Convention de Genève numérique : pourquoi le droit international échoue dans le cyberspace

Hôpitaux, réseaux électriques, approvisionnement en eau – protégés dans la guerre physique par les Conventions de Genève. Dans le cyberspace : terrain libre. Alors que les États développent massivement leurs capacités offensives dans le domaine cybernétique, il manque toute règle contraignante pour l’espace de guerre numérique. Pourquoi cela est plus dangereux que la plupart des politiciens ne le comprennent.

L’essentiel

• Il n’existe aucun droit international contraignant pour le cyberspace – seulement des normes non contraignantes de l’ONU et le controversé Manuel de Tallinn
• Plus de 40 États possèdent des programmes cybernétiques offensifs – y compris des attaques sur les infrastructures civiles d’autres pays
• Le problème d’attribution rend impossible la dissuasion classique : qui a attaqué ? Les preuves ne sont souvent disponibles qu’après des mois
• La population civile n’est pas protégée dans la guerre cybernétique – les hôpitaux et les centrales électriques sont délibérément choisis comme cibles

La faille dans le droit international

En 1949, les États du monde se sont mis d’accord sur les Conventions de Genève : les attaques contre les civils, les hôpitaux et les établissements humanitaires sont interdites. Ces règles s’appliquent dans la guerre terrestre, la guerre maritime, la guerre aérienne. Dans le cyberspace ? Théoriquement oui – pratiquement non.

Le problème n’est pas que le droit international exclut les cyberattaques. La plupart des juristes argumentent que les règles existantes sont applicables. Le problème est : personne ne les respecte, personne n’est puni, et les règles sont écrites pour un domaine qui n’existait pas en 1949.

Lorsque le groupe Sandworm de la Russie a coupé le réseau électrique ukrainien en 2015 – en plein hiver, 230 000 personnes sans électricité – il s’agissait, selon toute mesure raisonnable, d’une attaque contre l’infrastructure civile. La réaction internationale ? Les diplomates ont exprimé leur « préoccupation ». Aucune sanction. Aucune conséquence.

Pourquoi la dissuasion classique échoue

Le problème d’attribution : Dans la guerre physique, il est clair qui a envoyé le char au-delà de la frontière. Dans le cyberspace, l’attribution prend des mois, parfois des années. Et même alors, il reste une plausible négation : « C’étaient des hackers patriotes, pas des fonctionnaires d’État. » La Russie, la Chine, l’Iran et la Corée du Nord exploitent systématiquement cette zone grise.

Asymétrie : Un petit pays technologiquement compétent peut infliger des dommages disproportionnés à une superpuissance dans le cyberspace. La Corée du Nord – un pays économiquement insignifiant – a amassé plus de 3 milliards de dollars grâce à des cyberattaques. Les équilibres de pouvoir classiques ne fonctionnent pas.

Risque d’escalade : Quand une cyberattaque devient-elle un acte de guerre ? Lorsque le réseau électrique est coupé ? Lorsque les hôpitaux sont paralysés ? Lorsque des personnes meurent ? Ce seuil n’est pas défini – et son ambiguïté est dangereuse car elle permet une escalade accidentelle.

Le Manuel de Tallinn – théorie sans pratique

Le Centre de défense coopérative cybernétique de l’OTAN en Estonie a entrepris avec le Manuel de Tallinn la tentative la plus ambitieuse d’appliquer le droit international au cyberspace. Le résultat : un ouvrage académique de 600 pages avec 154 règles. Important pour le débat juridique – irrélevant pour la réalité opérationnelle.

Aucun État n’a ratifié le Manuel de Tallinn. Aucun tribunal ne l’applique. Aucun agresseur ne s’y sent lié. C’est un brillant exercice de pensée sans effet pratique.

Ce dont une Convention de Genève numérique aurait besoin

Lignes rouges : Les attaques contre les infrastructures de santé, l’approvisionnement en eau potable et les réseaux énergétiques doivent être explicitement considérées comme des crimes de guerre – indépendamment de l’existence d’un état de guerre formel. Avec des conséquences claires : sanctions, poursuites pénales, éventuellement des réponses cinétiques.

Mécanisme d’attribution : Une instance internationale indépendante – comparable à l’OIAC pour les armes chimiques – qui enquête de manière neutre sur les cyberattaques et les attribue. Sans attribution crédible, il n’y a pas de dissuasion.

Armes interdites : Certains outils cybernétiques – malware de type Wiper contre les infrastructures civiles, attaques sur les appareils médicaux, manipulation des commandes des barrages – devraient être catégoriquement interdits, de manière similaire aux armes chimiques et biologiques.

Conclusion : Le monde a besoin de règles avant qu’il ne soit trop tard

Les Conventions de Genève ont été créées après les horreurs de deux guerres mondiales. La Convention de Genève numérique devrait précéder – avant qu’une cyberattaque ne conduise à un massacre. Les capacités technologiques existent déjà. Ce qui manque, c’est la volonté politique. Et chaque année sans règles augmente le risque que la première catastrophe cybernétique prenne le monde au dépourvu.

Faits clés

Programmes cybernétiques offensifs : Au moins 40 États possèdent des capacités cybernétiques offensives actives – seulement 12 d’entre eux se sont publiquement engagés à respecter des normes de comportement responsable.

Coût de l’inaction : Les cyberattaques contre les infrastructures critiques ont causé des dommages estimés à 45 milliards de dollars dans le monde en 2024 – sans aucune conséquence en droit international.

Questions fréquentes

Le droit international existant ne s’applique-t-il pas déjà dans le cyberspace ?

Théoriquement : Oui. La plupart des États reconnaissent que le droit international existant est applicable. Pratiquement : Les règles sont trop vagues, l’application inexistante et l’attribution trop incertaine pour des conséquences juridiques contraignantes.

La Russie ou la Chine accepteraient-elles une Convention de Genève numérique ?

À court terme : Improbable. À long terme : Même la Convention sur les armes chimiques a pris des décennies. Le processus commence avec des États « de même avis » et se transforme en norme mondiale par la fixation de normes, la pression économique et l’expérience de cas concrets.

Que peuvent faire les entreprises en attendant qu’il y ait des règles ?

Se préparer aux attaques sur les systèmes critiques comme si elles étaient inévitables. Segmentation OT, sauvegardes hors ligne, plans de réponse aux incidents testés et redondance pour les systèmes vitaux. Ceux qui attendent la réglementation attendent trop longtemps.

Articles connexes

• Cyber Warfare 2026 : quand les États se dotent d’armes numériques
• OT-Security 2026 : pourquoi l’industrie doit agir maintenant
• Guerre hybride et désinformation

Plus du réseau MBF Media

• Géopolitique et économie sur mybusinessfuture.com
• Perspectives stratégiques pour les décideurs sur digital-chiefs.de

Source de l’image : Pexels

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow