dimanche 10 juin 2012

Cybersécurité et Infrastructures Critiques USA : les blocages législatifs du Sénat

Un peu plus de 3 mois après avoir consacré un article concernant les discussions en cours au Sénat américain en vue de proposer un corpus législatif spécifique à la cybersécurité, où en sont les sénateurs ?



Notons tout d'abord que le blocage entre les deux camps (Républicains et Démocrates) se poursuit en se cristallisant autour de leurs deux propositions de loi respectives. Ayant déjà détaillé ces deux proposition dans mon article du mois de mars 2012 (cité au début de celui-ci), on peut appréhender schématiquement le point de blocage. D'un côté le Cybersecurity Act obligerait les différents opérateurs d'infrastructures critiques à se soumettre à de nombreuses exigences portées par le DHS. De l'autre, SECURE-IT vise davantage l'incitation via le partage d'informations sensibles et la mise en œuvre, non obligatoire, d'un référentiel cybersécurité commun à destination de l'industrie.

Pour résoudre ce qui semble être le cœur même de la différence fondamentale entre les Républicains (inciter et laisser une grande autonomie aux opérateurs) et les Démocrates (obliger voire contraindre réglementairement si cela est nécessaire), deux sénateurs viennent de proposer un nouveau projet de loi qui fait la balance entre les deux positions. Le compromis permettrait toujours au DHS de jouer un rôle central (1) mais uniquement en tant qu'incitateur et non plus comme porteur de contraintes. Dans ce cadre, les opérateurs d'infrastructures critiques s'engageraient à améliorer leur cybersécurité. En atteignant les "objectifs de performance de base" (non définis en l'état), ils recevraient en échange une protection juridique, l'assistance technique des autorités et des fonds gouvernementaux.

Pour le moment, il n'est pas sûr que ce compromis obtienne l'assentiment des sénateurs Démocrates qui y verront sûrement un encouragement pour les opérateurs de ne pas se protéger sérieusement face à une menace peu avérée à ce jour (2). Les risques de perturber des infrastructures critiques via l'exploitation de vulnérabilités potentielles des Systèmes d'Information qui les assistent, les opèrent et les pilotent sont réels. En France, le décret SAIV a tranché en faveur d'obligations contraignantes depuis déjà 6 ans. Avec un volet Sécurité des Systèmes d'Information (SSI) qui assure une cohérence et une couverture complète face aux menaces retenues (terrorisme principalement).


(1) qui est un autre point d'achoppement plus feutré mais bien réel lié à d'autres (en)jeux de pouvoir entre le DHS, le ministère de la Justice (et le FBI) vis à vis du Cybercommand et de la surpuissante NSA.
(2) le cas d'un conflit combinant capacités cinétiques et non cinétiques (cyberattaques)  verrait sans doute un ciblage préalable d'infrastructures critiques en vue de l'obtention d'effets cumulatifs et systémiques absolument déterminants.

Aucun commentaire: