La stratégie nationale de cybersécurité a besoin d'aide

Il est peu probable que la stratégie nationale de cybersécurité présentée par l'administration Biden dans sa forme actuelle deviennent une loi en vigueur, mais elle est remarquable en ce sens qu'elle commence à modifier la teneur du débat sur la cybersécurité, une prise de conscience qui aurait dû avoir lieu depuis longtemps.

Plus précisément, l'administration Biden exige un rééquilibrage de la responsabilité pour défendre le cyberespace, qui consiste à décharger les particuliers, les petites entreprises et les autorités locales d'une responsabilité et de la faire porter aux organisations les plus compétentes et les mieux placées pour réduire les risques.

Les moyens proposés pour atteindre cet objectif nécessitent une forme de législation de la part du Congrès américain. Il n'est toutefois pas certain que l'administration Biden dispose de suffisamment de marge de manœuvre politique pour faire adopter une telle législation de si tôt. Les républicains au sein de la Chambre des représentants ne sont pas très enclins à adopter un projet de loi qui augmenterait le nombre de réglementations applicables aux entreprises. Il est fort peu probable que la loi qui entrera effectivement en vigueur libère totalement les particuliers, les petites entreprises et les autorités locales de toute responsabilité. Internet restera une ressource que les entreprises continueront d'utiliser à leurs risques et périls.

Mais ce fardeau de la cybersécurité pourrait être déplacé par d'autres moyens que la législation. La plupart des conditions générales que les particuliers et les entreprises acceptent régulièrement contiennent des formules et des tournures qui limitent la responsabilité en matière de cybersécurité. Le niveau de responsabilité d'une entreprise, si elle venait à mal gérer des données ou déployer des applications qui comportent des vulnérabilités est assez faible. Si les entreprises veulent bénéficier de plus de sécurité, il vaut mieux pour elles qu'elles paient le prix plutôt que d'attendre que le Congrès fasse de la sécurité une obligation. Si les fournisseurs d'applications et de services cloud se rendent compte qu'ils perdent des parts de marché en raison de problèmes de cybersécurité, il ne faudra pas attendre longtemps avant que les investisseurs dans ces entreprises ne s'emparent du problème.

Les actions en justice ont également un rôle essentiel à jouer. Le coût financier pour les fournisseurs d'applications et de services cloud doit être plus élevé. Lorsqu'une violation de données a lieu aujourd'hui, ces entreprises s'exposent à des coûts de remédiation, mais le montant de l'indemnisation versée aux clients finaux est généralement limité. Le consommateur lambda recevra peut-être une offre limitée pour que l'on surveille son crédit gratuitement. Malheureusement, très peu d'entre eux changeront de fournisseur lorsqu'une faille de sécurité survient. Les fournisseurs d'applications et de services ne sont donc pas vraiment incités à faire mieux. Les particuliers et les entreprises devront faire pression pour obtenir des règlements financiers plus importants si l'on veut améliorer la cybersécurité.

Bien entendu, l'un des meilleurs moyens à disposition d'une administration est de parler davantage du problème en question. Les malwares constituent un danger évident pour la sécurité nationale. Le fait d'amener les dirigeants à témoigner devant le Congrès sur les origines d'une violation est susceptible de produire des résultats positifs. Personne ne veut être publiquement mis en défaut pour son incompétence, surtout si ce témoignage peut avoir un impact considérable sur la valeur de l'action en Bourse. Le nombre de ressources affectées à la cybersécurité augmentera sans aucun doute.

En bref, il existe de nombreux mécanismes et leviers susceptibles d'entraîner des changements positifs qui ne nécessitent pas l'adoption d'une législation diluée qui, même si elle était approuvée, risque d'être contestée pendant des années. Le vrai problème est de rassembler la volonté collective de les employer.