Les autorités américaines durcissent le ton face à la cybercriminalité. Désormais, les entreprises sous contrat avec le gouvernement risquent de très lourdes amendes si elles ne signalent pas les failles présentes dans leurs systèmes informatiques.

Les enjeux de la cybersécurité

La cybersécurité est un thème qui prend de plus en plus d’ampleur au sein même des gouvernements. Les cyberattaques ont en effet connu une très forte hausse depuis le début de la pandémie, et plus particulièrement les ransomwares. L’attaque de l'entreprise Colonial Pipeline, qui a entraîné la mise à l’arrêt de l’un des plus importants oléoducs américains, est le parfait exemple des dangers qu’ils peuvent représenter.

La cyberattaque de SolarWinds, ayant touché de très nombreuses entreprises mais également des agences gouvernementales américaines, a par ailleurs mis en lumière les défaillances de la cybersécurité du pays. Ce secteur est désormais de très haute importance avec de très grands enjeux géopolitiques et économiques. Pour cette raison, l’administration Biden a décidé d’en faire l’une de ses priorités : après l’annonce de plusieurs directives au mois de mai dernier pour renforcer les cyber infrastructures de son pays, le président a également organisé un sommet avec le secteur privé à ce sujet.

Plus récemment, les hauts responsables de la cyberdéfense américaine ont appelé le Congrès à sévir contre les entreprises ne signalant pas les cyberattaques.

Les cyberattaques sont de plus en plus nombreuses depuis 2020. Photographie : Lewis Kang'ethe Ngugi / Unsplash

Les entreprises obligées de rapporter tous les cyber incidents

Comme le rapporte le Wall Street Journal, le Département de la Justice va aller dans ce sens. Il va en effet utiliser les pouvoirs qui lui sont conférés par le False Claims Act pour sanctionner les sociétés ne rapportant pas les cyber incidents qu’elles subissent. Cette loi datant de la guerre civile cible les entreprises ou les organisations qui fraudent le gouvernement. Elle stipule par exemple que le fait de soumettre une demande de fonds comprenant de fausses informations, comme un entrepreneur qui envoie une facture pour des travaux qu'il n'a pas effectués, constitue une violation.

Dans le cas de la cybersécurité, les sanctions toucheront les entreprises ne respectant pas les normes requises. « Pendant trop longtemps, les entreprises ont choisi le silence en pensant, à tort, qu'il était moins risqué de cacher une violation que de la signaler. Eh bien, cela change aujourd'hui. Lorsque ceux à qui l'on confie des fonds publics, qui sont chargés de travailler sur des systèmes gouvernementaux sensibles, ne respectent pas les normes de cybersécurité requises, nous allons nous attaquer à ce comportement et infliger des amendes très lourdes », a ainsi déclaré le procureur général Lisa Monaco.

Le Département de la Justice précise que les entreprises recevant des fonds fédéraux et qui, en connaissance de cause, font de fausses déclarations concernant leurs défenses, fournissent des équipements de cybersécurité défectueux ou ne signalent pas les incidents, sont toutes concernées par la nouvelle initiative.

Un texte trop ancien ?

Selon Lisa MacLean, directrice de l'enseignement de la cybersécurité à la Flatiron School, une organisation éducative de New York, cette mesure n’est peut-être pas la bonne solution du fait de l’ancienneté du texte, qu’il sera difficile d’adapter aux défis de la cybersécurité actuelle : « Il faut trouver un équilibre entre la nécessité d'inciter les entreprises à éviter ces problèmes et celle de ne pas ruiner complètement leur réputation ou leurs moyens de subsistance », assure-t-elle.

Si cette annonce est une nouvelle preuve du combat mené par le gouvernement américain face aux cyber menaces, ce dernier devra probablement aller beaucoup plus loin afin de garantir sa sécurité. Pour donner un ordre d’idée sur les enjeux de la sécurité en ligne, il faut savoir que les investissements dans les startups spécialisées en cybersécurité ont plus que doublé lors du 1er semestre 2021.