La guerre contre la cyber-guerre a repris. La semaine dernière, Washington a vu non pas une mais deux mesures majeures en matière de cybersécurité dans la capitale américaine. Mardi, le président Obama a signé un décret qui donne aux agences fédérales une plus grande autorité pour partager informations sur les « cybermenaces » auprès du secteur public, une démarche vantée par le président dans son État de l’Union adresse. Le même jour, les représentants. Mike Rogers (R-MI) et Dutch Ruppersberger (D-MD) ont réintroduit le Cyber Intelligence Sharing et Protection Act (CISPA), un projet de loi très contesté qui a été adopté par la Chambre l'année dernière, mais est mort dans le Sénat.
Compte tenu de la nature souvent vague de la cybersécurité, de la densité des projets de loi et des décrets, et de la passion que suscitent ces questions de part et d’autre, des éclaircissements impartiaux s’imposent. Voici un guide destiné aux personnes occupées sur la grande initiative de Washington en matière de cybersécurité.
Vidéos recommandées
Que fait le décret du président Obama ?
Le décret d’Obama vise à renforcer les protections en matière de cybersécurité pour les réseaux « d’infrastructures critiques » du pays – les réseaux électriques, barrages et autres centrales électriques, sociétés d’approvisionnement en eau, contrôle du trafic aérien et institutions financières – grâce à un partage accru des information. Plus précisément, il autorise le gouvernement à fournir aux entreprises qui gèrent des réseaux d’infrastructures critiques des « informations sur les cybermenaces ».
« La politique du gouvernement des États-Unis est d'augmenter le volume, l'actualité et la qualité des informations sur les cybermenaces partagées avec entités du secteur privé américain afin que ces entités puissent mieux se protéger et se défendre contre les cybermenaces », le décret lit.
Le décret appelle également le gouvernement fédéral à rédiger des recommandations sur les moyens par lesquels les fournisseurs d'infrastructures critiques peuvent se protéger contre les cyberattaques. Les entreprises ne seraient toutefois pas tenues de respecter ces recommandations. Il précisera également quelles agences gouvernementales participeront aux efforts de cybersécurité.
Lire l'intégralité du décret ici.
Est-ce que quelqu'un pense que c'est mauvais ?
Pas vraiment. Groupe de réflexion pro-business la Fondation du Patrimoine fait l’éloge de certaines parties de l’ordonnance, mais dit également que sa portée est trop large, ce qui signifie qu’elle pourrait attirer des entreprises qui n’ont pas vraiment besoin d’être impliquées (« comme l’agriculture »). Heritage craint également de ne pas réussir à accroître le partage et estime que cela pourrait amener les agences fédérales à accroître leur portée réglementaire.
Les défenseurs de la vie privée estiment cependant que le décret établit le juste équilibre entre une sécurité accrue et la protection des personnes. la liberté personnelle, car elle ne permet le partage que dans un seul sens: du gouvernement vers les entreprises – une distinction clé, comme nous le verrons plus loin.
« Bravo pour les programmes de cybersécurité qui peuvent faire autre chose que d’espionner les Américains. » a écrit l'ACLU.
La plus grande plainte concerne le recours par Obama aux décrets en général, qui, selon les critiques, contourne les freins et contrepoids de notre gouvernement. Aussi vrai que cela puisse être, un décret public est considéré par certains experts comme meilleur que celui qui est gardé secret, comme beaucoup l’ont été dans le passé.
Que fait le CISPA ?
À l’instar du décret d’Obama sur la cybersécurité, l’objectif principal du CISPA est d’accroître le partage d’informations sur les cybermenaces (ou CTI, comme l’appellent les jeunes cool). Cependant, contrairement à l’ordre d’Obama, le CISPA autorise le partage d’informations dans les deux sens – du gouvernement vers les entreprises, et vice versa. Le partage n’est pas requis par la loi, mais il est autorisé.
