Close
  • Français
  • English

Due diligence : un principe au cœur de la lutte contre les rançongiciels et la cybercriminalité

“Even as it is criminal actors who are taking these actions against the United States or entities — private-sector entities in the United States, even as — even without the engagement of the Russian government, they still have a responsibility”[1]

 

Introduction

« Responsible countries need to take action against criminals who conduct ransomware activities on their territory”[1]. Les paroles de Joe Biden prononcées à l’occasion de sa rencontre avec le Président Poutine sur les bords du lac Léman en juin 2021 sonnent-elle la fin d’une ère? Les Etats pourront-ils encore longtemps héberger impunément des groupes cybercriminels?

Alors que les rançongiciels font des ravages à travers le monde et paralysent le fonctionnement d’infrastructures critiques comme en témoigne encore l’attaque récente Colonial Pipeline[2] ou la crise du COVID-19 marquée par un développement alarmant d’actes cyber-malveillants dirigés contre le secteur des soins et de santé[3], la question du respect par les Etats de leur obligation de due diligence à l’égard des activités criminelles conduites depuis leur territoire ainsi que celle de leur responsabilité en cas de manquement ne peuvent plus être différées.

Par intérêt, par lâcheté, par négligence ou même par ignorance, certains Etats ont laissé se développer et prospérer sur leur territoire des groupes criminels qui développent des rançongiciels et autres outils cyber-malveillants afin de lancer leurs propres attaques ou les monnayer à prix d’or sur un marché particulièrement lucratif et bienveillant. Économiques, politiques, ou stratégiques, les finalités de ces attaques sont multiples et se chevauchent parfois, certains Etats n’hésitant pas à utiliser ces acteurs privés comme de véritables ‘proxies’.

Dans un cyberespace où les crises s’enchainent, où la lutte contre les rançongiciels et la cybercriminalité devient une priorité en termes de sécurité nationale et internationale, le principe de due diligence est appelé à jouer un rôle central en rappelant aux Etats leur obligation non seulement de prévenir de telles activités mais aussi de les réprimer.

 

Obligation de diligence à l’égard des activités criminelles et souveraineté des Etats dans le cyberespace

A l’instar des paradis fiscaux, de nouveaux paradis, des « cyber-paradis » se sont développés dans l’ombre tutélaire d’Etats souverains. Souveraineté ne devrait pourtant pas rimer avec impunité. Si la souveraineté est en effet un principe protecteur qui confère aux Etats « le droit exclusif d’exercer les activités étatiques » sur leur propre territoire, elle a aussi « pour corollaire un devoir : l’obligation de protéger à l’intérieur du territoire, les droits des autres Etats, en particulier leur droit à l’intégrité et à l’inviolabilité en temps de paix et en temps de guerre »[4].

Ce devoir qu’ont les Etats de veiller à ce que leur territoire ne soit pas utilisé pour porter atteinte aux Etats tiers a été affirmé à maintes reprises par le juge international. Son expression la plus fameuse est sans doute le dictum de la Cour internationale de Justice dans son arrêt du Détroit de Corfou, qui énonce « l’obligation, pour tout Etat, de ne pas laisser utiliser son territoire aux fins d’actes contraires aux droits d’autres Etats » [5].

En vertu de leur souveraineté, les Etats ont ainsi une obligation de vigilance, de due diligence, à l’égard des activités se déroulant sur leur territoire ou sous leur contrôle et, en cas de manquement à cette obligation, ils peuvent, dans certains cas, être considérés comme responsables des dommages causés aux autres Etats.

L’obligation de ne pas laisser utiliser son territoire aux fins d’actes contraires aux droits d’autres Etats s’impose ainsi aux Etats quel que soit l’auteur de l’activité mais également quelle que soit la nature de l’activité concernée, qu’il s’agisse d’une activité de haute ou de basse technologie, physique ou numérique. Dans son rapport de 2015, le Groupe d’Experts Gouvernementaux des Nations Unies sur la cybersécurité (GGE), sans nommer expressément le principe de due diligence, l’exprime ainsi à plusieurs reprises. Il affirme notamment que les Etats « devraient veiller à ce que des acteurs non étatiques n’utilisent pas leur territoire pour commettre » (…) « des faits internationalement illicites à l’aide des technologies de l’information »  et qu’ils « ne devraient pas permettre sciemment que leur territoire soit utilisé pour commettre des faits internationalement illicites à l’aide des technologies de l’information et des communications »[6]. Ces références implicites au principe de due diligence ont été réitérées pratiquement mot pour mot par le GGE dans son dernier rapport adopté au mois de mai de cette année[7] et de nombreux Etats, dont la France[8] mais aussi l’Union Européenne, ont clairement et explicitement affirmé l’importance de ce principe dans le cyberespace.

