À la sortie de la guerre froide, les États-Unis avaient valorisé les Tic pour leurs usages militaires. Le premier « concept stratégique » lié aux Tic a été celui de « révolution dans les affaires militaires » élaboré par la Rand Corporation en 1993-1994. L’idée que la guerre et les forces militaires allaient être transformées en profondeur par les systèmes d’information a permis d’accompagner les évolutions de l’armée américaine. C’est à l’aune de ce concept que la dimension informationnelle a été mise de l’avant tout au long de la décennie 1990, donnant naissance, au-delà du registre militaire, à la notion « d’âge de l’information ». Les deux outils discursifs qu’ont été la « révolution dans les affaires militaires » et « l’âge de l’information » ont illustré la puissance conceptuelle et technologique des États-Unis pendant cette décennie. À cette époque, tout en soulignant les bénéfices que pouvaient en retirer les acteurs non étatiques, les travaux universitaires mettaient principalement en avant le fait que le nouveau contexte stratégique dominé par les flux d’information renforçait la puissance des Étatsdéjà dominants par leurs capacités économiques et technologiques (Keohane et Nye 1998). L’effort réflexif s’est ensuite affaissé et les décennies qui ont suivi ont été marquées par une faible production quantitative d’écrits sur le cyberespace, hormis quelques exceptions (Fleury 2008). En 2011, Joseph Nye établissait le franc constat du retard de la réflexion universitaire (Nye 2011).

Dans le prolongement de la « révolution dans les affaires militaires », des concepts stratégiques sont apparus dans le cadre des groupes de réflexion (think tanks) aux États-Unis. Ainsi, celui de cyberwar (Arquilla et Ronfeldt 1993) en 1993 au sein de la Rand Corporation, celui de cybersecurity en 1997 dans l’État fédéral (Warner 2012) ou encore celui d’information weapon élaboré par la Fédération de Russie en 1999 et présenté dans le cadre des Nations Unies (Onu 1999). Ces éléments de langage se sont d’autant plus facilement imposés dans la langue commune internationale qu’ils ont été ensuite adoptés par les grands organismes internationaux. Ainsi, l’Assemblée générale des Nations Unies a adopté le 31 janvier 2003 la résolution ag 57/239 intitulée « Creation of a global culture of cybersecurity », le terme de « cybersécurité » s’imposant ensuite largement. L’Otan est aussi un grand pourvoyeur de concepts stratégiques cyber par le biais de son Centre d’excellence cyber spécialisé (ccdcoe) de Tallinn créé en 2008. La Croix-Rouge utilise depuis 2010 le terme de cyberwarfare (cicr 2010) et élabore des normes sur cette dimension. L’organisme des Nations Unies en charge du désarmement, l’Unidir, a créé l’année suivante un programme de recherches consacré à la cyberwar (Unidir 2011) alors que la notion de guerre cyber fait l’objet dans la communauté des chercheurs d’une forte contestation (Rid 2013 ; Gartzke 2013 ; Healey 2013). En dépit de cet exemple, le vide réflexif dans le champ des idées et des concepts a laissé la place aux « sécurocrates » (Sutherland 2011) des États les plus puissants, au secteur privé de la sécurité numérique et aux lobbyistes des groupes de réflexion. Ceux-ci ont produit de nombreux concepts stratégiques dont le principal résultat est de créer un brouillard autour du cyberespace à l’échelle internationale. Ce brouillard est d’autant plus épais que les définitions nationales sont bien souvent différentes, notamment entre les pays de l’anglosphère d’une part, et de la Russie et la Chine de l’autre (Giles et Hagestad II 2013).

D’autres auteurs ont contribué au constat de Nye (Herrera 2003 ; Eriksson et Giacomello 2006 ; Kello 2013), mais leurs travaux sont isolés. Plus globalement, on remarque que la science politique, à la différence de la sociologie et de l’économie, ne s’est intéressée que marginalement à la technologie (Taylor 2005 ; MacCarthy 2017)[4]. En fait, les « études de sciences et de technologies »[5] qui procèdent à l’origine de la sociologie de la science n’ont pas eu d’écho dans les Relations internationales (Balzacq-Ramel 2013). Seule la dimension nucléaire[6] a été abordée, mais avec une approche dominante très policy-relevant (Pélopidas 2019). Parmi ces enjeux, la théorie de la « paix technologique » incorpore pleinement la technologie, mais il s’agit d’une exception au sein des Relations internationales. Par ailleurs, les technologies d’usages non militaires ont été encore moins prises en compte. Les réflexions abordant les processus d’innovation (Taylor 2005) sont parfois étudiées, mais ces travaux sont partiels dans la mesure où ils sont circonscrits aux choix de politiques économiques et ne concernent pas les effets sociaux des technologies.

