Jens Stoltenberg - Secrétaire général de l'Organisation du traité de l'Atlantique Nord

Le secrétaire général de l’OTAN, Jens Stoltenberg, a déclaré que les 29 pays membres réagiraient à une cyberattaque grave dirigée contre l’un d’entre eux.

Dans un article du Prospect Magazine, il a déclaré qu’un tel incident déclencherait un “engagement de défense collective“, appelé article 5 de son traité fondateur.

L’article 5 n’a pas été déclenché depuis les attaques terroristes du 11 septembre 2001 contre les États-Unis.

Les membres de l’OTAN comprennent les États-Unis, le Canada et de nombreux pays européens.

Nous avons désigné le cyberespace comme un domaine dans lequel l’OTAN agira et se défendra aussi efficacement que dans les airs, sur terre et en mer“, écrit-il dans son article.

Ce n’est pas la première fois que M. Stoltenberg fait cette affirmation.

À titre d’exemple d’incident cybernétique majeur, il a mentionné l’attaque de ransomware Wannacry de 2017 qui avait paralysé le NHS au Royaume-Uni et causé des ravages dans le monde entier, bien que cela n’ait pas déclenché l’article 5 à l’époque.

Le président des États-Unis, Donald Trump, a déjà critiqué l’alliance militaire vieille de 70 ans, affirmant que les États-Unis lui versent plus de fonds que tout autre pays membre.

L’idée qu’une attaque sur l’une d’elles soit une attaque contre tous s’appuie sur l’OTAN, mais son adaptation au cyberespace soulève des problèmes complexes.

Pendant la guerre froide, un lancement de missile ou une colonne de blindés auraient laissé peu de doute sur ce qui constituait une attaque.

Mais dans le cyber-monde, ce n’est pas toujours aussi facile.

Lorsque l’Estonie a vu son infrastructure envahie par le cyberespace en 2007, elle a été mise sur le compte de la Russie. Mais était-ce l’État russe ou des “hackers patriotes” opérant en Russie? Et sous la direction de qui?

Un autre problème est le seuil pour considérer quelque chose comme une attaque.

La Russie est accusée d’éteindre une centrale électrique en Ukraine (non membre de l’OTAN) en décembre 2015. L’invalidité de l’infrastructure est une possibilité pour atteindre le seuil de l’article 5.

Mais qu’en est-il de 2017, quand la Russie aurait lancé le virus informatique Notpetya contre l’Ukraine, mais qui s’est ensuite étendue à d’autres pays (y compris les membres de l’OTAN), causant des dommages à des entreprises pour un coût de plusieurs milliards de dollars?