Responsabilité étatique dans le cyberespace : la CDI et la pratique

Azais Khalsi

La question de la responsabilité étatique dans le cyberespace occupe aujourd’hui une place centrale dans le droit international contemporain. Elle se situe à la jonction de deux difficultés majeures : d’une part, l’application de règles générales élaborées à l’origine pour des comportements étatiques classiques ; d’autre part, la spécificité technique des cyberopérations, marquées par l’anonymisation, la fragmentation des infrastructures, l’intermédiation d’acteurs privés et la difficulté de l’attribution. Pourtant, le point de départ juridique demeure remarquablement stable : le cyberespace n’est pas un vide normatif. Les États, y compris la France, soutiennent que le droit international existant s’y applique, notamment la Charte des Nations unies, le droit international humanitaire, les droits de l’homme et, au premier chef, le droit de la responsabilité internationale de l’État.

Dans cette architecture, les Articles de la Commission du droit international de 2001 sur la responsabilité de l’État pour fait internationalement illicite — souvent désignés comme les Articles de la CDI, ou ARSIWA dans la littérature anglophone — jouent un rôle fondamental. Il faut être précis sur leur statut. Ils ne constituent pas, en eux-mêmes, un traité multilatéral entré en vigueur comme une convention universelle ; ils ont été adoptés par la CDI en 2001 puis “pris note” par l’Assemblée générale des Nations unies, et sont largement utilisés comme formulation de référence des règles secondaires de la responsabilité internationale. La CDI elle-même explique que ces articles visent à formuler, par codification et développement progressif, les règles de base relatives à la responsabilité des États pour leurs faits internationalement illicites. (Nations Unies)

Leur intérêt pour le cyber est considérable, car ils ne dépendent pas du support technique de l’action. L’article 2 fixe la structure générale de tout fait internationalement illicite : il y a responsabilité internationale lorsqu’un comportement, action ou omission, est attribuable à un État au regard du droit international et constitue en même temps la violation d’une obligation internationale en vigueur pour cet État. Autrement dit, deux questions doivent toujours être distinguées : qui agit juridiquement ? et quelle norme a été violée ?. Cette distinction est essentielle en matière cyber, car beaucoup de débats publics confondent encore attribution technique, attribution politique et attribution juridique. (Nations Unies)

L’attribution constitue le premier verrou. Les Articles de la CDI offrent ici plusieurs portes d’entrée. L’article 4 attribue à l’État la conduite de ses organes ; l’article 5 vise les entités habilitées à exercer des prérogatives de puissance publique ; l’article 7 précise que l’excès de pouvoir ou la violation d’instructions n’empêche pas, à elle seule, l’attribution si l’organe agissait dans cette qualité ; l’article 8 permet d’attribuer à l’État la conduite de personnes ou groupes de personnes agissant sur ses instructions, ou sous sa direction ou son contrôle ; l’article 11 permet enfin l’attribution si l’État reconnaît et adopte a posteriori le comportement comme sien. (Nations Unies)

Le cyberespace met spécialement en tension l’article 8. Beaucoup d’opérations sont menées non par un fonctionnaire se présentant ouvertement comme tel, mais par des groupes paraétatiques, des services agissant sous couverture, des sous-traitants techniques, des groupes criminels tolérés, ou des intermédiaires plus ou moins autonomes. L’article 8 n’autorise pas une attribution automatique à partir d’une simple affinité géopolitique, d’une langue utilisée dans le code, ou d’une proximité idéologique. Il exige que le groupe soit en fait agissant sur instructions, ou sous direction ou contrôle de l’État, dans la conduite concernée. C’est là un seuil juridique élevé. Cette exigence explique pourquoi des États peuvent publiquement attribuer une campagne à un service de renseignement étranger sur un plan politique ou renseignementiel, tout en restant plus prudents sur la qualification juridique internationale complète. (Nations Unies)

À ce stade, il faut insister sur une distinction méthodologique décisive. En pratique, trois niveaux se superposent sans se confondre. Le premier est l’attribution technique, qui repose sur des indicateurs forensiques, des infrastructures, des malwares, des TTP et des recoupements. Le deuxième est l’attribution politique ou stratégique, par laquelle un gouvernement affirme publiquement qu’un autre État ou l’un de ses services est responsable. Le troisième est l’attribution juridique internationale, qui consiste à rattacher le comportement à l’État selon les critères du droit international de la responsabilité. Les deux premiers nourrissent le troisième, mais ne le remplacent pas automatiquement. Cette nuance est l’une des plus importantes en matière cyber. Elle ressort implicitement de la structure même des Articles de la CDI et des positions étatiques sur l’applicabilité du droit international. (Nations Unies)

La France adopte, sur ce point, une position particulièrement utile. Dans sa réponse officielle de 2019 aux résolutions onusiennes sur la sécurité de l’information, elle affirme que le droit international existant s’applique au cyberespace, que l’incapacité à attribuer la responsabilité n’est pas un obstacle définitif à l’application de ce droit, et que le principe de souveraineté s’applique au cyberespace. Elle ajoute qu’une pénétration non autorisée de systèmes français, ou la production d’effets sur le territoire français par des moyens cyber, lorsqu’elle est le fait d’une entité étatique ou d’acteurs non étatiques agissant sous les instructions ou le contrôle d’un État, peut constituer une violation de souveraineté. La France indique aussi qu’une cyberopération peut, selon ses effets, constituer un usage de la force, voire, à un degré suffisant de gravité, une “attaque armée” au sens de l’article 51 de la Charte.

Cette position française est capitale pour deux raisons. D’abord, elle confirme que la question cyber n’exige pas nécessairement un nouveau traité global : le droit existant fournit déjà les catégories de base. Ensuite, elle assume une lecture relativement exigeante de la souveraineté dans le cyberespace. Là où certains États préfèrent laisser ouverte la question de savoir si toute intrusion non autorisée constitue en soi une violation de souveraineté, la France admet expressément qu’une pénétration non autorisée ou la production d’effets sur son territoire peut relever d’une telle violation, sous réserve bien sûr de l’imputation à un État. Cela rapproche la pratique française d’une conception “territoriale et fonctionnelle” de la souveraineté numérique.

Les Articles de la CDI ne s’arrêtent pas à l’attribution. Une fois le fait attribué et la violation constatée, ils organisent les conséquences juridiques. L’article 28 pose que la responsabilité internationale entraîne des conséquences juridiques ; l’article 29 maintient l’obligation de continuer à exécuter l’obligation violée ; l’article 30 impose la cessation et, le cas échéant, des garanties de non-répétition ; l’article 31 prévoit la réparation intégrale du préjudice ; l’article 36 traite de la compensation pour tout dommage financièrement évaluable. En matière cyber, ces dispositions sont d’une importance considérable, même si elles restent peu mobilisées en justice internationale. Elles ouvrent théoriquement la voie à des demandes de cessation, de garanties, de réparation ou de contre-mesures licites. (Nations Unies)

Le chapitre IV des Articles de la CDI mérite une attention particulière pour le cyber contemporain. L’article 16 engage la responsabilité d’un État qui aide ou assiste un autre État dans la commission d’un fait internationalement illicite, s’il agit avec connaissance des circonstances et si l’acte serait illicite s’il le commettait lui-même. L’article 17 vise l’État qui dirige et contrôle un autre État dans la commission de cet acte. L’article 18 couvre la coercition. Ces dispositions deviennent cruciales dans un environnement où des États peuvent fournir des capacités techniques, des infrastructures, des services de renseignement, des accès, des outils ou un appui tactique à des opérations conduites par d’autres. Elles rendent le droit de la responsabilité apte à penser non seulement l’auteur principal, mais aussi les architectures de soutien et de délégation. (Nations Unies)

Passons maintenant à la pratique, à travers trois cas souvent invoqués : NotPetya, SolarWinds et APT28. Il faut ici garder une discipline juridique stricte : la pratique cyber est riche en déclarations d’attribution, en sanctions, en condamnations diplomatiques et en communiqués gouvernementaux, mais beaucoup plus pauvre en décisions juridictionnelles internationales formalisant l’ensemble du raisonnement de responsabilité. Cela signifie que l’analyse doit distinguer ce qui est établi publiquement par les États, ce qui est juridiquement inférable, et ce qui demeure non tranché. (GOV.UK)

