L’administration Biden a publié sa stratégie pour lutter contre la cybercriminalité et renforcer la cybersécurité des États-Unis. Elle veut notamment rééquilibrer les responsabilités en faveur des grandes entreprises et organisations les mieux équipées pour faire face aux menaces, plutôt que de faire peser le poids sur les épaules des particuliers et des petites entreprises.

Le responsabilité sur les big tech

Il s’agissait d’un document attendu. Le président démocrate a dévoilé sa stratégie de cybersécurité à l’échelle nationale, alors que les États-Unis doivent faire face à une menace toujours plus accrue, notamment de la Russie et de la Chine.

« Au cours de cette décennie décisive, les États-Unis vont réimaginer le cyberespace comme un outil permettant d’atteindre nos objectifs d’une manière qui reflète nos valeurs : sécurité et prospérité économiques, respect des droits de l’Homme et des libertés fondamentales, confiance dans notre démocratie et nos institutions démocratiques, et société équitable et diversifiée. Pour concrétiser cette vision, nous devons apporter des changements fondamentaux dans la manière dont les États-Unis répartissent les rôles, les responsabilités et les ressources dans le cyberespace », écrit la Maison Blanche dans un communiqué de presse.

Tout d’abord, le gouvernement appelle les acteurs importants de l’industrie technologique américaine à assumer une responsabilité beaucoup plus grande pour garantir que leurs systèmes ne puissent pas être piratés. Comme l’explique le New York Times, si la stratégie était transposée dans de nouvelles réglementations et lois, « elle obligerait les entreprises à mettre en œuvre des mesures minimales de cybersécurité pour les infrastructures critiques – et, peut-être, à imposer la responsabilité des entreprises qui ne parviennent pas à sécuriser leur code, un peu comme les constructeurs automobiles et leurs fournisseurs sont tenus responsables des airbags défectueux ou des freins défectueux ».

Cela va dans le sens des propos tenus par Jen Easterly, directrice de l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA), plus tôt cette semaine. Elle exhortait notamment les grandes entreprises technologiques du pays à drastiquement renforcer leur sécurité, et dénonçait le fait que de nombreux produits et logiciels sont commercialisés avec d’importantes vulnérabilités.

Défendre les infrastructures critiques

La Maison Blanche souhaite se concentrer sur la défense des infrastructures critiques en étendant les exigences minimales de sécurité dans certains secteurs, et traitera notamment les rançongiciels comme une menace pour la sécurité nationale. Le travail dans ce sens a déjà commencé. Après la cyberattaque menée à l’encontre d’un oléoduc vital pour le pays, Joe Biden a signé, en mai 2021, un décret obligeant les fournisseurs de services informatiques d’informer le gouvernement des cyberattaques susceptibles d’affecter les réseaux nationaux.

Le gouvernement va « perturber et démanteler » les cybermenaces de manière proactive, notamment par une coopération internationale dans la lutte contre les rançongiciels. La stratégie appelle d’ailleurs à forger des partenariats internationaux afin de travailler avec des nations partageant les mêmes idées pour créer des chaînes d’approvisionnement sécurisées. Biden prévoit d’investir davantage et sur le long terme dans la recherche et la main-d’œuvre en matière de cybersécurité. Il espère ainsi réduire les vulnérabilités « systémiques » sur Internet.

Comme le note CyberScoop, le point le plus important de la stratégie de Biden, à savoir l’imposition d’une responsabilité aux entreprises, sera semé d’embûches techniques et politiques. Le document préconise en effet que le Congrès en soit chargé. Or, celui-ci est à majorité républicaine : il n’est pas certain qu’une stratégie issue du parti démocrate soit respectée. Il faut, en outre, définir les circonstances dans lesquelles les entreprises seraient tenues responsables pour une erreur dans leur code, ce qui peut se transformer en véritable casse-tête, le but n’étant pas d’imposer trop de conditions aux entreprises et de risquer à ce qu’elles se retrouvent embourbées dans d’importantes procédures judiciaires.

Par ailleurs, il n’est pas certain que les développeurs accueillent favorablement des lois qui les rendent responsables de failles de sécurité.