès frauduleux à un système, maintien frauduleux, entrave au fonctionnement, altération ou extraction de données, mise à disposition d’outils, ou autres atteintes informatiques prévues par les articles 323-1 et suivants du code pénal. D’autre part, un élément de finalité terroriste : l’acte doit être intentionnellement lié à une entreprise ayant pour but de troubler gravement l’ordre public par l’intimidation ou la terreur. Cette architecture montre que le droit français ne confond pas toute cyberattaque grave avec un acte terroriste ; il exige un rattachement finaliste beaucoup plus exigeant. (Légifrance)

Cette méthode de qualification a une portée pratique décisive. Un rançongiciel, un sabotage numérique ou une intrusion massive ne deviennent pas automatiquement terroristes parce qu’ils produisent peur ou désordre. En droit, il faut encore établir le lien intentionnel avec une entreprise terroriste. Cela signifie que la qualification de cyberterrorisme ne se déduit ni du seul dommage, ni de la seule ampleur médiatique, ni même du fait que la cible soit sensible. Elle suppose une démonstration sur la finalité, l’inscription organisationnelle, parfois l’idéologie revendiquée, parfois la revendication elle-même, et plus largement le contexte global de l’opération. C’est ce qui rend la qualification pénale du cyberterrorisme plus rare et plus délicate que le commentaire public ne le laisse souvent croire. (Légifrance)

Sur le plan international, la situation est encore plus complexe. Il n’existe toujours pas, à ce jour, de définition universelle pleinement unifiée du “cyberterrorisme” en droit international conventionnel général. L’architecture antiterroriste des Nations unies repose sur un ensemble d’instruments sectoriels, mais non sur une convention universelle unique définissant de manière exhaustive le terrorisme, encore moins le cyberterrorisme. L’ONU reconnaît toutefois explicitement les préoccupations croissantes liées à l’usage malveillant des technologies de l’information et de la communication par des groupes terroristes, notamment pour la propagande, le recrutement, le financement, la planification et d’autres activités d’appui. (Organisation des Nations Unies)

Cette absence de définition universelle spécifique a plusieurs conséquences. D’abord, le “cyberterrorisme” en droit international fonctionne davantage comme une catégorie analytique et politique que comme une qualification harmonisée. Ensuite, la réponse internationale passe souvent par des cadres indirects : droit pénal interne, coopération judiciaire, financement du terrorisme, sanctions ciblées, partage de renseignements, et parfois droit des conflits armés ou droit de la responsabilité internationale si des États sont impliqués. Enfin, le nouveau traité des Nations unies sur la cybercriminalité, adopté le 24 décembre 2024 et ouvert à la signature en octobre 2025, n’est pas un traité spécifique sur le terrorisme : il vise plus largement la lutte contre la cybercriminalité et la coopération en matière de preuve électronique pour les infractions graves. (UNODC)

Autrement dit, le droit international ne nie pas le phénomène, mais il l’absorbe encore dans des régimes juridiques adjacents. Cela explique pourquoi le cyberterrorisme reste souvent traité, en pratique, par un empilement de normes : instruments antiterroristes classiques, droit de la cybercriminalité, régimes de sanctions, coopération policière et judiciaire, et cadres de sécurité nationale. Le juriste doit donc éviter deux excès contraires : croire que le cyberterrorisme serait juridiquement inexistant, ou croire qu’il disposerait déjà d’un régime international autonome parfaitement stabilisé. Ni l’un ni l’autre n’est exact. (Organisation des Nations Unies)

En droit français, la qualification terroriste appliquée au cyber doit être lue à partir de la structure générale du titre II du livre IV du code pénal. L’article 421-1 transforme certaines infractions de droit commun en actes de terrorisme par la finalité poursuivie. L’article 421-2-1 incrimine l’association de malfaiteurs terroriste. L’article 421-2-2 vise le financement. Les articles 421-2-5 et suivants répriment notamment la provocation, l’apologie et d’autres comportements connexes. Cela signifie qu’un dossier de cyberterrorisme peut mêler plusieurs qualifications : atteintes aux systèmes, association terroriste, financement, propagande, mise à disposition de moyens techniques, ou encore participation à une entreprise terroriste plus large. Le numérique n’efface donc pas la structure classique du droit pénal antiterroriste ; il en modifie surtout les supports et les preuves. (Légifrance)

Il faut aussi noter que le cyberterrorisme, en pratique, ne se réduit pas au sabotage pur. Une organisation terroriste peut mobiliser le cyberespace à plusieurs niveaux. Premier niveau : propagande et recrutement. Deuxième niveau : organisation interne, communications, cloisonnement, sécurité opérationnelle. Troisième niveau : financement, y compris par détournement ou collecte en ligne. Quatrième niveau : activité offensive, qui peut aller du doxxing et de l’intimidation numérique jusqu’à des attaques plus perturbatrices contre des systèmes. Les Nations unies soulignent précisément que l’usage terroriste des technologies de l’information va bien au-delà du seul “piratage spectaculaire”. (Organisation des Nations Unies)

C’est ici qu’intervient le cas du Cyber Caliphate. Pendant plusieurs années, ce nom a été médiatiquement associé à l’idée d’un cyberterrorisme djihadiste offensif, notamment après plusieurs incidents très médiatisés, dont le piratage de comptes liés à l’armée américaine et l’attaque contre TV5Monde en 2015. Or les analyses et attributions ultérieures ont profondément nuancé, voire renversé, ce récit initial. Un document d’analyse publié en 2025 par l’Instituto Español de Estudios Estratégicos explique que plusieurs de ces attaques, initialement attribuées à l’État islamique, ont ensuite été analysées comme des opérations sous faux drapeau liées au renseignement militaire russe, APT28. Surtout, en avril 2025, la France a officiellement attribué à APT28, utilisé par le renseignement militaire russe, plusieurs cyberattaques contre des intérêts français, en mentionnant explicitement l’attaque de 2015 contre TV5Monde. (defensa.gob.es)

