Alors que les cyberattaques se sont multipliées au cours des dernières années, l’OTAN vient d’actualiser sa position sur leur signification et la réponse à leur apporter. Désormais, des cyberattaques répétitives pourront être considérées comme une attaque armée.

L’OTAN, qui a tenu un sommet à Bruxelles, a publié un communiqué décrivant comment elle réagira aux menaces pour la sécurité nationale. Parmi ces menaces, on retrouve les cyberattaques. Ces dernières se sont multipliées au cours des dernières années : le distributeur de carburant américain a versé une rançon de 4 millions de dollars suite à une attaque de ransomware tandis que le conditionneur de viande JBS, américain également, a versé 11 millions de dollars à des pirates. Avant ça, l’affaire SolarWinds avait compromis la cybersécurité de nombreuses entreprises occidentales. Cette affaire a été attribuée à la Russie, qui a également été accusée d’avoir provoquée l’épidémie de ransomware NotPetya. De son côté, la Corée du Nord a été accusée de l’attaque de ransomware WannaCry remontant à 2017.

Face à la multiplication de ces attaques, l’OTAN a décidé de statuer sur le traitement des cyberattaques afin de savoir comment réagir les prochaines fois. L’organisation a ainsi entériné sa politique globale de cyberdéfense. Selon cette dernière, l’OTAN traitera chacune des cyberattaques au cas par cas et pourra, dans les cas les plus sérieux, les considérer au même titre qu’une attaque armée. Dans son communiqué, l’organisation explique : “Pour faire face à ce défi en constante évolution, nous avons approuvé aujourd’hui la politique globale de cyberdéfense de l’OTAN, qui soutiendra les trois tâches essentielles de l’OTAN ainsi que sa posture globale de dissuasion et de défense, et renforcera encore notre résilience […] Nous réaffirmons qu’une décision quant au moment où une cyberattaque conduirait à l’invocation de l’article 5 serait prise par le Conseil de l’Atlantique Nord au cas par cas. Les Alliés reconnaissent que l’impact de cyberactivités cumulatives malveillantes importantes pourrait, dans certaines circonstances, être considéré comme équivalent à une attaque armée.» L’article 5 fait référence à la règle de la défense collective.

On peut lire dans le communiqué que l’organisation s’engage à imposer des coûts à ceux qui nous font du mal. Avec ce texte, l’OTAN se donne les armes légales pour pouvoir réagir plus efficacement à une cyberattaque à l’avenir. Cependant, ce premier texte, délibérément vague, n’aura certainement que peu de répercussions. Cela notamment, car il est difficile d’établir avec certitude qu’une cyberattaque est sponsorisée par un État ou s’il s’agit d’un groupe de hackers indépendants. Jusqu’à présent les États membres se sont contentés de nommer les coupables sans réellement les sanctionner. Le communiqué de l’OTAN reflète toutefois une prise au sérieux de la menace et une volonté d’agir qui pourrait se traduire par des textes plus ambitieux à l’avenir.