Le débat sur les rapports de cybersécurité divise la CISA et le FBI

Version imprimable, PDF et e-mail

La loi concernant le signalement des cyberincidents, adoptée à l'unanimité par le Sénat américain, semble favoriser un débat entre la Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) quant à la meilleure façon de contraindre les organisations à signaler les incidents de cybersécurité.

La loi prévoit que les grandes entreprises qui, par exemple, exploitent des oléoducs, des banques, des réseaux électriques et des systèmes de transport, sont tenues de signaler toute cyberattaque dans les 72 heures et tout paiement de rançon qu'elles ont pu effectuer dans les 24 heures.

Ce dernier texte de loi sur la cybersécurité n'a pas encore été examiné par la Chambre des représentants des États-Unis, mais le directeur du FBI, Christopher Wray, a déclaré dans un communiqué que la loi « dans sa forme actuelle, rendrait le public plus vulnérable aux cybermenaces, en freinant l'aide aux victimes, en empêchant l'identification d'autres entreprises visées par les mêmes pirates et en compromettant les opérations de lutte contre les cybermenaces ».

Le FBI veut imposer la production de rapports de cybersécurité en temps réel, au fur et à mesure que les attaques se produisent, afin de pouvoir suivre plus facilement les auteurs de ces attaques et éventuellement les poursuivre en justice. Il souhaite également offrir aux organisations des solutions de protection en matière de responsabilité afin de les encourager à signaler les incidents de cybersécurité.

La directrice de la CISA, Jen Easterly, semble toutefois se satisfaire de la marge de trois jours actuellement définie. « Pour parler clairement, cette législation change la donne », a-t-elle déclaré dans un communiqué. « La CISA exploitera ces rapports de nos partenaires du secteur privé pour établir une compréhension commune de la manière dont nos adversaires ciblent les réseaux et les infrastructures critiques des États-Unis. Ces renseignements combleront des lacunes critiques et nous permettront de déployer rapidement des ressources et de prêter assistance aux victimes d'attaques, d'analyser les rapports entrants dans tous les secteurs pour repérer les tendances et de partager rapidement ces informations avec les responsables de la défense des réseaux afin de prévenir d'autres victimes potentielles. »

La loi, dont la Maison Blanche a déjà indiqué que le président avait l'intention de la signer, est maintenant jointe à un projet de loi générale sur la cybersécurité. Le conflit actuel entre la Russie et l'Ukraine serait à l'origine de cette décision.

Toutes les entreprises, bien sûr, ne vont pas accueillir la loi sur le signalement des cyberincidents avec enthousiasme. Les clients, les partenaires, les fournisseurs et les investisseurs risquent fort de trouver ces rapports inquiétants, au point que les évaluations des organisations en seront affectées.

Cette loi est aussi très probablement le signe avant-coureur d'autres législations liées à la cybersécurité qui obligeront les organisations à partager beaucoup plus d'informations sur une attaque que beaucoup d'entre elles ont toujours été réticentes à partager. Le problème, bien sûr, est que tout ce qui est partagé dans ces rapports ne fera qu'alerter d'autres cybercriminels de l'existence d'une faille avant qu'une équipe de cybersécurité interne ne soit en mesure d'y remédier.

Le débat concernant le degré adéquat quant à ces signalements est loin d'être terminé. Toutefois, compte tenu de la majorité démocrate à la Chambre des représentants, un plus grand nombre d'organisations, qu'elles le veuillent ou non, devront se résigner au fait qu'elles seront tenues d'établir un rapport chaque fois qu'elles seront victimes d'une violation de la sécurité. En fait, nombreux sont ceux qui pensent que pour guérir les maux de la cybersécurité, le meilleur remède est et restera toujours une exposition maximale. La seule question qui demeure est de savoir quand cette exposition sera nécessaire

Remonter en haut de page
Tweeter
Partager
Partager