Au cours de l’audition sur la sécurité nationale et les affaires gouvernementales du Sénat américain, le 23 septembre, plusieurs hauts responsables de la cyberdéfense ont demandé une législation plus ferme sur le signalement de cyber-incidents par les entreprises en charge des infrastructures critiques.

Les pontes américains de la cybersécurité sur le pont

Jen Easterly, directrice de l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA), Chris DeRusha, directeur fédéral de la sécurité de l’information et Chris Inglis, directeur national du cyberespace ont demandé au Sénat de mettre en place des mesures pour inciter les entreprises à signaler au plus vite une cyberattaque sous peine d’amendes.

Jen Easterly a expliqué que « le signalement des cyber-incidents doit se faire en temps utile, idéalement dans les 24 heures suivant la détection ». Si Chris Inglis a expliqué ne pas vouloir « imposer un fardeau injuste aux victimes », il estime que « ces informations sont essentielles ».

La plupart des États contraignent les entreprises à divulguer les violations exposant des données personnelles. Des secteurs réglementés comme la finance, l’énergie ou les transports sont également obligés par des normes fédérales à signaler les incidents. Il n’existe pas, en revanche, de législation unique au niveau national en la matière.

Alejandro Mayorkas, secrétaire à la sécurité intérieure aux côtés de Jen Easterly nouvelle directrice de la Cybersecurity and Infrastructure Security Agency

Alejandro Mayorkas, secrétaire à la sécurité intérieure aux côtés de Jen Easterly nouvelle directrice de la Cybersecurity and Infrastructure Security Agency (CISA) depuis août 2021. Photographie : DHS / Flickr.

Les réticences du Congrès volent en éclat face à la cybermenace

Entreprises et certains élus ont longtemps été réfractaires à une telle décision. L’année 2021 et les attaques de Colonial Pipelines, SolarWinds et d’autres sont à même de changer les choses. Selon les informations du Wall Street Journal, des indices laissent penser que l’administration Biden serait prête à durcir l’obligation de signalement.

En juillet, une proposition de loi au Sénat envisageait de donner 24h à une liste d’entreprises bien précises pour signaler un incident. En cas de non-respect de la directive, le CISA serait doté du moyen d’adresser une amende à l’entreprise récalcitrante à hauteur de 0,5% de son chiffre d’affaires.

L’affaire Colonial Pipelines a ouvert la voie à la modification des règles de la Transportation Security Administration, une société exploitant un gazoduc gardant une cyberattaque pour elle pendant plus de 12h s’expose à 7000 dollars d’amendes par jour de retard.

Les entreprises privées jouent leurs cartes

Ces projets restent observés avec une grande méfiance par le secteur privé. John Miller, premier vice-président chargé de la politique et du conseil général de l’Information Technology Industry Council, une association commerciale de sociétés technologiques basées à Washington, estime que « Des mesures punitives seraient contre-productives pour maintenir le partenariat qui existe actuellement entre le secteur privé et le gouvernement ».

Sur cette question il n’est pas certain que les entreprises pèsent lourd face aux menaces cyber, un risque pour l’économie américaine. En coulisse, le lobbying s’active. Si une nouvelle législation semble acquise, c’est au niveau de la sanction et de la fenêtre de déclaration que les entreprises tentent de réduire la portée d’un futur texte.