La semaine dernière, plusieurs annonces importantes ont été faites aux États-Unis sur le thème de la sécurité. Barack Obama a notamment présenté une nouvelle agence qui sera responsable de la concentration des informations sur les cybermenaces. Le président américain veut également obliger les entreprises à mieux communiquer sur les attaques dont elles ont été victimes, pour rendre la communication plus transparente.
Une nouvelle agence pour concentrer les informations utiles
Au lendemain des attentats du 11 septembre 2001, le gouvernement avait été critiqué : pourquoi les attaques n’avaient pas pu être empêchées malgré la débauche de moyens dont disposaient les États-Unis dans le domaine du renseignement ? Outre plusieurs lois, il en était ressorti qu’un manque cruel de communication entre les différentes agences était potentiellement à l’origine de cette défaillance, dont acte : le National Counterterrorism Center avait fait son apparition. Comme le souligne le Washington Post, la crise de sécurité autour du piratage de Sony Pictures a montré que le studio, le FBI, la NSA ou encore la CIA pouvaient intervenir publiquement avec des réponses différentes, créant la confusion.
Voilà pourquoi les États-Unis préparent la mise sur pied d’une nouvelle agence. Baptisée CTIIC, ou Cyber Threat Intelligence Integration Center, elle aura pour mission de concentrer toutes les informations au sujet des menaces de type électronique. L’objectif est simple : si une attaque est détectée ou prévue, les concernés auront un interlocuteur unique pour obtenir une image globale de la menace. Le projet de ce centre n’est pas neuf, mais le Post indique que c’est bien la crise Sony Pictures qui a accéléré les travaux.
Dans sa forme actuellement prévue, le CTIIC embauchera une cinquantaine de personnes et disposera d’un budget de 35 millions de dollars par année (susceptible évidemment d’être révisé). Son rôle sera essentiellement consultatif, dans le sens où il s’agira dans les grandes lignes d’une « banque d’informations ». Il n’aura aucun rôle opérationnel et ne procèdera donc à aucune activité directe de surveillance.
Les entreprises devront communiquer sur les attaques subies
Cette mesure s’accompagne d’une autre annonce importante, faite vendredi par Barack Obama : puisque la volonté de faire mieux communiquer les entreprises sur les attaques subies échoue à passer l’étape du Congrès, elle fait maintenant l’objet d’un décret présidentiel. En d’autres termes, et comme l’explique la Maison Blanche dans un communiqué, les entreprises auront l’obligation de déclarer qu’elles ont été attaquées.
La mesure se concentre sur plusieurs points :
- La promotion de structures qui pourront servir de relais d’échanges d’informations,
- L’obligation pour les entreprises de fournir les détails des attaques subies et donc d’avertir les autorités,
- La mise en commun de certaines ressources et la possibilité pour les entreprises d’accéder plus facilement à des informations classifiées,
- La création, par le Département de la sécurité intérieure (Homeland Security), d’une association à but non lucratif dont la mission sera de faire participer tous les acteurs concernés à la construction de standards auxquels devront répondre les échanges d’informations.
Alors que des entreprises comme Apple, Intel et Bank of America ont déjà indiqué qu’elles s’appuieraient sur la nouvelle structure, on notera certaines zones d’ombres. La plus importante réside dans le rapprochement accentué des entreprises, surtout les plus importantes d’entre elles, avec le gouvernement. Or, dans le sillage des révélations d’Edward Snowden notamment, ces relations troubles ont déjà fait l’objet de critiques acerbes.
Pour autant, la volonté de la Maison Blanche semble surtout de normaliser des flux d’informations qui sont, pour l’instant, disséminés. Les mesures actuellement prises devraient donc d’une part structurer les échanges pour unifier la communication, et d’autre part mettre un certain nombre d’informations en commun. Dans le cas de Sony Pictures, les conclusions auraient sans doute été moins discordantes et la prévention peut-être plus efficace.
En France, la situation n’est pas si tranchée, exception faite des opérateurs de téléphonie, comme indiqué dans l’article 34 bis de la loi modifiée du 6 janvier 1978 de la CNIL. Hors de ce champ spécifique, les entreprises n’ont pas d’obligation particulière de déclarer une brèche dans leurs défenses, mais la CNIL peut enquêter de sa propre initiative, d’autant plus facilement que ses pouvoirs ont été largement renforcés en 2013.
