USA : la proposition de loi CISA relative à la cybersécurité est validée par le Sénat,
une mesure au centre de la controverse
Suite au piratage dont a été victime Sony Pictures en novembre dernier, le président américain Barack Obama et son administration semblent avoir pris le problème particulièrement à cœur. Les tentatives de renforcements de la cybersécurité des États-Unis se sont multipliées, que ce soit la signature d’un décret en février pendant le premier forum organisé par la Maison-Blanche sur la Cybersécurité et la Protection des Consommateurs à l’université de Stanford ou plus récemment encore une entente entre Pékin et Washington sur la question de la cybersécurité qui est en construction depuis septembre.
Pour Barack Obama, « il n’y a qu’une seule façon de défendre l’Amérique de ces cybermenaces et c’est par une coopération du gouvernement et des entreprises, partageant les informations appropriées comme de vraies partenaires ». D’ailleurs il a rappelé que « des entreprises américaines sont visées, leurs secrets commerciaux, volés, leur propriété intellectuelle, bafouée. Ces attaques détruisent aussi des emplois. C’est aussi une menace sur l’économie américaine ».
C’est dans ce contexte que le Sénat américain a adopté la proposition de loi CISA (Cybersecurity Information Sharing Act), une mesure qui permet aux entreprises de partager leurs informations liées à la cybersécurité entre elles, mais également avec le gouvernement fédéral.
Conformément à cette mesure, les entreprises pourraient surveiller certaines informations à des fins de cybersécurité, parmi lesquelles :
- leurs propres systèmes d'information ;
- les systèmes d'information d'autres entités, y compris les entités du gouvernement fédéral, tel qu'autorisé par ces entités ;
- les informations stockées ou traitées par les systèmes d'information mentionnés ci-dessus.
Les entreprises pourraient également appliquer des mesures défensives à l'un des systèmes d'information mentionnés ci-dessus, sous réserve du consentement à une telle mesure de l'entité d'hébergement. En outre, les entités pourraient partager indicateurs de cybermenaces ainsi que des mesures défensives avec d'autres entités.
Si en surface, cette proposition de loi semble être une bonne idée, encourageant la coopération entre les agences gouvernementales et le secteur privé, des experts en sécurité, des gros bonnets de l’industrie, des professeurs de droit, mais aussi des groupes de consommateurs ont exprimé leur réticence à ce projet, étant donné qu’il va permettre aux entreprises de récolter autant de données que possible sur les utilisateurs au nom de la cybersécurité et de les partager avec la Sécurité intérieure. Si CISA entre en vigueur, il serait alors « impossible pour nous de garantir notre propre politique de vie privée aux consommateurs parce qu’Heroku pourrait violer leur entente avec nous et partager des informations à propos de nos utilisateurs avec le gouvernement », expliquait Evan Greer, le directeur technologique de Fight for the Future au PDG de l’entreprise derrière la plateforme d’application Cloud Heroku qu’est Marc Benioff.
Pour Apple, « nous ne sommes pas en faveur de la proposition de loi actuelle CISA. La confiance de nos utilisateurs signifie tout pour nous et nous ne pensons pas que la sécurité devrait être établie au détriment de leur vie privée ». Ce à quoi le Washington Post s’oppose en disant que « la notion qu’il y a un choix binaire entre la vie privée et la sécurité est fausse. Nous avons besoin à la fois de la vie privée et de la cybersécurité et la proposition de loi validée par le Sénat est un pas vers la levée du blocage sur la sécurité. Les sponsors ont ajouté des protections de la vie privée qui vont permettre d’effacer des renseignements personnels avant qu’ils ne soient partagés. Ils ont fait de cette proposition de loi un volontariat, alors si les entreprises ne sont pas vraiment intéressées, elles peuvent rester à l’écart ».
Le quotidien The Guardian remarque que « en dépit des protestations qui avançaient que CiSA n’est pas un projet de loi de surveillance, les cosponsors que sont Richard Burr et Diane Feinstein ont dissuadé leurs collègues de voter pour des amendements afin d’atténuer ce que les sénateurs ont appelé invasions déraisonnables de la vie privée, y compris un amendement qui stipulait que les citoyens devaient être informés que leurs données étaient en train d’être examinées ».
Les données en question peuvent provenir des courriels, des informations financières ou des informations relatives à la santé. Mais les partisans du projet soutiennent que ces données seront anonymes.
Sous CISA, un programme dans le Département de la Sécurité intérieure qui servira de plateforme d’échanges de données entre les entreprises et plusieurs agences gouvernementales. En retour, les entreprises recevront une immunité complète aux requêtes lancées sous le Freedom Information Act, une loi qui est fondée sur le principe de la liberté d’information et qui oblige les agences fédérales à transmettre leurs documents à quiconque en fait la demande, nonobstant sa nationalité.
Source : The Guardian, Washington Post, proposition de loi
Et vous ?
Qu'en pensez-vous ? Représente-t-elle une mesure efficace selon vous ?
Voir Aussi :
Barack Obama voudrait voir le gouvernement et les entreprises travailler ensemble, pour mieux se défendre face aux cybermenaces
Partager