La question n’est donc pas de savoir si les Etats ont ou non une obligation de ne pas laisser sciemment leurs infrastructures numériques être utilisées pour développer des rançongiciels ou commettre des actes cybercriminels contre d’autres Etats, tant il est évident que l’obligation existe. La question est plutôt de savoir jusqu’où et comment cette obligation s’impose aux Etats dans la lutte contre la cybercriminalité.

 

Connaissance, Capacité, Risque, Dommage : les 4 points cardinaux du principe de due diligence dans la lutte contre la cybercriminalité

L’obligation de due diligence est une obligation de comportement et non une obligation de résultat. Elle exige que les Etats soient raisonnablement vigilants à l’égard des activités cybercriminelles qui se développent sur leur territoire.

L’appréciation du caractère raisonnable de cette vigilance va ainsi dépendre des circonstances de chaque cas d’espèce et d’une série de facteurs que l’on peut nommer « facteurs de variabilité ». Pour déterminer si un Etat est raisonnablement vigilant à l’égard des activités cybercriminelles qui se développent sur son territoire, il convient donc d’évaluer au par cas chacun de ces facteurs de variabilité et notamment les quatre principaux : la connaissance, la capacité, le risque et le dommage.

*Connaissance. La connaissance est un élément clé́ sans lequel il ne peut y avoir d’obligation de due diligence. Dans l’espace numérique, cette connaissance peut soulever certaines interrogations et être source d’inquiétudes. En effet, la rapidité et la furtivité des activités qui s’y développent mais également leur caractère essentiellement privé rendent difficile cette connaissance, a fortiori lorsque ces activités ne font que transiter par les infrastructures numériques d’un Etat.

Il convient néanmoins de souligner que l’exercice par les Etats de leur souveraineté territoriale ne signifie pas que les Etats doivent nécessairement savoir tout ce qui se passe sur leur territoire. La connaissance par un Etat de groupes cybercriminels situés sur son territoire ou lançant des cyber-attaques contre un Etat tiers depuis ses infrastructures ne peut ainsi être présumée. Mais inversement, il va de soi que les Etats souverains ne peuvent pas, raisonnablement, méconnaître tout ce qui se passe sur leur territoire.

Une question qui se pose avec une acuité particulière dans l’espace numérique est donc de déterminer dans quelle mesure un Etat souverain ‘sait’, ‘doit savoir’, ‘devrait savoir’, ‘aurait dû savoir’ ou ‘devrait chercher à savoir’ et ceci notamment en surveillant les activités qui se déroulent sur son territoire.

Connaissance et surveillance. La relation étroite entre connaissance et surveillance a été largement abordée par le juge international, notamment en matière de droits de l’homme. Il en ressort que si les Etats doivent exercer un contrôle sur les activités qui se développent sur leur territoire, notamment pour lutter contre les groupes cybercriminels, ceci ne signifie pas pour autant qu’ils soient autorisés à user d’un tel prétexte pour développer une surveillance de masse et éroder certaines libertés essentielles, et notamment le droit à la vie privée et au respect des correspondances.

Connaissance et notification. Une deuxième question importante soulevée par la connaissance dans la lutte contre la cybercriminalité est de savoir à quel moment un Etat est réputé savoir, notamment lorsque cette ‘connaissance’ résulte d’une notification faite par un Etat tiers. Les Etats-Unis ont largement insisté sur ce fait, le Président Biden déclarant à propos de Vladimir Poutine : “I made it very clear to him that the United States expects when a ransomware operation is coming from his soil, even though it’s not sponsored by the state, we expect them to act if we give them enough information to act on who that is[12].