Sur le plan international, l’organisation des études universitaires reflète également la minoration des aspects scientifiques et technologiques. Parmi les vingt-neuf sections de l’International Studies Association (isa), créée en 1959 aux États-Unis, celle consacrée à l’étude des questions scientifiques et technologiques n’a été mise en place qu’en 2014. Ces questions y sont d’ailleurs étrangement associées aux arts, à l’architecture et au design au sein de la section « Science, Technology and Art in International Relations » (Stair). Sur les vingt-neuf groupes de travail que comprend la British International Studies Association (Bisa), aucun n’est relatif aux enjeux scientifiques ou technologiques (Bisa 2020).

La réflexion sur la technologie ainsi que sur la science n’a pas fait l’objet d’un réel investissement, ce qui a conduit à la considérer de facto comme un simple outil entre les mains des différents acteurs contribuant à la production de l’ordre international. La technologie est en fait appréhendée dans une perspective instrumentale, alors que les études de sciences et de technologies ont démontré que ni la science, ni la technologie ne sont neutres. Au-delà des exemples topiques de l’Isa et du Bisa, le statut des technologies de l’information est rarement évoqué dans les conférences et les publications. En 2005, une revue des travaux conduite sur les revues International Studies Quarterly, International Organization et World Politics montrait l’absence de recherche sur les aspects scientifiques et technologiques (Breuning, Bredehoft et Walton 2005)[7]. Une étude bibliométrique présentée à l’Isa en 2019 (Gorwa et Smeets 2019) a permis de compléter le constat. Conduite à partir d’un dépouillement des cent meilleures revues anglophones pour la période 1980-2019, cette étude établissait que l’émergence des publications sur le cyber était postérieure à 2010, avec une très forte concentration des publications sur deux revues du secteur des études de sécurité, le Journal of Strategic Studies et Survival.

Il reste que ce n’est pas tant l’impensé de la technologie dans les Relations internationales qui est unique : l’information – en soi –, qui est une composante du cyber, n’a pas été davantage prise en compte. À l’exception du constat largement partagé que l’information accroît la puissance, il s’agit d’un phénomène social qui a été également assez peu théorisé dans les Relations internationales, à la différence par exemple de l’espace ou du temps. Le cyber se trouve donc dans un double angle mort.

Ainsi, par défaut, les aspects scientifiques et technologiques et notamment le cyber sont pris en compte dans les Relations internationales à titre ancillaire et placés sur un plan de neutralité. La parole des chercheurs n’est pas très audible et les concepts stratégiques servant des manoeuvres discursives de puissance s’imposent facilement. Il importe donc maintenant de regarder quelles sont, en pratique, les manifestations internationales du cyberespace.

Le cyberespace est un enjeu à part entière de tensions et d’affrontements multiples, qui contribue à l’insécurité internationale globale à trois niveaux.

En premier lieu, il fait l’objet de débats à l’Onu depuis que la Russie y a introduit le sujet en 1998. Au cours des deux dernières décennies, les enjeux dits de « gouvernance », d’application du droit international, de sécurité de l’information et de cybersécurité[8] ont animé les débats de façon centrifuge. Pour des raisons que nous n’avons pas la place d’expliciter ici[9], la diversité initiale des points de vue a amené à des positions de plus en plus éloignées, puis franchement opposées. Le cyberespace est devenu l’objet de positions discursives et normatives conflictuelles. Au sein de l’organisation internationale, deux ensembles d’États se sont clairement formés depuis 2018 et s’opposent en de très nombreux points, par exemple sur les conditions d’application du droit international, à un point tel que le dialogue n’existe presque plus.

