Le CIO/DSI américain se montre réticent à partager ses informations de cybersécurité, même si la loi fédérale le lui impose aujourd'hui. Un Cybersecurity Information Sharing Act (CISA) aux conséquences d'une grande complexité jusque dans nos entreprises et DSI. Dans un environnement règlementaire qui se fait de plus en plus contraignant des deux côtés de l'Atlantique, en particulier en matière de partage et de publication des informations relatives aux menaces de cyberattaques, les CIO/DSI trainent des pieds et se montrent plutôt tièdes à cette idée, dont les conséquences pourraient bien être plus larges qu'on ne l'imagine.
Cybersecurity Information Sharing Act
Aux Etats-Unis, cette démarche a pourtant été officialisée par le gouvernement fédéral via le
Cybersecurity Information Sharing Act (CISA), une loi sur le partage de l'information sur la cybersécurité adoptée en octobre dernier par le Sénat américain. Cette loi place le DHS (
Department of Homeland Security) au coeur d'un dispositif visant à collecter, synthétiser et partager les informations sur les cyber-menaces... Officiellement,
Cybersecurity Information Sharing Act a pour but de protéger les entreprises contre les poursuites privées qui pourraient faire suite au partage et à l'échange d'information. Ce qui laisse sceptique une partie des entreprises américaines, en particulier les DSI des entreprises du Fortune 500, qui doutent de pouvoir réellement bénéficier de protections statutaires au cas où le DHS ou la police enregistreraient leurs signalements de
hacks. Interrogés par le Wall Street Journal - alors que le CISA est une loi fédérale, et donc applicable à toutes les entreprises américaines, étrangères présentes sur le sol américain, ou étrangères qui collaborent avec des entreprises américaines - seulement 58 % des DSI ont indiqué qu'il serait 'probable' qu'ils coopéreront avec le gouvernement dans le cas d'une violation de données.
Des conséquences contraignantes, voire douteuses !
Ce qu'il faut comprendre du
Cybersecurity Information Sharing Act c'est que l'administration américaine attend des entreprises qu'elles lui transmettent l'indication de toute menace d'intrusion détectée sur un serveur. La question de l'indicateur se pose ici. Ainsi, les CIO américains seraient prêts à fournir l'adresse IP d'une attaque, plutôt que l'information d'un incident. Transmise au DHS, l'information intègrerait une immense base de données, où elle serait dépouillée de renseignements 'privés', comme ceux relatifs au poste de travail donc à l'employé. Les données seraient également accessibles aux fournisseurs de cybersécurité. Pour le DHS, partager les informations à des fins de cybersécurité, c'est se protéger contre les litiges en responsabilité des incidents de sécurité. Sauf que dans la réalité, l'affaire est beaucoup plus complexe, comme le démontre la réactivité de certains acteurs du marché qui se sont empressés d'ajouter un avenant à leurs contrats qui reprend le
Cybersecurity Information Sharing Act pour imposer un environnement normatif pour sa prise en compte, le NIST (
National Institute of Standards and Technology) considéré comme un standard. Le NIST est un cadre de cybersécurité dont les normes sont, comme par hasard, supportées par le DHS. Pour les DSI, américains, mais également européens et d'entreprises sous contrat avec des entreprises américaines, le CISA ne fait donc qu'ajouter une couche supplémentaire de complexité à un domaine qui l'est déjà en soi, et qui n'en avait certainement pas besoin. Un rappel que le volet juridique est désormais incontournable de tout projet, informatique et sécurité en particulier. Et une nouvelle démonstration que lorsqu'une administration en charge de la cybersécurité affirme vouloir aider les entreprises, il est préférable d'être prudent. Cela, nos DSI et leurs entreprises l'ont bien compris et finalement le subissent une nouvelle fois.
