lundi 21 juin 2010

Compléments sur le "Protecting Cyberspace as a National Asset Act of 2010"

Ce projet de loi, en attente de passage devant le Sénat, avait déjà fait l'objet d'une analyse dans un message précédent ainsi que dans un autre, plus ancien.

Il se définit comme une stratégie global visant à assurer une forme de domination et de maîtrise du cyberespace américain. Encore à l'état de projet de loi ("Bill"), il est susceptible de devenir une des pièces maitresses de la stratégie américaine en la matière, en excluant cependant l'aspect militaire des choses.

Cela dit, ce projet de loi semble intégrer l'aspect défensif proposé dans un autre projet de loi qui visait à donner au Président le pouvoir de couper Internet pour tout ou partie des Etats-Unis. Les aspects plus consensuels du projet, notamment l'aspect encadrement des efforts "FISMA" ou encore la pérennité des postes de type cyberczar dans des officies dédiées à la Maison Blanche, faisaient également partie d'un autre projet proposé par le Sénateur Langevin...

Washington et ses surprises politiques....

Quoi qu'il en soit, voici donc une liste des modifications apportées par ce projet de loi qui semble se faire une synthèse de ce qui a été observé durant ces derniers mois :

=> Création d'un "Office of Cyberspace Policy" directement lié au Président (Executive Office) chargé de la coordination. C'est peu ou prou la fonction actuelle du Cyberczar mais elle est ainsi pérennisée et placée sous la tutelle du Sénat (qui détient la faculté de nomination).

=> Création d'un National Center for Cybersecurity and Communications au sein du DHS dont le directeur sera nommé par le Sénat. Cette nouvelle organisation englobera l'US-CERT et aura une vocation de conseil sur la sécurité des réseaux civils (le militaire étant à part et géré par l'US CYBERCOM et la NSA pour ce que l'on en sait).

=> Ce projet modifie aussi considérablement le FISMA qui obligeait le secteur public à atteindre un niveau de sécurité donné. L'approche n'a pas donné de bons résultats car les agences cherchaient plus à être conformes aux audits qu'à élever le niveau de sécurité. Les leviers d'incitations sont donc revus.

=> le NCCC devra travailler avec le secteur privé et en particulier, les organisations critiques pour assurer un niveau de sécurité globale plus élevé. Par ailleurs, cette approche sera basée sur des analyses de risques.

=> Ce point est particulièrement important : il met en place un partage d'informations obligatoires et organisé entre le NCCC et les opérateurs d'importance vitale locaux. Ceux-ci doivent fournir des informations sur leurs incidents de sécurité afin de permettre une vue globale en contrepartie d'échanges d'informations sur les risques et les menaces.

Par ailleurs, le projet de loi préconise que le Président soit doté de pouvoirs spéciaux lui permettant notamment d'activité, en cas de crise, des mesures d'urgences ayant des effets sur les réseaux privés. En revanche, et c'est à noter, contrairement au projet de loi cité plus haut,le Président ne pourra pas autoriser une forme de "loi martiale" sur les réseaux privés. Les mesures d'urgences sont par ailleurs déclarées au Congrès avant leur application et ne peuvent excéder 30 jours. Elles doivent également être les moins "fortes" possibles.

=> Le texte de loi évoque une "supply chain" gérée en considérant plus attentivement les risques encourus. Cela fait notamment référence aux produits et matériels réseaux et informatiques qui peuvent être sources d'assez importants problèmes (monopoles, portes dérobées sur certains routeurs de grandes marques etc...)

=> Parmi les derniers points traités, le besoin de recruter des équipes compétentes autour des questions de sécurité de l'information.

En conclusion, ce texte de loi, non définitivement voté propose une réforme assez profonde du système de "cyber-sécurité" américain, au niveau du gouvernement, de l'administration et des différentes agences.

Au delà des questions organisationnelles mouvantes auxquelles nous sommes désormais habitués, il est intéressant de constater plusieurs points :

=> l'inefficacité des approches "par la conformité pure"

=> l'approche globale : humaine, légale, organisationnelle et matérielle...On retrouve en effet ces 4 dimensions usuelles de la sécurité au sein d'un même texte.

=> un équilibre institutionnel plus prononcé avec un encadrement des pouvoirs du Président et le retour du Congrès, ce qui rompt avec un unilatéralisme plus prononcé du prédécesseur.

En somme, un texte qui pourrait faire date et nous inspirer !

Source :

http://gcn.com/Articles/2010/06/21/Editorial-on-A-Cyber-Bill-Worth-Enacting.aspx?Page=1

http://hsgac.senate.gov/public/index.cfm?FuseAction=Press.MajorityNews&ContentRecord_id=227d9e1e-5056-8059-765f-2239d301fb7f

Aucun commentaire:

Enregistrer un commentaire