En second lieu, les attaques numériques transnationales peuvent déboucher sur la forme particulière d’affrontements normatifs que sont les sanctions économiques. Ce deuxième niveau suppose que soit franchie l’étape délicate qu’est l’attribution à un acteur étatique de l’origine d’une attaque. La part d’attributions rapportée au nombre d’attaques est infime, car le cyberespace est organisé sur un mode distribué (Baran 1962), donc sans centralité, ce qui repose en pratique sur des serveurs mandataires (proxies). C’est la raison pour laquelle les attributions, sans être impossibles, sont techniquement difficiles et politiquement risquées, d’autant plus lorsqu’elles sont suivies de sanctions. La première attribution publique date de mai 2014, lorsque le ministère de la Justice des États-Unis a attribué officiellement une attaque datant de 2006 à l’armée de Chine populaire. Entre 2014 et 2018, les États-Unis ont procédé à 17 attributions publiques d’attaques cyber, ce qui a conduit à des sanctions économiques mises en oeuvre par le Trésor américain contre des officiels chinois et russes (Corcoral 2019). L’Union européenne s’est par ailleurs engagée récemment dans une voie similaire. Ainsi, en juin 2017, les ministres des Affaires étrangères sont convenus d’adopter une « Cyber Diplomacy Toolbox » qui prévoit diverses formes de réponses en cas d’attaque numérique d’ampleur, dont des sanctions économiques contre des individus ou des personnes morales (Moret et Pawlak 2017). C’est seulement le 30 juillet 2020 que le Conseil de l’Union européenne a adopté un premier ensemble de sanctions à l’encontre d’auteurs de cyberattaques. Le délai de trois années illustre notamment en creux la difficulté – principalement politique – de l’attribution. On constate néanmoins que le monde occidental, qui fait l’objet du plus grand nombre d’attaques ainsi que le montrent les diverses cartographies en direct des sites spécialisés[10] et les progrès des enquêtes internationales (Grange et Norodom 2018), s’est doté de processus de décision pouvant l’amener à répliquer sur un plan normatif.

Enfin, un troisième niveau est atteint lorsque les attaques informatiques par un acteur étatique s’attirent des répliques défensives informatiques dépassant le plan normatif (voir supra), débouchant sur des affrontements numériques que l’on peut aussi qualifier de conflits cyber. Désormais, la conflictualité cyber, quoique peu visibilisée, est banale, avec une intensité très variable. Les mesures quantitatives de ce que nous appelons « l’insécurité numérique » et qui incluent les échelles nationales et internationales sont multiples. Tout comme la mesure de la conflictualité armée pose des questions techniques complexes débouchant sur une aporie, celle de l’insécurité numérique est exposée à de grandes difficultés. Si l’on s’en tient à l’insécurité touchant des personnes morales, il existe pour la période 2006-2020 une première évaluation de plus de 500 attaques ayant commis des dégâts numériques importants (csis 2020). Sur une période plus courte de dix années, Valeriano et Maness (2013) ont relevé 95 incidents impliquant des acteurs étatiques. Par la suite, les mêmes chercheurs ainsi que Jensen ont travaillé sur 192 attaques entre États (la plupart d’entre eux étant frontaliers) qu’ils ont pu documenter entre 2000 et 2014 (Valeriano, Jensen et Maness 2018). Ces indications statistiques reposant exclusivement sur les déclarations des victimes minorent très probablement le phénomène, d’autant plus que toutes les attaques ne sont pas décelables (notamment les vols de données). Quoi qu’il en soit, il y a désormais une forme de banalité des attaques cyber commises par des acteurs étatiques ou paraétatiques[11], ce qui crée un risque potentiel pour la sécurité internationale globale. On relèvera par exemple que la dimension cyber participe à nombre d’affrontements entre pays frontaliers (Valeriano et Manness 2013). La Russie et les États-Unis ont par exemple une frontière maritime en commun et les seconds ont depuis 2014 attribué publiquement plusieurs attaques d’ampleur aux premiers (Corcoral 2019). À la suite des attaques informatiques dont la Douma et le Kremlin ont été l’objet le 10 mars 2021, la poussée de tension entre les deux pays, due aux déclarations du président Biden à la télévision le 16 mars, suivie du rappel de l’ambassadeur russe à Moscou, repose principalement sur l’incrimination d’attaques cyber russes (abc 2021). Dès lors que les États-Unis font l’objet d’une attaque informatique, le risque n’est pas négligeable car des jurisconsultes proches de l’Otan ont défini dès 2013 une doctrine établissant la possibilité pour les États d’établir une continuité entre des attaques informatiques dont ils feraient l’objet et des répliques cinétiques, en précisant bien que des « opérations cyber » peuvent être considérées comme des « attaques armées » selon le Manuel de Tallin (Schmitt 2017 : 339)[12]. Bien que ce manuel ne structure pas toute la réflexion internationale, les États-Unis y adhèrent officiellement ainsi que certains de leurs alliés. Il faut donc maintenant s’interroger sur les raisons de l’insécurité numérique internationale.