Le cas NotPetya constitue l’un des exemples les plus significatifs de pratique d’attribution étatique. Le 15 février 2018, le Royaume-Uni a publiquement jugé que le gouvernement russe, et plus spécifiquement l’armée russe, était responsable de la cyberattaque destructive NotPetya de juin 2017. Le communiqué britannique souligne que l’attaque visait principalement des secteurs financiers, énergétiques et gouvernementaux ukrainiens, qu’elle a été conçue de manière indiscriminée et qu’elle s’est propagée au-delà de l’Ukraine, affectant d’autres entreprises européennes et russes. Cette déclaration est importante car elle transforme une campagne d’apparence pseudo-criminelle en fait étatique allégué. (GOV.UK)

Juridiquement, NotPetya est un cas très intéressant. D’un côté, l’attribution publique au gouvernement russe par plusieurs États soutient l’idée qu’on n’est plus dans un simple registre de cybercriminalité privée. De l’autre, la qualification précise du fait internationalement illicite reste complexe. Selon la lecture française de la souveraineté, une opération causant des effets massifs sur le territoire d’un autre État peut relever d’une violation de souveraineté. Si les effets atteignent un certain seuil, elle peut aussi relever de l’interdiction du recours à la force ; et si la gravité est encore plus élevée, de l’attaque armée. Mais en pratique, les États qui ont attribué NotPetya à la Russie ont surtout adopté un langage de condamnation politique et stratégique, davantage qu’une construction complète exposant article par article la violation de normes déterminées et les conséquences réparatrices exigées. Cela montre un trait caractéristique de la pratique cyber actuelle : la responsabilité est publiquement suggérée plus souvent qu’elle n’est juridiquement plaidée dans toute sa densité. (GOV.UK)

Le cas SolarWinds relève d’une autre configuration. En avril 2021, le département du Trésor américain a affirmé que le service russe de renseignement extérieur, le SVR, était responsable de l’exploitation en 2020 de la plateforme SolarWinds Orion et d’autres infrastructures technologiques. Le texte officiel ajoute que l’intrusion a compromis des milliers de réseaux gouvernementaux et privés américains, mis en danger la chaîne d’approvisionnement technologique mondiale et affecté des acteurs du secteur financier, des infrastructures critiques et des réseaux gouvernementaux. Nous sommes ici devant un cas classique d’opération d’espionnage sophistiquée par compromission de chaîne logistique logicielle, attribuée publiquement à un service étatique identifié. (U.S. Department of the Treasury)

SolarWinds montre parfaitement la difficulté de la seconde étape du raisonnement. L’attribution au SVR, organe de l’État, simplifie en principe la question de l’imputation au sens de l’article 4 des Articles de la CDI. Mais encore faut-il identifier l’obligation internationale violée. Or l’espionnage, en droit international général, demeure un domaine notoirement ambigu. Il est largement pratiqué, souvent condamné politiquement, mais pas toujours clairement prohibé en tant que tel par une règle générale unique. Dès lors, une opération comme SolarWinds peut engager la responsabilité internationale si elle viole la souveraineté, une obligation de non-intervention, une obligation conventionnelle particulière, ou d’autres règles applicables ; mais l’on ne peut pas déduire mécaniquement de l’attribution au SVR l’existence automatique d’un fait internationalement illicite. C’est précisément là que les Articles de la CDI rappellent leur structure binaire : attribution ne vaut pas encore violation. (Nations Unies)

Le troisième ensemble, APT28, est encore plus révélateur des formes contemporaines de pratique. APT28 est le nom donné par de nombreux acteurs à une menace associée au GRU russe. L’Union européenne a rappelé en 2024 qu’elle avait imposé dès 2020 des sanctions contre des personnes et entités responsables des attaques APT28 contre le Bundestag allemand en 2015. Le Conseil de l’Union européenne précisait en octobre 2020 que cette cyberattaque avait visé le système d’information du parlement allemand, affecté son fonctionnement pendant plusieurs jours et conduit au vol d’une quantité significative de données, y compris des courriels de députés, dont ceux d’Angela Merkel. (Consilium)

APT28 illustre un phénomène juridique important : la consolidation de la pratique par mesures restrictives, déclarations conjointes et condamnations multilatérales. On n’est pas ici dans le jugement international, mais dans quelque chose de presque intermédiaire entre diplomatie, renseignement et droit. Les sanctions de l’Union européenne n’ont pas la même nature qu’une décision de la Cour internationale de Justice ; pourtant, elles constituent une pratique officielle par laquelle des États ou une organisation régionale expriment une attribution, identifient des responsables, et attachent à cette appréciation des conséquences juridiques concrètes dans leur ordre de sanctions. Cette pratique ne remplace pas l’argumentation doctrinale sur les Articles de la CDI, mais elle montre comment la responsabilité cyber se manifeste aujourd’hui dans le réel : moins par contentieux universel, davantage par attribution publique + coalition diplomatique + sanctions ciblées. (Consilium)