CISPA accorde également une large immunité juridique aux entreprises qui collectent et partagent des CTI avec le gouvernement fédéral, à condition qu'elles le fassent. donc « de bonne foi » – ce qui pourrait signifier que les entreprises ne peuvent pas être poursuivies ou accusées de crimes pour avoir collecté et partagé des CTI en vertu de la CISPA. De plus, CISPA protège le CTI partagé des mécanismes de transparence, comme le Freedom of Information Act (FOIA).
Lisez le texte intégral de la CISPA ici: PDF.
Est-ce que quelqu'un pense que c'est mauvais ?
Vous pariez. Les défenseurs de la vie privée sont particulièrement irrités par ce projet de loi parce qu'ils craignent qu'il laisse le gouvernement s'emparer de nos communications privées; parce que nous ne saurons pas quelles informations sont partagées, disent-ils; et parce que cela pourrait nous priver de notre pouvoir de punir les entreprises qui collectent et partagent les informations qu'elles détiennent sur nous.
« Notre préoccupation depuis le premier jour a été que ces dispositions combinées en matière de pouvoir et d'immunité l'emporteraient sur les lois existantes sur la protection de la vie privée, telles que la loi sur les écoutes téléphoniques et la loi sur les communications stockées. » a écrit l’Electronic Frontier Foundation (EFF). « Pire encore, la loi accorde l’immunité « pour les décisions prises sur la base de » la CTI. Une entreprise malhonnête ou malavisée pourrait facilement prendre de mauvaises « décisions » qui feraient beaucoup plus de mal que de bien, et ne devrait pas être immunisée. »
Dès que Le retour du CISPA a été annoncé La semaine dernière, divers groupes de défense des libertés civiles centrés sur Internet, notamment Demand Progress, Fight for the Future, EFF, Avaaz, ACLU et Free Press, ont lancé des pétitions contre la CISPA. Jeudi, exigez le progrès et combattez pour l’avenir a délivré plus de 300 000 signatures au Comité du renseignement de la Chambre pour protester contre la CISPA. Et jusqu’à présent, plus d’un million de personnes ont signé des pétitions anti-CISPA.
Co-sponsors du CISPA, représentants. Rogers et Ruppersberger font tout ce qu'ils peuvent pour apaiser les inquiétudes concernant la CISPA, arguant que le projet de loi il ne s'agit pas d'espionner les citoyens, et que le partage accru des CTI entre les secteurs public et privé constitue un moyen évident de lutter contre les cybermenaces.
Du côté des affaires, Télécom aux États-Unis, un groupe de pression des fournisseurs de services Internet; CTIA, le bras de lobbying de l’industrie du sans fil; et AT&T se sont tous prononcés en faveur du CISPA – mais nous devrions nous attendre à un soutien bien plus important de la part du secteur privé. La dernière fois, des centaines d'entreprises directement ou indirectement (par l'intermédiaire de leurs groupes de pression) ont exprimé leur soutien au projet de loi, notamment des géants de la technologie comme Facebook et IBM.
Pourquoi tout cela se produit-il maintenant ?
Parce que les membres de notre gouvernement sont convaincus que les cyberattaques constituent un problème grave et qui ne fait qu’empirer. Selon un rapport de décembre du ministère de la Sécurité intérieure, les cyberattaques contre les oléoducs et les fournisseurs d'électricité a augmenté de 52 pour cent par rapport à l'année dernière. Et l'estimation du renseignement national récemment indiqué que les États-Unis sont, comme le dit le Washington Post, « la cible d’une campagne de cyberespionnage massive et soutenue qui menace la compétitivité économique du pays ».
Tout cela se déroule sur fond de hacks soutenus du New York Times, du Wall Street Journal, du Washington Post et de Bloomberg News par des pirates informatiques chinois – des attaques très médiatisées qui ont davantage placé les préoccupations en matière de cybersécurité dans l'esprit du public.
Recommandations des rédacteurs
- Toutes les nouvelles fonctionnalités de Safari dans iPadOS 13 que vous devez connaître