Afin d’identifier les origines du caractère insécuritaire, il paraît important de situer la réflexion à l’échelle des trois couches du cyberespace, car ce type d’approche est en fait la seule manière d’aborder celui-ci comme un système sociotechnique et donc de prendre en compte les usages sociaux de la technologie. Ceci permet de ne pas biaiser la compréhension en réduisant le cyberespace à une technologie inerte (voir supra).

Les trois couches sont la couche physique (infrastructures matérielles), la couche logicielle (applications) et la couche sémantique/cognitive (contenus signifiants), le cyberespace étant donc l’assemblage des trois (voir Figure 1). Chacune des trois couches sociotechniques doit être analysée en elle-même pour ensuite pouvoir aborder le cyberespace comme l’ensemble des trois. Une vue d’ensemble (Figure 2) permet de distinguer ce que nous appelons le « coeur de la cybersphère » qui présente des caractéristiques interrogeant le concept d’anarchie.

Les infrastructures matérielles qui sont le support des couches physique et logicielle sont gérées par des organismes étatsuniens revendiquant une forme internationale. L’articulation entre les deux caractéristiques (national/international) mérite une discussion. L’Icann (Internet Corporation for Assigned Names and Numbers) organisme central qui administre les noms de domaines, est clairement une structure étatsunienne malgré sa composition internationale, et ceci en dépit des réformes annoncées périodiquement en vue de l’ouverture de la structure. En effet, malgré les appellations de « global organization » ou de « global multistakeholder community » que l’Icann se donne, l’organisme demeure une structure étatsunienne qui retarde depuis sa création le transfert des fonctions Iana[13] à une structure internationale. Cela permet le maintien de fait de la tutelle de la National Telecommunications and Information Administration (ntia), une agence fédérale du ministère du Commerce. De même, l’Internet Engineering Task Force (ietf), qui gère le protocole tcp/ip et qui travaille étroitement avec l’Iana, est une organisation complètement internationalisée, mais demeure en fait une structure juridique (llc en l’occurrence) de droit étatsunien. L’Internet society (Isoc), qui travaille au plus près de l’ietf, organisée en chapitres nationaux, a une vocation mondiale, mais c’est une association de droit étatsunien. Enfin le World Wide Web Consortium (w3c), qui est la structure de normalisation des langages et protocoles informatiques, est un consortium international localisé prioritairement au Massachusetts Institute of Technology (mit) aux États-Unis. Ce que nous avons appelé le coeur de la cybersphère[14] (voir Figure 2) est donc de localisation et de droit étatstunien et n’est pas assimilable à une organisation internationale. Ainsi, les deux premières couches du cyberespace sont internationalisées dans leur déploiement et par leurs usages, mais elles demeurent largement sous influence des États-Unis. Il existe là une forme sociale très singulière qui permet à ce pays qui l’a façonnée de se procurer une ressource forte à l’international : amener à considérer le coeur de la cybersphère comme une organisation internationale de facto tout en gardant des structures de jure étatsuniennes.

La troisième couche sémantique/cognitive est entièrement structurée par les usages. Le facteur différenciant n’est là pas celui de la propriété (et donc pas celui du droit[15]), mais celui des idiomes et des intentions des producteurs de contenus qui les utilisent. Les différents acteurs publics et privés qui opèrent dans les subdivisions des grands espaces linguistiques façonnent cette couche du cyberespace qui est totalement transnationale. C’est à ce niveau qu’opèrent ce que des concepts stratégiques étatsuniens, russes, chinois ou européens qualifient « d’opérations informationnelles » (Tenenbaum et Rochegonde 2021) (voir les paragraphes II-A et III-B).

