lundi 28 juin 2010

Brève sur le "Cybersecurity Bill"

EDIT: Un article récent proposé par un éminent juriste, ou du moins, un homme versé dans la lecture des arcanes juridiques américaines nous propose une information récente.

Ainsi, une loi de 1934, le Communication Act autorise le Président, en temps de guerre notamment mais aussi en cas de désastre national, à couper ou à ordonner la coupure de toutes les émissions produites par des appareils électro-magnétiques.

Par ailleurs, poursuivant son analyse, l'auteur reprend les dispositions du Cybersecurity Bill et montre qu'il n'existe, en tant que tel, aucun "kill switch" mais bel et bien des dispositions inhérentes à une situation de crise permettant au Président d'obliger les responsables de réseaux civils à prendre certaines décisions et/ou postures. Par exemple, obliger l'équivalent des OIV à mettre en place des plans de gestion de crises...


====================================================================================

Le projet de loi global sur la cybersécurité dont nous parlions il y a peu encore s'est vu approuvé par la Commission du Sénat pour la Sécurité Intérieure et les affaires publiques (The Senate Homeland Security and Governmental Affairs Committee).

Ce projet de Loi proposé par les Sénateurs Lieberman, Collins et Carper pose d'ores et déjà de nouveaux challenges notamment en raison du fait qu'il entre potentiellement en conflit avec d'autres projets déposés plus tôt dans l'année (on en parle également dans le post précédent). A ce sujet, rappelons qu'il existe actuellement une vingtaine de projets sur le sujets dans les cartons en attente du Congrès...Chacun voulant y aller de SA loi !!!

Malgré ces efforts méritoires de synthèse, ce projet de loi est loin de faire l'unanimité. Le Sénateur Bond (ça ne s'invente pas !) affirme ainsi que la place faite au DHS (Department of Homeland Security) y est bien trop grande pour deux raisons principales : une certaine inefficacité dans la capacité à gérer les efforts en matière de sécurité de l'information et un périmètre d'action déjà bien élargi.

Il s'agit bien évidemment de politique bien sentie : le Sénateur McCain affirmait ainsi que les capacités de réponses du DHS étaient compromis après l'attentat manqué à Times Square.

C'est pourquoi les Sénateurs Bond et Hatch ont présenté récemment leur propre projet de loi sur la cybersécurité. Ayant le mérite de la simplicité, celui-ci propose la création d'un unique poste de coordinateur, dépendant du Ministère de la Défense mais rapportant directement au Président. Comme il est d'usage pour le Congrès, ce coordinateur serait approuvé par l'assemblée parlementaire qui tient à garder ainsi un contrôle.

Au contraire l'actuel coordinateur, Howard Schmidt n'a pas eu à passer par cet exercice délicat de passage devant les "juges" politiques que constituent les parlementaires lors de ces occasions.

Par ailleurs, le cybersecurity center que propose ce projet de loi dépendrait du ministère de l'Energie, ce qui est cohérent avec la préoccupation constante de la "Smart Grid" et des craintes occasionnés par les coupures de courant, soi-disant en lien avec des attaques informatiques. Pour le reste, voyez Die Hard 4 :) !

Cela dit, il existe une vraie logique opérationnelle dans le fait de créer ce centre dans un ministère en charge des questions de l'énergie. Comme l'a montré un récent colloque, les SCADA constituent encore le "parent pauvre" de la SSI. Cela dit, la sécurité de l'information n'est pas qu'une question industrielle et pour une fois, je me dois de rappeler que les réseaux traitant les aspects administratifs ou encore financiers sont susceptibles de causer de TRES sérieux dommages à la vie d'une société (cf. Estonie...).

S'il est vrai que l'effort parait un peu disproportionné et un peu trop infiltré par le politique, on peut se demander ce qu'il existe en France... Le reproche ici serait sans doute double :

=> le manque d'une législation claire (Les lois Godfrain sont-elles encore adaptées ? Les incitations à la SSI sont-elles suffisantes ? la LCEN et le statut hébergeur/éditeur :( !!!, HADOPI (pfiuuuu) ).

=> le manque de visibilité sur les autorités en charge de ces questions et d'interlocuteurs évident pour les entreprises (quoique l'ANSSI commence à être connue !)

=> l'absence de visibilité sur la stratégie : le Livre Blanc en fait trop PEU (à mon goût) et les rapports parlementaires sur le sujets, bien qu'excellents dans l'ensemble, restent des documents cantonés à un public spécialisé...

On ne peut donc dire que RIEN n'existe en France, ce serait médire. On pourrait, en revanche, souhaiter un peu plus de visibilité et d'ouverture, éventuellement...Et cela reste un avis personnel (il faut le préciser même si c'est un blog!).

Source :

http://gcn.com/articles/2010/06/28/no--kill-switch-in-lieberman-collins-bill.aspx



http://thehill.com/blogs/hillicon-valley/technology/105721-sen-bond-says-dhs-shouldnt-oversee-cybersecurity


http://fcw.com/articles/2010/06/25/web-lieberman-collins-bill.aspx

Aucun commentaire:

Enregistrer un commentaire