CISA : le Sénat américain approuve un premier pas critiqué vers la cyberdéfense organisée

Come what may 5
En bref
image dediée
Crédits : Cliff (licence CC BY 2.0)
Loi
Vincent Hermann

Le Sénat américain a validé hier par une écrasante majorité le projet de loi CISA, qui permet aux entreprises de partager certaines informations personnelles avec le département de la sécurité intérieure sans craintes de représailles. La Silicon Valley et plusieurs associations s’émeuvent de l’impact sur la vie privée, tandis que d’autres reprochent des mesures trop frileuses.

Les révélations d’Edward Snowden ont permis de focaliser l’attention sur le fonctionnement des agences de surveillance, et sur la manière dont leur mission de protection peut prendre des allures de campagne proactive. Elles ont provoqué également une crise de confiance pour les entreprises du cloud, la plupart publiant désormais des rapports de transparence, pour indiquer notamment le nombre de requêtes faites par les forces de l’ordre. Le chiffre peut être précis ou donné sous forme de fourchette, surtout quand il concerne les demandes avalisées par la FISC (Foreign Intelligence Surveillance Court).

Une majorité écrasante

Cette crise de confiance se manifeste ainsi : héberger des données personnelles dans le cloud des entreprises américaines revient à sacrifier sa vie privée et en faire « cadeau » aux agences de surveillance du pays. Dans ce contexte, les négociations autour du Safe Harbor entre les États-Unis et l’Europe revêtent une importance capitale. Difficile d’oublier en effet la Section 702 de la loi FISA (Foreign Intelligence Surveillance Act), qui permet aux agences de renseignement de piocher dans les données stockées sur les serveurs américains, mais seulement si elles appartiennent à des utilisateurs étrangers.

Il existe en fait un flou sur la manière dont ces données sont collectées, car les entreprises et les autorités insistent particulièrement sur les demandes faites au cas par cas. Les documents de Snowden, quant à eux, renvoyaient vers une automatisation du processus, avec parfois une connexion directe aux serveurs de certaines entreprises, ce qu’elles ont démenti. Dans tous les cas, le Department of Homeland Security cherchait depuis plusieurs années à mieux formater ces échanges. Dont acte.

Les sénateurs ont en effet validé hier, à une écrasante majorité de 74 contre 21, un projet de loi baptisé CISA, pour Cybersecurity Information Sharing Act. L’objectif du texte est de créer une infrastructure juridique permettant aux entreprises de communiquer plus rapidement et plus efficacement des données liées à des enquêtes en cours, mais pas seulement.

Entre partage volontaire d'informations, cyberdéfense et vie privée

Le partage se fait sur une base volontaire. Le texte est clairement conçu pour faciliter les échanges dans des cas comme le piratage de Sony Pictures, que la Maison Blanche n’avait pas hésité à attribuer à la Corée du Nord. Si la loi avait été active à ce moment, Sony aurait pu communiquer rapidement certaines informations aux autorités, qui auraient pu aller contacter d’autres agences, comme le FBI et la NSA.

Avec ce texte, les États-Unis font un premier pas vers une véritable organisation de la cyberdéfense. On se souvient qu’en avril dernier, l’ancien directeur de la NSA, le général Keith Alexander, avait très clairement indiqué que le pays n’était pas prêt à faire face à des attaques massives, surtout si elles devaient pointer sur des OIV (Opérateur d'importance vitale) et/ou des sociétés équipées de systèmes SCADA (Supervisory Control And Data Acquisition), autrement dit des infrastructures de contrôle et de gestion des données sur de larges échelles. Le projet de loi CISA est en fait dans les cartons depuis des années et a fait l’objet de nombreuses négociations. Le texte voté par le Sénat est la première entente sur ce sujet épineux, mais il provoque de nettes divisions.

« Un chemin très dangereux à emprunter »

Du côté de l’EFF, on considère par exemple que l’infrastructure mise en place pourrait entrainer de dangereuses dérives. L’aspect « volontaire » de la participation d’une entreprise serait un leurre, à cause notamment de l’emploi de termes très flous dans le texte. Les informations envoyées doivent normalement être débarrassées de leur caractère personnel, mais uniquement si l’entreprise sait qu’il y en a. Il serait donc facile pour la Fondation d’arguer qu’elle ne le savait pas. D’autant que si la CISA devenait active, elle aurait préséance sur toutes les autres : l’entreprise est assurée d’être couverte juridiquement sur un tel partage, même si elle enfreint des lois portant sur la vie privée.

Même son de cloche pour Robyn Greene de l’Open Technology Institute : « Toutes les lois sont mises à terre devant les objectifs de ce partage d’informations : vie privée financière, vie privée dans les communications électroniques, données de santé, aucune n’aurait plus d’importance. Un chemin très dangereux à emprunter. » On pense d’ailleurs immédiatement aux propres termes très flous de la loi française sur le renseignement, la vie privée s’effaçant également devant certains enjeux, dont la sécurité du pays.

Et pourtant, plusieurs sénateurs ont déposé des amendements pour préciser des situations ou revoir certains termes. Al Franken souhaitait par exemple apporter une définition claire de « cybermenace », tandis que Ron Wyden insistait sur la nécessité pour les entreprises de veiller efficacement au retrait des données personnelles. Le même Wyden qui estimait il y a une semaine qu'il s'agissait d'une loi sur la surveillance, et non sur la cybersécurité. Mais tous les amendements ont été rejetés et le texte a finalement été voté en l’état.

La CISA ne sera qu'une première étape

Pour les défenseurs du texte, ces craintes ne sont en tout cas pas justifiées. Ils rappellent le caractère volontaire de la participation. Pour autant, le sénateur Richard Burr concède qu’il existe quelques points à régler : « Nous ne pensons pas qu’ils sont forcément exacts, mais ce n’est qu’en utilisant le système que nous comprendrons si nous avons fait des erreurs ». En d’autres termes, le système n’est sans doute pas parfait, mais les problèmes pourront toujours en être corrigés plus tard.

Le futur n’est pas encore totalement certain pour ce projet de loi, notamment parce qu’il existe des différences entre les textes votés par la Chambre des représentants et celui du Sénat, qu'il faudra donc réduire en commission de conciliation. Il n’est pas encore trop tard pour les entreprises de la Silicon Valey, largement opposées à ce texte, et les organisations de défense de la vie privée et des libertés civiles (55 d’entre elles s’étaient regroupées en avril pour dénoncer le texte). Mais le créneau s’annonce mince car un vrai consensus semble avoir émergé chez l’ensemble des députés et sénateurs, le texte n’étant qu’une première étape. Harry Read, qui dirige le groupe démocrate au Sénat, n’a d’ailleurs pas caché son opinion sur le sujet, en indiquant que la loi en devenir était « beaucoup trop faible ».


chargement
Chargement des commentaires...