Bien réels, les risques de cybersécurité peuvent menacer les Etats. Néanmoins, adopter des législations très restrictives, au risque de pénaliser les entreprises, n’est pas la seule option possible pour s’en prémunir. Des chercheurs du MIT ont établi un modèle recensant les différentes options possibles, pour les nations comme pour les entreprises confrontées à ces questions.

La prise en compte de la cybersécurité dans les relations commerciales internationales est récente. Cependant, à l’heure de l’Internet des objets, pratiquement tous les produits peuvent être connectés, avec les risques associés que cela représente en matière de sécurité informatique. De la même façon, tous les services basés sur la donnée sont concernés par ces enjeux. Citons par exemple la poupée connectée « Mon amie Cayla », dont la technologie pouvait être détournée pour recueillir des données sur les enfants et leur entourage, ou l’attaque de Stuxneten Iran.

Des chercheurs du MIT ont travaillé sur une trentaine de cas où des pays ont choisi de bloquer l’import d’un produit pour des questions de cybersécurité.Ils ont tiré de ces travaux un modèle global recensant l’ensemble des options possibles, pour les Etats comme pour les entreprises préoccupées par le risque de cyber intrusion. L’objectif : aider les acteurs concernés à trouver le bon équilibre, afin de se protéger sans pour autant pénaliser les entreprises par des législations trop restrictives.

1Quelles options pour les Etats ?

  • Ne rien faire : les gouvernements informés d’un risque éventuel en termes de cybersécurité peuvent choisir de l’ignorer, à leurs risques et périls. L’information peut en effet parvenir au public par d’autres biais.
  • Mettre en place des barrières douanières : les Etats peuvent mettre en place des réglementations restrictives pour certains types de produits, comme l’a fait l’Allemagne avec les poupées Cayla.
  • Limiter la liste des fournisseurs officiels de l’Etat : les pays peuvent bannir certains fournisseurs des marchés publics, soit parce qu’ils estiment que leurs produits présentent un risque, soit pour favoriser des fournisseurs locaux.
  • Etablir des accords collatéraux pour se prémunir contre certains comportements : La Chine et les Etats-Unis ont par exemple conclu un accord où ils s’engagent contre le vol de la propriété intellectuelle.
  • Amplifier les conflits : d’autres pays peuvent choisir au contraire de répondre par les mêmes armes dans le cas d’un cyber conflit, ce qui peut mener à une cyber-guerre commerciale.

2Quelles options pour les entreprises ?

  • Proposer des recommandations : plusieurs entreprises peuvent se regrouper pour suggérer à un gouvernement de faire évoluer les lois, afin de mieux prendre en compte la cybersécurité dans le cadre des relations commerciales internationales.
  • Accepter les contraintes commerciales : une entreprise peut choisir de se conformer aux lois en vigueur et accepter de ne plus vendre son produit dans un Etat qui l’interdit.
  • Etablir des compromis : les entreprises peuvent également tenter de parvenir à un compromis, en acceptant de se pilier à des exigences supplémentaires (modification de leurs produits, accords sur le stockage des données…) pour pouvoir continuer à vendre leurs produits dans un pays donné.
  • Eviter certains pays : certaines entreprises choisissent de se retirer de certains marchés locaux si les législations ne leur permettent pas de commercialiser leurs offres (Google en Chine en 2010, Huawei aux Etats-Unis en 2014).
  • S’opposer ouvertement : des organisations peuvent choisir de défier les lois en vigueur dans un Etat, comme l’a fait LinkedIn en 2016 face aux lois de protection des données de la Russie. En réaction, l’entreprise a été bannie de Russie en 2017.
  • Collaborer : les organisations peuvent enfin travailler avec les Etats concernés pour réduire l’impact négatif de certaines régulations, ou même participer à l’élaboration de nouvelles lois.
Source : Harvard Business Review

AUCUN COMMENTAIRE