Ce point appelle une remarque plus profonde. Dans le cyberespace, la responsabilité internationale étatique est souvent pratiquée sans être totalement judiciarisée. Les États attribuent publiquement, condamnent, expulsent des diplomates, imposent des sanctions, activent des mécanismes de solidarité, renforcent leurs mesures défensives, parfois prennent des contre-mesures discrètes, mais sans toujours exposer en détail le syllogisme juridique complet reliant articles de la CDI, normes substantielles violées et régime de réparation. Cette forme de pratique n’est pas un simple déficit de droit ; elle traduit aussi un calcul stratégique. Les États veulent préserver leurs sources de renseignement, éviter d’exposer certaines capacités, garder une marge de manœuvre diplomatique, et ne pas figer trop tôt des doctrines sur des seuils encore débattus. (Nations Unies)

La conséquence est la suivante : les Articles de la CDI restent la grammaire juridique de référence, mais la pratique cyber en donne pour l’instant une mise en œuvre partielle, fragmentaire et pragmatique. L’article 4 fonctionne relativement bien lorsqu’un service de renseignement ou une unité militaire est publiquement nommé. L’article 8 devient crucial pour les groupes intermédiaires ou hybrides. Les articles 16 à 18 offrent des outils puissants pour penser les soutiens, coordinations ou coercitions interétatiques. Les articles relatifs aux conséquences permettent de conceptualiser cessation, garanties de non-répétition, réparation et contre-mesures. En revanche, ce qui manque encore souvent dans la pratique, c’est la formalisation publique exhaustive du lien entre ces mécanismes et une obligation primaire déterminée. (Nations Unies)

Sur le plan doctrinal, cela explique pourquoi le débat sur la souveraineté, la non-intervention, le recours à la force et l’attaque armée demeure si important. Les Articles de la CDI répondent à la question : que se passe-t-il si un État a commis un fait internationalement illicite ? Mais ils ne disent pas eux-mêmes quelles sont toutes les obligations primaires applicables aux cyberopérations. Celles-ci doivent être trouvées dans la Charte des Nations unies, le droit coutumier, le droit humanitaire, les droits de l’homme ou des régimes conventionnels particuliers. La CDI donne donc la structure ; le contenu normatif de la violation vient d’ailleurs. C’est ce partage entre règles secondaires et règles primaires que la CDI souligne expressément dans son commentaire général. (Nations Unies)

Philosophiquement, le cyberespace révèle ici une tension classique du droit international : il ne manque pas forcément de normes, mais de conditions d’effectivité démonstrative. Le problème n’est pas toujours l’absence de règle ; c’est souvent la difficulté à prouver, à exposer, à partager des preuves sans compromettre des capacités, puis à convertir une conviction stratégique en qualification juridique suffisamment robuste pour soutenir une réaction internationale coordonnée. En ce sens, le cyber n’abolit pas la responsabilité étatique ; il la rend plus probatoire, plus graduelle, plus diplomatique et parfois plus opaque. Cette lecture est une inférence analytique, mais elle est fortement soutenue par la manière dont les États utilisent aujourd’hui l’attribution publique, les sanctions et les prises de position doctrinales. (GOV.UK)

En définitive, l’étude croisée des Articles de la CDI et de la pratique montre trois choses. Premièrement, la responsabilité étatique dans le cyberespace repose déjà sur un socle juridique solide : attribution, violation, conséquences. Deuxièmement, la difficulté principale n’est pas théorique mais opératoire : établir l’imputation, qualifier la norme violée, calibrer la réponse. Troisièmement, des affaires comme NotPetya, SolarWinds et APT28 montrent que la pratique internationale se densifie, non pas encore principalement par contentieux judiciaires, mais par déclarations officielles, sanctions, positions doctrinales étatiques et coalitions d’attribution. Les Articles de la CDI ne sont donc pas périphériques au cyber ; ils en sont, pour l’instant, l’ossature juridique la plus stable. (Nations Unies)