Chaque couche pouvant être assimilée à un sous-système du cyberespace, celui-ci est donc bien un système de systèmes[16]. Ces différentes couches influant sur l’international, on retrouve alors l’enjeu de la nature propre du cyberespace. Pour l’aborder il faut reprendre la question posée au début : le cyberespace est-il une forme sociale internationale tendant vers l’anarchie ? Il faut donc se demander si les États-Unis sont en situation d’exercer une monopolisation du cyberespace. On possède un certain nombre de points de repères pour essayer d’y répondre. Le coeur étatsunien de la cybersphère n’a pas été conçu pour porter une architecture de réseau international, mais il a assuré de facto ce rôle à partir de l’extension de l’Internet mondial au milieu des années 1990. Cependant, jamais les États-Unis n’ont souhaité installer sur un plan discursif et institutionnel la question d’une « gouvernance » coopérative d’Internet. Leur domination dans les deux premières couches leur a suffi à assurer la maîtrise du nouvel Internet global. Ils se sont fortement mobilisés pour empêcher l’élaboration d’un traité international sur le cyberespace. Craignant en outre l’arrivée des États, ils ont refusé le projet de « gouvernance » mondiale dans l’esprit de la commission W. Brandt, qui avait été porté par le Secrétariat général des Nations Unies et l’Union internationale des télécommunications (uit-itu) au début de la décennie 2000. Face à la mobilisation des États dans le sillage des Nations Unies, ils ont alors valorisé le modèle de gouvernance multi-acteurs d’Internet (Belli 2016), faisant ainsi une large place aux sociétés de la première industrie numérique mondiale, c’est-à-dire la leur. Ce qui tient lieu de gouvernance du cyberespace aujourd’hui conserve au sein des Nations Unies – fgi, geg, gtcnl (voir Figure 2) – une organisation très nébuleuse (Laurent 2015) et n’affaiblit pas les intérêts des inventeurs d’Internet.

Cependant, il est utile de relever que les grandes catégories classiques de système international – unipolaire, bipolaire, multipolaire – qui ont été établies en s’appuyant sur la répartition de la puissance militaire s’appliquent difficilement au cyberespace mondial. En effet, il est fondamental de rappeler qu’il s’agit d’un système de nature distribuée gênant fortement la possibilité de trouver une centralité (voir supra). Les couches physique et logicielle du cyberespace limitent la capacité d’une unipolarisation étatsunienne – comme de tout autre pays. On observe par ailleurs que les États non occidentaux construisent depuis deux décennies des Internet nationaux en rupture assumée et valorisée avec le cyberespace qui est désormais pseudo-mondial. La Chine et la Russie ont ainsi bâti chacune leur Internet grâce à des Tic souveraines dans la couche logicielle pensée au service de leur modèle politique, opposé au modèle libéral occidental (Giles et Hagestad II 2013). Ils ne sont pas interopérables, sauf pour les autorités qui maîtrisent les points d’accès externes avec le cyberespace pseudo-mondial, ce qui conduit à une fragmentation de fait du cyberespace. Il faut ajouter à ces deux pays un certain nombre d’autres États autoritaires (Iran, certains pays du Golfe, Corée du Nord) qui ont bâti des architectures nationales permettant de contrôler en permanence ou temporairement les flux en provenance et en direction des pays extérieurs. Enfin, si l’on complète l’analyse qualitative par une approche quantitative, on constate que le taux de pénétration d’Internet dans les pays occidentaux est très élevé (95 % pour l’Amérique du Nord, 87,2 % pour l’Europe en 2019) alors que les pays à Internet national ont encore de fortes marges de progression (59,3 % pour la Chine en 2019) (Internet World Stats – iws 2020). Cela signifie que la plus forte expansion du cyberespace survient presque uniquement dans des environnements politiques et linguistiques hors du cyberespace pseudo-mondial anglophone. On est ainsi amené à constater que l’autonomisation des couches logicielles et sémantiques conduit à remettre en question l’apparent monopole juridique et institutionnel des États-Unis sur la couche physique. La relativisation de la puissance étatsunienne n’est cependant que partielle géographiquement, car celle-ci demeure forte dans le monde occidental, y compris dans la couche sémantique des usages grâce à la maîtrise des grands moteurs de recherche dominants dans les espaces linguistiques hispanophones, francophones et lusophones.

