Dans le rapport de septembre 2019 intitulé « Droit international appliqué aux opérations dans le cyberespace », le ministère des armées précisait les modalités de qualification d'une cyberattaque. Je cite : « cette décision est de nature régalienne en ce que la France se réserve le droit d'attribuer, publiquement ou non, une cyberattaque dont elle aurait été victime et de porter cette information à la connaissance de la population d'États tiers ou de la communauté internationale. Parallèlement, notre pays s'est engagé pour plus de régulation d'intelligibilité du cyberespace dans le droit international. Notre défi est donc de réussir le grand écart entre le maintien de nos moyens pour garder notre souveraineté intacte et aussi empêcher l'avènement d'une guerre toujours plus hybride aux contours très flous ». J'ai deux questions simples : pouvons-nous mieux définir, à partir de critères objectifs, ces différents types de cyberattaques ? Ou l'approche actuelle est-elle suffisante si nous voulons conserver une certaine lisibilité vis-à-vis du droit international ?