Dans la lutte contre la cybercriminalité, la notification peut en effet constituer un moyen intéressant de porter à la connaissance d’un État des activités développées ou transitant par son territoire. Le processus de notification peut néanmoins soulever certaines interrogations et difficultés. Ceux qui notifient, à savoir le plus souvent les États victimes, doivent-ils, par exemple, apporter certains éléments permettant d’accréditer cette notification? Peut-on par ailleurs considérer, à l’instar du Président Biden, qu’un État « ne peut pas ne pas savoir » lorsqu’il en a été informé par un Etat tiers? Dans son dernier rapport adopté au mois de mai 2021, le Groupe d’Experts des Nations Unies sur la cybersécurité s’est montré plus modéré. Après avoir souligné qu’un État touché par une activité cyber-malveillante devrait notifier à l’État d’où émane l’activité et que l’État notifié devrait accuser réception de cette notification (et faire tout effort raisonnable pour aider à établir si un fait internationalement illicite a été commis), le rapport considère néanmoins que le fait d’accuser réception de cette notification n’indique pas que l’Etat est d’accord avec les informations qu’elle contient[13].

*Capacité. Les États ne disposent pas des mêmes capacités pour prévenir l’utilisation de leurs infrastructures numériques par les cybercriminels. Les différences de capacité entre les Etats sont en effet particulièrement criantes dans l’espace numérique. Cette situation peut être source d’incertitude, certains Etats pouvant craindre que l’obligation de due diligence ne leur impose un fardeau trop lourd et ne les expose trop facilement aux réactions d’Etats tiers. Cette préoccupation, quoique légitime, ne doit toutefois pas être surestimée. En effet, la capacité est un critère largement admis dans l’interprétation et l’application de l’obligation de diligence. Plusieurs éléments peuvent être retenus pour évaluer la capacité d’un Etat, qu’il s’agisse par exemple de son niveau économique et de développement ou encore de l’accès aux connaissances et capacités techniques nécessaires.

Capacité et responsabilité commune mais différenciée. Pourrait-on néanmois aller plus loin et emprunter au droit de l’environnement le principe de « responsabilité commune mais différenciée » pour désigner ce facteur de variabilité relatif aux capacités des États dans l’espace numérique? L’obligation serait différenciée dans la mesure où les États ont des capacités différentes mais elle serait également commune car, comme l’a notamment relevé le Groupe d’Experts des Nations Unies sur la cybersécurité, « Les différences de capacités d’un État à un autre en matière de sécurité informatique peuvent aggraver la vulnérabilité d’un monde interconnecté »[14].

Si l’analogie avec la notion de « responsabilité commune mais différenciée» est sans doute intéressante en matière de lutte contre la cybercriminalité, il convient néammoins de rappeler que, quelles que soient les inégalités de capacité, les États sont souverains dans le cyberespace et la surveillance des infrastructures et des activités qui y sont développées est « un attribut naturel de tout gouvernement »[15]. On pourrait par ailleurs ajouter qu’un autre attribut essentiel de tout gouvernement, quelles que soient ses capacités, est la fonction législative: tout Etat souverain peut, a minima, se doter d’une législation pénalisant les activités cybercriminelles.

*Risque. Il est généralement admis que le degré de diligence doit être proportionné au degré de risque de dommages transfrontières. Selon une jurisprudence qui semble désormais bien établie, « le niveau de diligence requis doit être plus rigoureux pour les activités les plus risquées » [16]. Au regard du développement spectaculaire des actes de malveillance dans l’espace numérique et notamment des rançongiciels visant les infrastructures critiques, il apparaît que les activités numériques constituent des activités à haut risque appelant les Etats à une vigilance accrue.

*Dommage. Tout risque de dommage n’est pas forcément couvert par l’obligation de diligence. Le dommage doit en effet atteindre un certain seuil de gravité et c’est du reste la combinaison du risque et du dommage qui permet d’évaluer le degré de vigilance que les Etats se doivent d’apporter à une activité donnée. Ni le seuil ni le degré de gravité du dommage n’ont toutefois fait l’objet d’une attention particulière dans les rapports du Groupe d’Experts des Nations Unies sur la cybersécurité, ces derniers évoquant de manière assez vague « l’éventualité de dommages »[17] pour les biens, l’économie et les ressortissants des États. En revanche, une attention particulière est aujourd’hui portée aux « infrastructures critiques » et autres infrastructures dites essentielles ou vitales dont la destruction ou l’incapacité affaiblit substantiellement la défense ou la sécurité nationale d’un Etat. Lors de leur rencontre sur les bords du Léman, le Président Biden a ainsi dressé une véritable ligne rouge en donnant à Vladimir Poutine la liste des 16 secteurs d’infrastructures critiques américains dont l’attaque pourrait entrainer une riposte. Si les Etats-Unis n’ont pas précisé le contenu de cette riposte, la déclaration américaine sonne comme une sérieuse mise en garde : “if the Russian government cannot or will not take action against criminal actors residing in Russia, we will take action or reserve the right to take action on our own”[18].