En conservant l’approche sociotechnique, mais en l’appliquant à une échelle globale, on peut donc constater l’absence de congruence exacte entre le cyberespace et le système international. Au sein de ce dernier, il pourrait exister en fait plusieurs cyberespaces nationaux, certains étant connectés au cyberespace global et sous influence occidentale, d’autres étant des cyberespaces nationaux entièrement différents des principes et des Tic qui ont guidé la création d’Internet, puis du cyberespace mondial. En dépit de cet état de fait, les composantes de « gouvernance » spécialisées des Nations Unies déjà mentionnées continuent à maintenir la fiction d’un cyberespace « global ». L’ensemble présente donc, d’un point de vue institutionnel, des caractéristiques ordonnées comprenant un système unifié et des organismes onusiens de « gouvernance ». La perspective adoptée ici comme système sociotechnique tend cependant à montrer que ce système n’est ni unifié, ni interopérable, et que les organismes spécialisés ont très peu progressé sur le plan normatif, y compris en matière de droit souple. En outre, la part croissante d’acteurs privés refusant le modèle multi-acteurs renforce l’ingouvernabilité du système. Le cyberespace pseudo-mondial présente donc des caractéristiques proches de l’anarchie si l’on se situe dans une perspective constructiviste.

L’une des conséquences de l’anarchie est une conflictualité numérique interétatique intense, quoique contenue dans ses effets (Valeriano 2018). Ce dernier aspect s’explique parce que le cyberespace est un environnement relationnel qui permet des comportements agonistiques, mais aussi des attitudes coopératives se traduisant dans des formes propres nettement différentes des types classiques de coopération internationale (Devin 2013), précisément en raison du caractère anarchique. Il faut donc maintenant examiner les raisons pour lesquelles les aspects insécuritaires du cyber sont valorisés dans le système international.

Selon Michael Hayden, l’ancien directeur de la nsa et de la cia, « [u]ne partie du problème de la politique cyber est que c’est un domaine nouveau et que notre familiarité avec l’espace physique ne se transfère pas facilement dans le cyberespace. [Il] n’y a pas deux responsables politiques qui quittent une pièce avec la même compréhension de ce qui a été discuté, approuvé ou désapprouvé » (Hayden 2011 : 3). Une telle parole publique de la part d’un acteur qui a eu sous sa responsabilité pendant quelques années une part majeure des activités cyber des États-Unis témoigne de la difficulté politique et administrative à prendre en compte cette réalité nouvelle. Sous un angle militaire, le cyber y a été identifié comme un cinquième « domaine » militaire dès 2006 (Ventre 2014), distinct des quatre autres domaines physiques (mer, terre, air, espace), et un commandement spécifique a été créé en 2010, le « us Cybercommand ». Des États ayant des forces armées avec un fort niveau technologique ont fait le même choix en créant des commandements spécifiques : le Royaume-Uni en 2013 ou encore la France en 2017. Cette segmentation administrative est un exemple du caractère tout à la fois spécifique et transversal du cyberespace.

À l’échelle internationale, on peut en observer également les manifestations. Le droit international des technologies pose des problèmes structurels aux États et aux organisations internationales, mais ils sont plus prégnants dans le cas des Tic dont la nature remet en cause les notions de territorialité et d’espace qui sont parmi les fondements du droit. Ainsi, dès 1999, la Russie avait adopté la position que le droit international positif existant ne pouvait pas permettre de répondre aux défis spécifiques des Tic et plaidé en conséquence en faveur d’un traité spécifique pour le cyberespace (Onu 1999 : 8-10). Au-delà d’un aspect tactique vis-à-vis des États-Unis, il y avait à l’origine de la position de la Fédération de Russie une observation de fond difficilement contestable, confirmée depuis par la modestie des avancées, y compris en droit souple. Par la suite, un groupe de juristes de haut niveau, créé par l’uit à l’origine, a publié un projet de traité cyber global (Schjolberg et Ghernaouti-Hélie 2011).

