samedi 3 mars 2012

Cybersécurité USA : débats et propositions au Sénat, vote avant la présidentielle ?

Vus d'Europe et plus précisément de France, les États-Unis apparaissent très souvent comme une nation bourrée de paradoxes. A juste titre, sans doute. S'il y a bien un système qui mérite pourtant un examen attentif, c'est le système politique américain. Ses origines historiques, son organisation, ou le mode pour l'élection présidentielle au suffrage indirect nous surprennent nous, Français, habitués à notre République monarchique. La répartition des pouvoirs et des contre-pouvoirs entre l'exécutif et le législatif est, par exemple, de nature à inspirer tout système dont le déséquilibre serait patent. A l'inverse, blocages et obstructions (vis à vis de l'exécutif) sont le pendant d'un contre-pouvoir législatif fort.

Si l'on prend le cas du puissant Sénat américain, on s'aperçoit pourtant que celui-ci cultive une certaine culture du compromis, au nom de des intérêts supérieurs de la nation. Si les débats et les échanges peuvent y être aussi musclés (sinon plus) que sur le Vieux Continent, un système de "navette" informel existe cependant entre les deux principaux partis et, assez souvent, les Républicains, les Démocrates et l'administration au pouvoir parviennent à des accords tout au long d'une mandature et quels que soient les équilibres. 

Mieux, les questions ayant trait à la sécurité nationale sont généralement le creuset d'une certain concorde, même si les arrières-pensées ne sont jamais éloignées. De surcroît, lorsque le pays entre en période électorale présidentielle. La cybersécurité, en ce moment, me semble parfaitement illustrer le fonctionnement résumé précédemment. Le débat est passé ces derniers mois de l'exécutif au législatif et les discussions sont vives, animées par des oppositions d'approche tactiques mais aussi idéologiques

Dernière en date est l'initiative menée par le Sénateur John Mc Cain (l'adversaire républicain malheureux de B. Obama en novembre 2007) qui promeut, avec 7 autres sénateurs, un projet de loi intitulé SECURE-IT (Strengthening and Enhancing Cybersecurity by Using Research, Education, Information, and Technology - Renforcement et Amélioration de la Cybersécurité par l'usage de la Recherche, de l'Education, de l'Information et des Technologies).

Dans la veine de la tendance que j'avais évoquée il y a quelques semaines, ce projet de loi se fonde sur la nécessité de ne pas créer plus de contraintes et de coûts (financiers, emplois, mises au normes) que nécessaires. Cette contre-offensive intervient en regard des critiques portant sur le Cybersecurity Act, déposé mardi 28 février par des sénateurs démocrates.

Ce dernier a été vertement critiqué sur le volet "Infrastructures critiques" puisqu'il permettrait au ministre de la Sécurité intérieure (DHS) de désigner certains réseaux privés comme infrastructures critique. De fait, ils deviendraient soumis à de nombreuses exigences réglementaires, comme par exemple l'établissement et le maintien de plans de sécurité relatifs à cette classification.

A l'inverse, SECURE-IT vise davantage à encourager en lieu et place d'un cadre réglementaire qui contraindrait. L'accent est mis sur le secteur privé avec un meilleur partage d'information des autorités fédérales en ce qui concerne les cyber-menaces. Cette thématique se base sur la réciprocité puisque les entreprises privées qui partageraient leurs propres informations seraient juridiquement protégées. L'idée est donc de créer un écosystème de partage d'informations concernant les cyber-menaces et basé sur les multiples "capteurs" autant gouvernementaux que privés.

Le volet répressif n'est pas oublié puisque les peines prévues pour les actes de malveillance sont fortement alourdies. On retiendra, par exemple, celle qui condamnerait toute intrusion dans un système d'information comprenant des informations classifiées de Défense (national defense information). La peine est doublée et passerait de 10 à 20 ans d'emprisonnement*.

Enfin, et d'après ses détracteurs, le Cybersecurity Act donnerait davantage de pouvoir au DHS et au détriment de la NSA en termes de surveillance des réseaux nationaux. Un point d'achoppement auquel les initiateurs de SECURE-IT semblent avoir prêté particulièrement attention en proposant de limiter de manière symptomatique les prérogatives du DHS. Celui-ci reste une entité chargée de la coordination fédérale, dépendant du bon vouloir des autres agences en ce qui concerne le partage d'informations. Ces agences sont d'ailleurs regroupés sous l'appellation de "Cybersecurity center" et comprennent l'ensemble des unités militaires et de renseignement du Pentagone au premier desquelles la NSA et le Cybercommand. Cette charge illustre bien les lignes de fracture à peine souterraines qui parcourent aussi la communauté du renseignement U.S. à propos de la cybersécurité.

Petit à petit, la législation cybersécurité découlant des initiatives majeures prises par l'administration Obama prend corps. Au train où vont les discussions et, surtout, la volonté générale, il serait à peine surprenant qu'un texte final amendé autant par les Républicains que les Démocrates, et avec la bénédiction de la présidence, soit voté avant les élections de novembre 2012 ! Ce qui serait une gageure chez nous est une exigence de résultats et d'intérêt supérieur aux USA. Paradoxes, écrivais-je en introduction : seulement aux États-Unis ?!

* France : 5 ans d'emprisonnement et 75000€ d'amende (Article 413-11).


Sources :
http://www.csoonline.com/article/701305/republican-senators-introduce-their-own-cybersecurity-bill

2 commentaires:

Benjamin a dit…

"Enfin et d'après ses détracteurs, le Cybersecurity Act donnerait davantage de pouvoir à la NSA en termes de surveillance des réseaux nationaux."
Pour ce que j'en ai lu c'est plutôt le contraire: le cybersecutiy act donne toutes les responsabilités au DHS. C'est pourquoi le gal Alexander monte au créneau depuis pour que la NSA obtienne plus de responsabilité dans la surveillance des réseaux nationaux.
Source1Source2

Sivispacem a dit…

Vous avez tout à fait raison et c'est là où vous illustrez à merveille ce que je veux souligner lorsque j'écris : "Le débat est passé ces derniers mois de l'exécutif au législatif et les discussions sont vives, animées par des oppositions d'approche tactiques mais aussi idéologiques."

Je viens de relire les différents documents et m'étais emmêlé les pinceaux. Je viens d'ailleurs de rectifier et compléter ce paragraphe. Merci Benjamin de votre vigilance !