 

Prévention, Répression, Notification, Coopération : due diligence et obligations d’action dans la lutte contre la cybercriminalité

L’obligation de due diligence impose aux Etats, qui ont connaissance d’activités cybercriminelles développées sur leur territoire contre des Etat tiers, de prendre les mesures raisonnables pour mettre fin à ces activités. Cette obligation a été rappelée à de multiples reprises ces derniers mois en lien notamment avec les attaques de rançongiciels. C’est ainsi, par exemple, que dans le cadre de la crise du COVID-19 et des attaques conduites contre des infrastructures médicales et hospitalières, le Danemark, la Finlande, l’Islande, la Norvège et la Suède ont adopté une déclaration conjointe dans laquelle ils appellent les États à faire preuve de diligence raisonnable et à prendre les mesures appropriées contre les cyber-activités malveillantes développées depuis leur territoire[19]. Cette déclaration fait écho à celle du Haut Représentant Josep Borrell faite au nom de l’Union Européenne sur les cyber-activités malveillantes exploitant la pandémie de coronavirus par laquelle l’Union Européenne et ses États membres « appellent chaque pays à faire preuve de due diligence et à prendre les mesures appropriées contre les acteurs menant de telles activités » [20].

Si la due diligence comporte indiscutablement une obligation d’agir en vue de faire cesser les activités qui portent atteinte aux droit d’Etats tiers, certaines questions importantes demeurent néanmoins : la due diligence implique-t-elle une obligation de notification voire de coopération? Implique-t- elle une obligation de prévention et de répression ?

En ce qui concerne l’existence d’une obligation de prévention voire de répression, il convient de noter que le Manuel de Tallinn 2.0[21] rejette catégoriquement l’idée selon laquelle l’obligation de diligence comprend une dimension de prévention ou de répression. Une telle position est étonnante dans la mesure où il n’existe aucun obstacle « structurel » ou théorique à ce que l’obligation de diligence comprenne une telle dimension et, de surcroît, alors que la jurisprudence internationale regorge d’exemples dans lesquels le devoir de prévention (mais aussi de poursuites) a été clairement et expressément affirmé en relation avec des obligations de diligence requise. A la lueur de ces deux éléments, on ne voit guère comment et pourquoi le principe de due diligence devrait, dans le cyberespace et notamment en matière de cybercriminalité, être amputé de ces deux volets. On pourrait même estimer que la première mesure que les Etats peuvent prendre adopter dans la lutte contre la cybercriminalité, et ce quelle que soit leur capacité, est de prévenir et réprimer ces actes en légiférant pour les prohiber et en se dotant de l’arsenal législatif nécessaire à la poursuite et à la répression de leurs auteurs. Comme le soulignait récemment le Canada à l’occasion de la première réunion officielle du Conseil de sécurité dédiée à la paix et à la sécurité dans le cyberspace : « Criminal actors who engage in ransomware and other criminal activities live in and work from States. They use States’ digital infrastructure to undertake their malicious activity. They are subject to those States’ laws. When informed of potential malicious activity emanating from their territory, States have a responsibility to respond, enforcing their laws (…)”[22].

