Le gouvernement ukrainien est en train de rédiger une nouvelle loi pour intégrer sa brigade de hackers volontaires, l’IT Army, dans les forces armées, dans le but de mettre fin à l’incertitude quant à son statut dans une zone grise juridique qui a suscité des avertissements pointus de la Croix-Rouge.
L’armée informatique de l’Ukraine a revendiqué la responsabilité pour des cyberattaques telles que la mise hors ligne des sites Web des médias d’État russes lors du récent discours annuel sur l’état de la nation du président Vladimir Poutine. Mais le groupe hacktiviste, qui a recruté des volontaires étrangers qui n’ont besoin que d’un ordinateur ou d’un smartphone pour rejoindre le combat, a également été critiqué pour avoir attaqué des hôpitaux russes et d’autres cibles civiles.
L’IT Army a été citée en exemple pour d’autres pays. Si la loi est adoptée, l’Ukraine rejoindra une poignée d’autres nations occidentales, dirigées par la Finlande et l’Estonie, qui disposent d’une cyber-force de réserve à grande échelle pour renforcer leur armée régulière, bien que plusieurs autres pays aient des unités militaires de réserve dotées de cyber-capacités.
“La loi sur la création et le fonctionnement des cyberforces au sein du ministère ukrainien de la Défense devrait être adoptée dès que possible”, a déclaré Nataliya Tkachuk, secrétaire du Centre national ukrainien de coordination pour la cybersécurité. Newsweek dans des réponses écrites à des questions détaillées. Le centre fait partie du Conseil national de sécurité et de défense du président Volodymyr Zelenskiy.
Tkachuk a ajouté que la nouvelle loi “deviendrait la base du renforcement des capacités de cyberdéfense de l’État, de l’engagement de cybervolontaires dans ces activités et de la création d’une cyberréserve” – une force d’experts civils en cybersécurité, formés par l’armée, qui pourraient être mobilisés. la défense nationale en période de cybermenace ou de conflit accru.
Tkachuk n’a pas répondu aux questions de suivi, mais sur la base de sa description de la loi, il semble que la cyberréserve ukrainienne remplacerait ou absorberait effectivement les volontaires peu organisés de l’armée informatique par une force beaucoup plus formelle, dont le noyau serait d’anciens conscrits, identifiés comme techniquement compétents pendant leur service militaire obligatoire post-lycée et bénéficiant d’une attention particulière. formation avec des compétences techniques.
L’IT Army elle-même accepte sa proposition de dissolution. Dans une déclaration envoyée par courriel en réponse à Newsweek questions, le groupe a déclaré que ses intérêts seraient représentés dans le processus de rédaction par le ministère de la Transformation numérique. “Nous faisons pleinement confiance aux efforts du groupe de travail pour légaliser une lutte massive dans le secteur cybernétique et saluons le moment où il cessera d’être la zone grise. Nous … croyons que l’intégration de l’armée informatique dans la cyberréserve aidera dans la construction d’une défense plus efficace contre les cybermenaces.”
Les contours précis du cadre juridique adopté par Kiev se répercuteront bien au-delà du champ de bataille d’aujourd’hui. La guerre que mène l’Ukraine est devenue un laboratoire pour les conflits du XXIe siècle. Le succès du pays à repousser les pirates informatiques russes tant vantés a fait qu’ils ont adopté à la fois des hacktivistes bénévoles et un partenariat étroit avec les géants technologiques occidentaux un modèle que d’autres démocraties envisagent. Même aux États-Unis, certains soutiennent que le Cyber Command américain bénéficierait de la capacité de surtension supplémentaire que représenterait une force de réserve cybernétique.
Tkachuk a refusé de donner un calendrier pour l’élaboration d’un projet de nouvelle loi, mais le processus a été compliqué par des querelles bureaucratiques, a déclaré un entrepreneur d’aide étrangère travaillant en Ukraine, qui a demandé l’anonymat parce que la personne n’est pas autorisée à parler à la presse. “Il y a des frictions entre les agences”, a déclaré l’entrepreneur à Newsweek, “ce n’est pas un secret”.
L’entrepreneur a déclaré que la nouvelle loi s’appuierait sur les partenariats public-privé que l’Ukraine avait développés à la fois avec son secteur technologique national et des entreprises étrangères, y compris des fournisseurs américains géants tels que Microsoft, Amazon et Google. “Nous avons une expérience incroyable, nous avons un savoir-faire que personne d’autre n’a parce que personne d’autre n’a vécu cela”, a déclaré l’entrepreneur.
