D'ailleurs, ce sont peu ou prou les mêmes élus qui ont déposé ledit projet : Joe Lieberman,, Susan Collins, Tom Carper. Celui-ci comporte tout de même quelques éléments nouveaux et intéressants.
Peut-vous rappellerez-vous qu'à l'occasion de la sortie du précédent "act", un certain débat s'était engagé sur la capacité prétendument octroyée au Président des Etats-Unis de procéder à des actes unilatéraux sur les réseaux, autrement dit, en couper certains. On parlait alors de "Kill Switch".
J'avais déjà signalé dans ce blog que la notion de kill switch était déjà probablement contenue dans d'autres lois américains créés bien avant. Toutefois, la nouveauté ici est que les évènements égyptiens se sont déroulés...Or, l'équilibre entre la sécurité et la liberté est très délicat aux Etats-Unis puisque, selon les moments, l'un ou l'autre prédomine. Le fait, pour un pays, de couper l'accès à Internet des ses habitants a été ressenti comme contraire aux traditions libérales des USA.
Pour le reste, il y a assez peu de changements : nomination d'un "RSSI" dans chaque agence fédérale, mise en place d'un coordinateur sécurité au sein du DHS (un autre "cyberczar"..) et création d'un pan de l'organisation du DHS dédiée à ces questions (National Center for Cybersecurity and Communications).
Si l'on s'intéresse de près aux pouvoirs du Président en cas de crise grave, on peut trouver :
- The President can only declare a national cyber emergency when actual or imminent cyber attack would cause catastrophic consequences.
- Any measures ordered by the President must be "the least disruptive means feasible."
- The President could only declare a cyber emergency for 30-day period and only for up to 120 days. After that, Congress would be required to specifically authorize further measures.
- A system or asset cannot be designated as covered critical infrastructure based solely on activities protected by the First Amendment to the United States Constitution.
- The bill provides for an administrative process for an owner or operator to challenge the designation of a system or asset as covered critical infrastructure and expressly permits challenges of a final agency determination in federal court.
Au final, et comme le dit le Sen. Liebermann, cette loi a pour but de mieux protéger le cyberespace et les infrastructures critiques. Le "Kill Switch" est oublié, non seulement de fait, mais également car il polarisait le débat autour d'une question mal posée. On n'est pas ici sans sentir l'influence probable d'un lobbying forcené. Concluons prudemment en disant que les éléments en présence ne permettent pas d'établir la liste effective des actions que peut prendre le Président en cas de "cyber crise"...
Tiens, d'ailleurs...qu'est-ce qu'une "cyber crise" ? La réponse n'est pas forcément dans ce texte de loi.
Source :
http://www.pcmag.com/article2/0,2817,2380680,00.asp
http://blogs.govinfosecurity.com/posts.php?postID=893
http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=229219377