L’un des effets connexes de la nature spécifique du cyberespace se traduit sur un plan discursif. Les mots du droit et de la politique conviennent très imparfaitement à caractériser ces réalités fondées sur des signaux. En fait, les acteurs étatiques et internationaux ont contourné la difficulté en procédant par analogies ; or, c’est le champ sémantique de la guerre (très rarement de la paix) qui nourrit toute l’intertextualité du discours sur le cyberespace (voir supra). Les politiques publiques nationales et internationales reposent principalement sur ce ressort discursif. Elles créent ce faisant un fort effet de sécuritisation (Balzacq 2016) qui contribue à accentuer la perception d’un environnement numérique principalement insécuritaire alors qu’il est aussi coopératif (voir supra).

La coercition cyber (Borghard et Lonergan 2017) est une violence non létale qui peut entraîner soit des dommages économiques (interruption ou destruction d’actifs économiques), soit des dommages immatériels de connaissance (espionnage, vol de propriété intellectuelle avec des effets économiques à terme), soit des dommages matériels modérés, soit enfin des atteintes réputationnelles (par le biais de ce que les acteurs appellent des « opérations informationnelles »)[17]. Ce dernier type d’atteintes, survenant majoritairement sur les médias sociaux, est le plus publicisé et commence à être bien documenté : l’Oxford Internet Institute estimait en 2019 que sept pays menaient l’essentiel des campagnes d’influence extérieures : Arabie Saoudite, Chine, Inde, Iran, Pakistan, Russie et Venezuela (Bradshaw et Howard 2019). Il n’en reste pas moins que pour les autres formes d’attaques cybernétiques, leur durée, leur forme et leur intensité sont très variables (Ventre 2014 ; Valeriano et Maness 2018) et qu’un consensus se dégage pour constater qu’au moins la moitié de ces attaques donne lieu à des vols de données d’origine étatique (Valeriano, Jensen et Maness 2018), c’est-à-dire qu’il s’agit plus trivialement d’espionnage. En outre, se déroulant à l’abri de toute forme de publicité et permettant la dissimulation de l’attaquant, elles procurent à ceux qui y ont recours la très rare ressource de la quasi-impunité dans un affrontement. Cela peut servir pour un « déni plausible »[18] ou permettre de laisser suggérer (souvent par des tiers) qui est l’auteur de l’attaque afin précisément d’entrer dans un champ d’action mixte, entre coercition et diplomatie. Par ailleurs, si cette voie n’est pas choisie par l’attaquant, les progrès de l’attribution et des enquêtes coopératives internationales en la matière permettent à la victime de resserrer le nombre d’acteurs incriminés et d’arriver à former des soupçons raisonnables, unique réponse paraissant possible face à celle du « déni plausible ». Ainsi, une identification supposée, mais non certaine, peut servir la volonté de l’attaquant dans le registre particulier de la diplomatie coercitive. Ce faisant, elle permet de s’inscrire dans le champ de la coercition tout en évitant de franchir le seuil d’une action armée aux effets létaux qui s’expose aux incriminations du droit international. On a d’ailleurs constaté la conduite d’attaques entre des partenaires, voire des alliés stratégiques, même si elles sont nettement moins repérables que les affrontements entre adversaires. C’est pourquoi les attaques cyber nous semblent entrer parfaitement dans le cadre de la diplomatie coercitive. Elles paraissent même en être une forme particulièrement topique désormais, dans la mesure où elles s’insèrent et se dissimulent facilement au sein d’échanges informationnels mondiaux croissants.

En ayant encouragé la sécuritisation du cyberespace à l’échelle interne et aussi à l’échelle internationale, les États ont pu résoudre une partie des difficultés qui leur étaient posées par la nature spécifique du système sociotechnique cyber. En outre, le cyber est pour eux une ressource de diplomatie coercitive leur permettant d’obtenir des effets variés dans le système international. Cependant, le cyberespace ne s’insérant pas totalement dans le système international, il faut pour terminer examiner les possibilités d’analyses qui s’offrent pour les Relations internationales.