Ce point est essentiel pour la théorie juridique du cyberterrorisme. Il montre qu’il faut distinguer revendication, mise en scène terroriste, signature opérationnelle et attribution réelle. Une opération peut être présentée comme djihadiste, exploitée symboliquement comme telle, et néanmoins relever d’une tout autre logique stratégique. Le cas Cyber Caliphate révèle donc un risque majeur : celui de qualifier trop vite comme “cyberterroriste” une opération dont la fonction réelle relève de la désinformation, de la guerre hybride ou du faux drapeau. Juridiquement, cela impose une discipline probatoire accrue avant d’invoquer la qualification terroriste. (defensa.gob.es)

Le cas Daesh doit, lui aussi, être traité avec précision. Les sources onusiennes et les travaux récents sur l’usage des nouvelles technologies par les groupes terroristes montrent bien que l’État islamique et ses sympathisants ont exploité massivement l’espace numérique pour la propagande, le recrutement, la diffusion idéologique, le partage d’instructions, le harcèlement ciblé et l’adaptation technologique. En revanche, le passage d’un terrorisme numériquement assisté à un véritable cyberterrorisme de sabotage systémique, au sens d’attaques informatiques causant des effets stratégiques comparables à des attentats contre des infrastructures critiques, demeure juridiquement et empiriquement beaucoup moins clairement établi dans la pratique publique disponible. (Organisation des Nations Unies)

Autrement dit, Daesh a incontestablement été un acteur majeur de la terrorisation par le numérique, mais cela ne signifie pas automatiquement qu’il ait disposé, dans les cas publiquement établis, d’une capacité autonome et continue de cyberterrorisme au sens fort, c’est-à-dire de sabotage informatique de très haute intensité orienté vers des effets matériels massifs. Cette nuance est importante. Elle distingue le terrorisme dans le cyberespace du cyberterrorisme par le cyberespace. Le premier est solidement documenté ; le second reste plus rare, plus discuté et souvent brouillé par les phénomènes d’attribution ou de propagande. Cette distinction relève d’une inférence analytique, mais elle est bien soutenue par les sources onusiennes et par l’histoire du cas Cyber Caliphate. (Organisation des Nations Unies)

Du point de vue pénal français, cela conduit à une conclusion nette : la qualification de cyberterrorisme ne doit pas être inflationniste. Elle suppose de démontrer, au-delà de l’infraction informatique support, un lien intentionnel avec une entreprise terroriste. Si l’auteur agit pour le compte d’une organisation terroriste, dans une stratégie d’intimidation ou de terreur, l’article 421-1 permet la bascule. Si des flux, moyens, outils ou fonds soutiennent cette entreprise, l’article 421-2-2 peut s’ajouter. Si la communication en ligne constitue propagande ou apologie, d’autres textes du chapitre peuvent également entrer en jeu. Mais si l’on est en présence d’une opération de désinformation, de guerre hybride ou d’action étatique masquée sous apparence terroriste, la qualification doit être repensée. (Légifrance)

Le droit international ajoute une autre couche de difficulté : celle de l’attribution. Lorsqu’une attaque se réclame d’un groupe terroriste mais que des investigations ultérieures l’orientent vers des acteurs étatiques ou paraétatiques, le dossier quitte le seul terrain pénal antiterroriste pour toucher au droit de la responsabilité internationale, aux mesures de rétorsion, aux sanctions et à la sécurité collective. Le cas Cyber Caliphate est, de ce point de vue, presque paradigmatique : il oblige à penser ensemble terrorisme, désinformation, faux drapeau et conflictualité hybride. (defensa.gob.es)

Philosophiquement, le cyberterrorisme révèle ainsi une mutation profonde de la notion de terreur. Dans les formes classiques, la terreur naît d’une violence visible : explosion, prise d’otages, assassinat, destruction matérielle. Dans l’environnement numérique, elle peut naître d’une autre grammaire : interruption d’un service vital, paralysie d’un hôpital, exposition de données de milliers de personnes, intimidation ciblée, impression d’omniprésence technique, ou simple croyance qu’un groupe terroriste peut “frapper partout” sans corps visible. Le cyberterrorisme n’est donc pas seulement une question de dommage informatique ; c’est une question d’effet psychopolitique de désorganisation. Mais précisément parce que cet effet peut être manipulé, le juriste doit résister à la tentation de qualifier par l’émotion. (Organisation des Nations Unies)

En définitive, le droit français offre déjà les outils pour réprimer le cyberterrorisme, mais il le fait par rattachement : infraction informatique + finalité terroriste. L’article 421-1 est ici le texte central ; l’article 421-2-2 concerne le financement et non la définition première du cyberterrorisme. Sur le plan international, le phénomène est reconnu, redouté, et traité à travers plusieurs régimes juridiques, mais sans définition universelle spécifique pleinement stabilisée. Quant aux cas Cyber Caliphate et Daesh, ils montrent surtout une leçon de méthode : en matière de cyberterrorisme, il faut toujours distinguer l’usage terroriste du numérique, la revendication terroriste, la qualification pénale, et l’attribution réelle de l’opération. C’est dans cette rigueur que se joue la solidité juridique de l’analyse. (Légifrance)