Les pays membres de l’OTAN peuvent, s’ils font l’objet d’une agression militaire, faire appel à l’article 5 de l’Alliance, dit « article de Défense collective ». Dans les faits, l’attaque contre ce pays membre deviendrait une attaque contre l’ensemble des pays de l’alliance. Chaque pays serait cependant libre des moyens qu’il engagerait pour lutter contre cette agression et porter assistance au pays agressé. Cet article n’a été invoqué qu’une seule fois depuis la création de l’Alliance Atlantique, après les attaques du 11 septembre 2001, par les États-Unis, ce qui provoquera l’intervention de l’OTAN en Afghanistan.
Face à la recrudescence des attaques cyber contre des cibles de plus en plus stratégiques, attaques nécessitant des moyens et des compétences du niveau d’un état, le ministre britannique des affaires étrangères, Jeremy Hunt, a déclaré, lors d’une conférence de l’OTAN dédié à la défense Cyber, disposer de suffisamment d’éléments pour en appeler à cet article 5 de Défense collective. Selon le ministre, tous les indices pointent vers la Russie, qui chercherait à disposer de nombreux moyens stratégiques pour immobiliser le pays par une attaque Cyber, si le besoin s’en faisait sentir. Il a également mis en cause cette même Russie au sujet de l’ingérence dans les processus électoraux aux États-Unis, comme en Ukraine. Et de conclure qu’il serait certainement pertinent de créer un « article 5bis », plus adapté que les présent articles, pour prendre en compte la réalité des attaques cyber.
Reste qu’il est très difficile d’identifier avec certitude l’origine d’une attaque Cyber, et qu’il est parfaitement possible de faire pointer les indices dans une direction particulière. Eu égard aux manipulations de « preuves » qui ont déjà eu lieu pour justifier certaines actions militaires, créer une mécanique forte au sein de l’alliance concernant la réponse à apporter face à un offensive digitale, risquerait d’ouvrir la voie a des opportunités de manipulations de l’opinion publique, voir des nations alliées. C’est d’autant plus vrais qu’il est virtuellement impossible de vérifier objectivement la matérialité de l’attaque, ni son origine, sans disposer d’un accès disposant de très hauts privilèges dans les systèmes d’information, ce qui, évidemment, serait très difficile à imaginer, même entre alliés.
De fait, même si la Défense Cyber doit sans le moindre doute faire l’objet d’une très importante priorité en Europe, et si les membres de l’OTAN comme de l’UE ont tout intérêt à collaborer au plus haut niveau dans ce domaine, il parait hasardeux d’inclure cette hypothèse dans un « article 5 bis ». Des moyens de sauvegarde et de protection périmétrique des infrastructures sensibles, couplés à des procédures permettant une reprise d’activité ou un fonctionnement en mode dégradé de ces infrastructure, et des moyens de riposte cyber pouvant être supra-nationaux, apparaissent à la fois adaptés et proportionnés pour faire face à la menace.
Une chose est certaine : Si les offensives cyber, attribuées à raison ou à tort à la Russie, constituent une menace aujourd’hui en temps de paix, c’est que les infrastructures stratégiques européennes n’ont qu’une très faible résilience en cas de conflit majeure, donc qu’au delà des faiblesses des armées européennes déjà évoquées, l’existence même de l’Europe en tant que société politique et économique serait en grand danger dès l’entame d’un tel conflit.
Peut-être est-ce ce point, plus que tout autre, qui devrait concentrer l’attention des politiques européens dans les années à venir, en matière de Défense européenne.