Si l’Estonie est le pays plus septentrional des pays baltes, avec 1,3 million d’habitants pour une superficie de 45 339 km2, elle compte parmi les géants mondiaux en matière de cybersécurité.
Le tropisme digital du pays ne vient pas de nulle part. Pendant la période soviétique (1940-1991), l’URSS avait choisi l’Estonie pour implanter son Institut Cybernétique, dès les années 1950. Après l’indépendance en 1991, le gouvernement poursuit dans cette direction. Aujourd’hui, 99,6% des transactions bancaires et 99% des démarches administratives se font en ligne – comme les impôts depuis 2000, le mariage depuis 2022, et même le divorce d’ici à la fin de cette année.
Le pays natal de Skype et de Bolt compte aujourd’hui 1500 startups, dont 10 licornes (évaluées à plus d’1 milliard de dollars) et une décacorne (à plus de 10 milliards). Les services numériques et les nouvelles technologies comptent donc parmi les principales ressources économiques de la « Silicon Forrest », avec le bois. Et si l’Estonie excelle en matière de cybersécurité, c’est sans doute aussi dû à une action de Moscou.
A la suite de la décision en 2007 de déplacer une statue monumentale d’un soldat soviétique depuis un lieu central de Tallinn vers un cimetière militaire, une série de cyberattaques s’est déclenchée, entraînant la fermeture de dizaines de sites estoniens: les portails des ministères, du Parlement, des banques, des journaux et chaînes de télévision… L’Internet estonien est à terre, mais la petite taille du pays et la familiarité entre les dirigeants des entités attaquées permettent une réponse rapide et coordonnée. Jamais la Russie n’a reconnu son implication dans cette affaire, mais les spécialistes du monde entier ont la certitude que le Kremlin était impliqué.
En réponse, le gouvernement balte renforce la cybersécurité nationale : ainsi, la vénérable Ligue de défense estonienne, organisation paramilitaire créée en 1918, se dote d’une branche cyberdéfense. Les serveurs gouvernementaux se trouvent aujourd’hui tous en Estonie, avec des sauvegardes au Luxembourg. Et le pays va plus loin : il propose à l’OTAN, que l’Estonie a rejointe en 2004 (la même année que l’Union européenne), d’accueillir un centre d’excellence dédié à la cyberdéfense.
Créé dès mai 2008 à Tallinn, le NATO Cooperative Cyber Defence Centre of Excellence (CCDCoE) rassemble aujourd’hui 39 États, dont 7 ne font pas partie de l’Alliance atlantique (l’Autriche, l’Australie, l’Irlande, le Japon, la Corée du sud, la Suisse et l’Ukraine, candidate en 2021 et accueillie en mars 2022).
Progressivement, le CCDCoE réalise pour le droit numérique ce que le Comité international de la Croix-Rouge a initié au XIXème siècle pour le droit international humanitaire avec les Conventions de Genève. Le « Manuel de Tallinn relatif à l’applicabilité du droit international aux cyberopérations » ambitionne ainsi de transposer aux armes cybernétiques les règles de droit international applicables à l’utilisation des armes conventionnelles en période de conflits.
Rédigé, à l’invitation du CCDCoE, par des équipes de juristes volontaires du monde entier, le Manuel de Tallinn devrait publier en 2026 sa troisième révision.
Le 20 décembre 2023, dix pays ont lancé une initiative de soutien à l’Ukraine baptisée Mécanisme de Tallinn : l’Allemagne, le Canada, le Danemark, l’Estonie, les États-Unis, la France, les Pays-Bas, la Pologne, le Royaume-Uni et la Suède.
Là où chaque pays agissait jusque-là au coup par coup de son côté, il s’agit désormais de coordonner et de faciliter « le renforcement des capacités civiles en matière de cybersécurité, afin d’aider l’Ukraine à faire respecter son droit fondamental à la légitime défense dans le cyberespace et de répondre à ses besoins en matière de cyberrésilience à plus long terme », selon le Quai d’Orsay.
Aboutissement d’une réflexion lancée en mai 2023 dans la capitale estonienne, le Mécanisme de Tallinn n’est donc pas une coopération militaire : « Les domaines d’action du Mécanisme se veulent distincts mais complémentaires des efforts visant à renforcer les capacités militaires en matière de cybersécurité et des efforts déployés dans le civil en matière de développement numérique », précise le ministère de l’Europe et des Affaires étrangères français. La dimension militaire, portée depuis avril 2022 par les 54 États membres du groupe de contact sur la défense de l’Ukraine (ou « groupe de Ramstein »), inclut déjà un sous-groupe dédié aux technologies de l’information. L’Estonie le co-pilote avec le Luxembourg.
Outre les dix pays participants au Mécanisme de Tallinn, l’OTAN et l’UE y sont associées en tant qu’observatrices. Un bureau estonien est déjà actif à Kiev, en plus d’un bureau arrière basé à Varsovie. Des entreprises du secteur de la technologie et des ONG du domaine numérique y contribuent aussi.
Source : IHEDN (copyright)