En ce qui concerne la notification et la coopération, une certaine prudence s’impose. Affirmer qu’incomberait systématiquement à l’Etat qui réalise que des activités cybercriminelles sont conduites sur son territoire « une obligation de notification » vis-à-vis des Etats potentiellement victimes signifierait que nous serions devant une obligation de résultat. Or, les obligations de diligence ne sont, par définition, que des obligations de comportement. Les Etat ont donc le choix des moyens pour essayer de mettre fin au risque connu pour la sécurité de l’Etat tiers et, si la notification voire la coopération avec l’Etat tiers sont sans doute des moyens privilégiés, ils ne sont toutefois pas les seuls. Si l’Etat adopte d’autres mesures pour prévenir les actes cyber-criminels et/ou mettre fin à ceux-ci, la notification pourrait alors ne pas être nécessaire. Ceci étant dit, il apparait que, dans certaines situations, la notification pourrait être le seul moyen de prévenir la survenance du dommage ou d’en atténuer les conséquences.  Compte tenu de la nature de l’espace numérique et du caractère potentiellement dévastateur des cyberattaques, les Etats devraient sans doute utiliser largement la notification, sans quoi il pourrait être conclu qu’ils n’ont pas pris les mesures « raisonnables » à leur disposition pour prévenir/ faire cesser la cyberattaque.

Certains Etats, comme le Canada ou les Etats-Unis semblent considérer que les Etats ont aussi une obligation de coopération dans la lutte contre la cybercriminalité. Ainsi, selon le Canada “when informed of potential malicious activity emanating from their territory, States have a responsibility to respond, enforcing their laws and cooperating with other States”[23]. Si la coopération entre les Etats apparaît particulièrement souhaitable dans certains cadres, il n’est néanmoins pas certain qu’elle découle directement du principe de due diligence. Par ailleurs, compte tenu de certaines difficultés de coopération inhérentes au cyberespace (notamment celle liée à la volonté de ne pas dévoiler à des tiers l’expertise technologique d’un Etat en matière de cybersécurité) ou des relations parfois extrêmement compliquées entre les Etats, la coopération pourrait s’avérer beaucoup plus difficile qu’une notification qui est à la portée de tous.

 

Violation de l’obligation de due diligence et responsabilité des Etats : un contournement opportun du problème de l’attribution

La violation par un Etat de son obligation de due diligence à l’égard des activités cybercriminelles pourrait constituer un acte illicite international engageant la responsabilité de celui-ci. A cet égard, il est intéressant de remarquer que, alors que l’attribution constitue l’un des problèmes les plus épineux pour engager la responsabilité des Etats dans le cyberespace, ce problème d’attribution est en partie contourné lorsqu’il s’agit d’engager cette responsabilité sur le fondement de l’obligation de due diligence.

La pratique en matière de cybercriminalité et de rançongiciels illustre en effet qu’il est parfois délicat de qualifier d’« acte illicite international » une cyberattaque lancée depuis un État : soit parce qu’il est très difficile, pour des raisons techniques, juridiques ou politiques d’attribuer la cyberattaque à l’Etat, soit parce qu’il est difficile de déterminer avec précision la règle violée, soit pour les deux raisons à la fois.

L’application dans l’espace numérique du standard de diligence due permet de contourner en grande partie ces difficultés, sans, bien entendu, les résoudre toutes. Etablir qu’un Etat a violé ses obligations de diligence ne suppose en effet pas nécessairement l’attribution de la cyberattaque à cet Etat en utilisant les mécanismes classiques d’imputation. Il est en fait relativement indifférent que l’activité en question ait été commise par un organe de l’Etat, un agent agissant ultra vires ou en dehors de ses fonctions, un ‘proxy’, un intermédiaire, un groupe de ‘hackers patriotiques’, des terroristes, la mafia, des cybercriminels ou encore une entreprise voulant tirer un avantage concurrentiel. La seule chose qui importe au regard du principe de due diligence est de savoir si les éléments constitutifs de sa violation sont présents, et ceci quel que soit l’auteur de l’attaque : l’Etat savait-il ou aurait-il dû savoir que ses infrastructures étaient utilisées pour lancer une cyberattaque causant un dommage d’une certaine gravité à un autre Etat? A-t-il manqué à son obligation de prendre les mesures raisonnables dont il disposait pour prévenir le dommage? Si la réponse est positive, la responsabilité de l’Etat pourrait être engagée quel que soit l’auteur des actes. Comme le soulignait ainsi récemment le Japon, “we recognize the difficulty of attributing cyber operations to a State. The due diligence obligation may provide grounds for invoking the responsibility of the State from the territory of which a cyber operation not attributable to any State originated.”[24].