Une décision qui semble avoir émergé à ce stade précoce est que l’Ukraine adopte le modèle estonien pour sa cyberréserve, en créant un cadre dont l’aptitude technique est identifiée pendant le service militaire post-lycée obligatoire, et qui reçoit ensuite une formation supplémentaire. Les compétences qu’ils acquièrent leur permettront à la fois de défendre le pays pendant leur service et d’apporter une valeur ajoutée aux employeurs une fois qu’ils auront terminé.
L’Estonie est un État membre de l’OTAN qui possédait un secteur technologique dynamique bien avant de se retrouver en première ligne des nouvelles guerres hybrides de la Russie en Europe. En 2007, le pays a été frappé par une série de cyberattaques massives et d’opérations d’information dans le cadre d’un différend avec la Russie concernant le déplacement d’un monument aux morts de la Seconde Guerre mondiale de l’ère soviétique. Depuis lors, le pays a cherché à devenir un modèle pour les petites démocraties occidentales en tirant parti de la technologie et des compétences de pointe pour renforcer à la fois ses défenses en ligne et l’économie nationale.
Les hackers volontaires estoniens sont organisés en une unité de cyberdéfense, qui fait partie de la Ligue de défense estonienne centenaire. “C’est exactement le modèle que nous aimerions voir en Ukraine”, a déclaré Tkachuk. “Nous aimerions que les conscrits non seulement défendent le pays en utilisant leurs compétences informatiques, mais acquièrent également des connaissances actualisées et nécessaires dans le domaine de la cybersécurité et de la défense pendant leur service.”
Une fois leur service militaire terminé, a-t-elle ajouté, les cyberréservistes avec leurs compétences avancées “deviendront un vivier de personnel pour toutes les entités du secteur de la sécurité et de la défense dans le domaine de la cybersécurité”.
Aux États-Unis, un certain nombre de cyber-dirigeants de premier plan ont exprimé leur intérêt pour la possibilité d’une cyber-réserve.
“Il y a beaucoup de leaders de la cybersécurité qui veulent faire du bénévolat et servir. Ils veulent faire quelque chose pour le pays sans quitter leur carrière et leurs rôles actuels à plein temps”, a déclaré Marcus Fowler, PDG du fournisseur de cybersécurité Darktrace Federal. Newsweek.
Fowler, un ancien haut responsable de la CIA qui a servi dans le Corps des Marines, a déclaré que “l’endroit idéal pour commencer” est avec les cyber-leaders qui, comme lui, ont servi dans l’armée, les forces de l’ordre ou les agences de renseignement. “Un grand nombre de [them] aurait toujours des habilitations de sécurité actives », a-t-il déclaré. « Il y a des problèmes pratiques, évidemment, mais l’esprit et l’expertise sont là.
Pour l’Ukraine, l’adoption du modèle estonien de cyberréserve permettrait également de lever les questions sur le statut juridique de l’armée informatique ukrainienne, selon une analyse juridique de l’OTAN.
L’unité de cyberdéfense fait partie intégrante de la Ligue de défense estonienne, une ONG qui est en fait la réserve militaire du pays. Ses membres sont des volontaires qui prêtent serment, qui sont tenus d’obéir aux ordres pendant leur service et qui, en temps de guerre, sont intégrés aux forces de défense régulières, selon l’analyse juridique du Centre coopératif de cyberdéfense de l’OTAN de Excellence ( CCDCOE) à Tallinn.
En tant que tels, indique l’analyse, ils sont clairement qualifiés de combattants dans une guerre déclarée, car ils sont “un corps de volontaires faisant partie des forces armées”.
En revanche, l’une des principales préoccupations des groupes hacktivistes volontaires tels que l’IT Army et ses homologues russes est qu’ils brouillent la frontière entre combattants et civils en encourageant les civils à participer aux attaques.
Le Comité international de la Croix-Rouge est alarmé par la tendance croissante, dans les récents conflits armés, à recruter des volontaires civils pour participer à des cyberopérations militaires, a déclaré le conseiller juridique du CICR, Kubo Mačák. Newsweek.
La différence entre combattants et civils « est un principe fondamental du droit international humanitaire loi (DIH) », les civils ne peuvent être ciblés, et les combattants bénéficient de protections juridiques – ils ne peuvent généralement pas être poursuivis pour avoir tué des troupes ennemies, par exemple – tant qu’ils respectent les lois de la guerre.
Mais si des civils participent à des cyberopérations offensives – des attaques de piratage, par exemple – ces activités pourraient changer le calcul juridique, a-t-il déclaré.
Les civils qui se joignent à l’effort de guerre peuvent être « exposés à des préjudices car ils pourraient être temporairement privés des protections dont ils bénéficient en tant que civils en vertu du DIH », a déclaré Mačák.