L’intensification informationnelle, pour parler comme Der Derian (2003), s’est traduite en pratique par une augmentation de la vitesse, du volume et de la variété des informations échangées. Il n’est pas possible de mesurer l’ampleur de la transformation informationnelle du système international qui se fait désormais sous l’influence du cyber, mais l’on peut en revanche essayer d’aborder le rôle du cyberespace dans celui-ci grâce à la théorie des régimes internationaux. Elle nous paraît particulièrement heuristique pour comprendre une partie de la difficulté de compréhension du cyber. La théorie initiale de Stephen Krasner a été en effet complétée par Joseph Nye qui l’a adaptée au cas particulier du cyber (Nye 2014). Celui-ci, qui prend en considération la prévalence du caractère informel des institutions et des normes (droit souple), emploie en l’espèce l’expression de « cyber complex » pour qualifier le régime international du cyber comme institution sociale, en précisant que c’est en fait un assemblage de régimes dans lequel les liens entre les composantes des régimes sont relâchées (loosely) et la dimension institutionnelle peu structurée. Nye précise que dans le cas du « cyber regime complex » il n’y a pas de centralité et de lien entre les différentes composantes du régime, ce qui correspond effectivement à l’étude du cyberespace que nous avons menée dans les trois couches (voir supra). C’est à cette condition particulière, indique Nye, que les acteurs internationaux convergent vers l’enjeu cyberespace et y adoptent des comportements singuliers.

Cependant Nye ne dit rien du rapport de ce type de régime international avec le système international. Or, il faut poser la question de savoir dans quelle mesure le cyberespace est facteur ou non d’intégration dans le système international. Cela peut être fait notamment en utilisant une approche mesurant le niveau d’intégration par le nombre de traités internationaux ratifiés par chaque pays sur un ensemble de 314 traités entre 1945 et 2014 (Sidani 2014). Or, la quasi-absence de traités internationaux en matière cyber, si l’on exclut la Convention de Budapest sur la cybercriminalité[19] et les textes régionaux (rgpd par exemple), montre clairement que le droit international public relatif au cyber ne permet pas de participer à l’intégration dans le système international. Cela confirme l’approche proposée par Nye et renforce ses conclusions sur le caractère lâche du régime cyber. On peut d’ailleurs émettre l’hypothèse que cette dimension relâchée est la manifestation du caractère très peu inséré du cyber dans le système international.

C’est dans l’environnement intellectuel du mit que des approches novatrices permettant de penser à la fois la différence et la complémentarité ont vu le jour. Nazli Choucri et David D. Clark sont partis du constat qu’il existe une distinction nette entre le cyberespace et le système international (Choucri et Clark 2012)[20]. Cependant, il y a selon eux des interconnections formant ce qu’ils ont appelé le « combined cyber-ir system ». Leur approche met l’accent sur la « co-évolution » entre l’État et le cyberespace, mesurée à partir de trois paramètres : la difficulté d’établir une souveraineté, le rôle du secteur privé et des acteurs non étatiques, et les normes cyber. Ces travaux ont été prolongés dans une direction plus utile encore à notre sens : en effet une approche complémentaire associant la science politique et les sciences de l’ingénieur aboutit au résultat qu’il existe un « Cyber International Relations (Cyber-ir) System » (Vaishnav, Choucri et Clark 2012). Selon ces trois auteurs, il existe en fait deux domaines séparés, celui du cyberespace et celui des relations internationales, mais qui ont cependant des points de jonction. Pour les repérer, ils reprennent l’approche classique en couches (voir supra) et identifient les jonctions avec le système international en utilisant la méthode « Design Structure Matrix » (dsm) d’ingénierie système, une discipline des sciences de l’ingénieur permettant d’aborder les systèmes complexes. Choucri et Clark (2012) parviennent ainsi à recenser les jonctions (39 pour le cyberespace et 27 pour le système international) et à mesurer les taux de dépendance entre les deux domaines. La méthode dsm permet d’établir que le « Cyber International Relations (Cyber-ir) System » forme un système intégré parce qu’il existe des liens entre l’un et l’autre domaine, mais qui demeurent distincts par leur nature. Ce faisant, ils aboutissent à la conclusion que le cyberespace n’est pas une extension technologique du système international, mais qu’il est une réalité en partie autonome. Ces travaux sont extrêmement novateurs et nous paraissent d’un grand intérêt pour la compréhension du cyber par les Relations internationales.