Naturellement, cela ne signifie pas que les nombreuses difficultés techniques relatives à l’origine et au mode opératoire des cyberattaques disparaissent comme par miracle. Pour démontrer l’existence d’une violation de l’obligation de diligence, des preuves techniques sont nécessaires, notamment celles permettant de démontrer que la cyberattaque émane bien du territoire de l’Etat en question (ou y a transité) et que ce dernier avait (ou aurait dû) avoir connaissance de cette situation, disposait des moyens raisonnables pour y mettre fin (ou au moins en atténuer les conséquences) et n’a rien fait à cet égard. Ces difficultés technico- juridiques, combinées à d’autres difficultés inhérentes à la nature même de la due diligence, pourraient rendre la preuve de la violation d’une telle obligation de vigilance dans le cyberespace particulièrement difficile.

Conclusion

Le principe de due diligence affirme la responsabilité première des Etats à l’égard des activités développées sur leur territoire et conduites tant par des personnes publiques que par des acteurs privés. Il définit un standard de comportement raisonnable des Etats dans la prévention et la répression des activités cybercriminelles développées depuis leur territoire tout en permettant dans une certaine mesure de contourner l’épineux problème de l’attribution. Si ce principe n’est évidemment pas le seul outil juridique que les Etats devraient mobiliser pour lutter contre le fléau des attaques par rançongiciels, il contribue à l’émergence d’un comportement responsable des États et est, en cela, un outil précieux dans la lutte contre la cybercriminalité.

 

[1] Remarks by President Biden in Press Conference, Hôtel du Parc des Eaux-Vives, Geneva, Switzerland, June 16, 2021, https ://www.whitehouse.gov/briefing-room/speeches-remarks/2021/06/16/remarks-by-president-biden-in-press-conference-4/

[2] Le 7 mai 2021, Colonial Pipeline (un système d’oléoduc américain transportant des hydrocarbures de Houston, Texas, vers le sud-est des États-Unis principalement) a été visé par une cyberattaque de rançongiciel. Cette cyberattaque, qui a entraîné l’interruption totale des activités jusqu’au 13 mai 2021 et causé une pénurie sur la côte Est des États-Unis, est la plus importante jamais menée contre une infrastructure pétrolière américaine. La direction de l’entreprise a indiqué avoir versé 4,4 millions de dollars aux pirates informatiques afin de rétablir son activité. https://www.lemonde.fr/pixels/article/2021/05/10/comment-un-rancongiciel-a-seme-la-panique-dans-un-grand-reseau-d-oleoducs-aux-etats-unis_6079752_4408996.html

[3] Depuis le début de la pandémie, les organisations de santé sont une cible majeure des attaques de rançongiciels. En France, les hôpitaux de Dax, Villefranche-sur- Saône, Oloron Sainte-Marie et Saint Gaudens ont ainsi été visés. https://www.usine-digitale.fr/article/l-hopital-de-saint-gaudens-touche-par-un-ransomware-les-tests-covid-19-interrompus.N1081059

[4] Affaire de l’Île de Palmas, États-Unis c. Pays-Bas, Sentence arbitrale du 4 avril 1928, p.8.

[5] Affaire du Détroit de Corfou, arrêt du 4 avril 1949, CIJ Recueil, 1949, p. 22.

[6] Groupe d’experts gouvernementaux chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale, rapport de 2015, Note du Secrétaire général, A/70/174, 22 juillet 2015. https://undocs.org/fr/A/70/174

[7] Report of the Group of Governmental Experts on Advancing responsible State behaviour in cyberspace in the context of international security, Letter of transmittal, Advance Copy, May 28, 2021. https://front.un-arm.org/wp-content/uploads/2021/06/final-report-2019-2021-gge-1-advance-copy.pdf

[8] Ministère des Armées, Droit international appliqué aux opérations dans le cyberespace, Septembre 2019.

[9] Voir à cet égard la position exprimée par Israël in Roy Schöndorf (Israeli Attorney General-International law), ‘Israel’s perspective on Key legal and Practical Issues Concerning the Application of International Law to Cyber Operations’, EJIL: Talk!, 9 dec. 2020, https://www.ejiltalk.org/israels-perspective-on-key-legal-and-practical-issues-concerning-the-application-of-international-law-to-cyber-operations/

[10] Voir la position exprimée encore récemment par le Royaume-Uni in: United Kingdom of Great Britain and Northern Ireland, Application of International Law to States’ Conduct in Cyberspace United Kingdom Statement, United Nations Group of Governmental Experts on Advancing Responsible State Behaviour in Cyberspace in The Context Of International Security, 3 juin 2021, https://www.gov.uk/government/publications/application-of-international-law-to-states-conduct-in-cyberspace-uk-statement

[11] Voir à cet égard notre analyse in Karine Bannelier, « Obligations de due diligence dans le cyberespace : Qui a peur de la cyber-diligence ? », Revue Belge de Droit International, 2017, pp. 612-665.

[12] BBC News, Biden vows US action over Russian cyber-attacks, July 10, 2021. https://www.bbc.com/news/world-us-canada-57786302

[13] Report of the Group of Governmental Experts on Advancing responsible State behaviour in cyberspace in the context of international security, Letter of transmittal, Advance Copy, May 28, 2021, p. 7 (An affected State should notify the State from which the activity is emanating. The notified State should acknowledge receipt of the notification to facilitate cooperation and clarification and make every reasonable effort to assist in establishing whether an internationally wrongful act has been committed. Acknowledging the receipt of this notice does not indicate concurrence with the information contained therein). https://front.un-arm.org/wp-content/uploads/2021/06/final-report-2019-2021-gge-1-advance-copy.pdf

[14] Groupe d’experts gouvernementaux chargé d’examiner les progrès de l’informatique et des télécommunications dans le contexte de la sécurité internationale, rapport de 2015, Note du Secrétaire général, A/70/174, 22 juillet 2015. https://undocs.org/fr/A/70/174

[15] CDI, « Projet d’articles sur la prévention des dommages transfrontières résultant d’activités dangereuses et commentaires y relatifs », op. cit., art. 3, commentaires §17, p. 426.

[16] En 2011, dans son avis consultatif sur les Responsabilités et obligations des Etats dans le cadre d’activités menées dans la Zone, le Tribunal du droit de la mer a estimé que « cette notion peut également changer en fonction des risques encourus par l’activité »  et que « le niveau de diligence requise doit être plus rigoureux pour les activités les plus risquées ».

[17] GGE, rapport de 2015, Note du Secrétaire général, A/70/174, 22 juillet 2015.

[18] Press Briefing by Press Secretary Jen Psaki, July 6, 2021. https://www.whitehouse.gov/briefing-room/speeches-remarks/2021/07/06/press-briefing-by-press-secretary-jen-psaki-july-6-2021/

[19] Conseil de Sécurité, Arria Formula Meeting on Cyber stability and conflict prevention, Joint statement from Denmark, Finland, Iceland, Sweden and Norway by Ambassador Mona Juul at the Arria-meeting on Cyber stability and conflict prevention, 22 May 2020. https://www.norway.no/en/missions/UN/statements/security-council/2020/arria-cyber-stability-and-conflict-prevention

[20] European Council, Declaration by the High Representative Josep Borrell, on Behalf of The European Union, on Malicious Cyber Activities Exploiting the Coronavirus Pandemic, April 30, 2020. https://www.consilium.europa.eu/en/press/press-releases/2020/04/30/declaration-by-the-high-representative-josep-borrell-on-behalf-of-the-european-union-on-malicious-cyber-activities-exploiting-the-coronavirus-pandemic/

[21] M.N. SCHMITT (ed.), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge, CUP, 2017, 598 p.

[22] United Nations Security Council, Open Debate on Cyber Security, Maintaining international peace and security in cyberspace, Canada’s submission, June 29, 2021. https://www.international.gc.ca/world-monde/international_relations-relations_internationales/un-onu/statements-declarations/2021-06-29-cybersecurity-cybersecurite.aspx?lang=eng

[23] Canada Submission’s to the UNSC Open Debate on Cybersecurity, New-York, 29 juin 2021, https://www.international.gc.ca/world-monde/international_relations-relations_internationales/un-onu/statements-declarations/2021-06-29-cybersecurity-cybersecurite.aspx?lang=eng

[24] United Nations Security Council, Open Debate on Cyber Security, Maintaining international peace and security in cyberspace, Statement by Mr. AKAHORI Takeshi, June 29, 2021. https://www.un.emb-japan.go.jp/itpr_en/akahori062921.html