lundi 28 février 2011

Cybersecurity and Internet Freedom Act of 2011

Nouvelle loi pour les Etats-Unis destinée à protéger le cyberespace et les systèmes d'informations américains. On se souviendra que l'année dernière, des sénateurs avaient proposé un projet de loi portant peu ou prou sur les mêmes sujets. Cette loi-ci n'en est qu'un nouvel avatar et elle n'est d'ailleurs pas encore votée !

D'ailleurs, ce sont peu ou prou les mêmes élus qui ont déposé ledit projet : Joe Lieberman,, Susan Collins, Tom Carper. Celui-ci comporte tout de même quelques éléments nouveaux et intéressants.

Peut-vous rappellerez-vous qu'à l'occasion de la sortie du précédent "act", un certain débat s'était engagé sur la capacité prétendument octroyée au Président des Etats-Unis de procéder à des actes unilatéraux sur les réseaux, autrement dit, en couper certains. On parlait alors de "Kill Switch".

J'avais déjà signalé dans ce blog que la notion de kill switch était déjà probablement contenue dans d'autres lois américains créés bien avant. Toutefois, la nouveauté ici est que les évènements égyptiens se sont déroulés...Or, l'équilibre entre la sécurité et la liberté est très délicat aux Etats-Unis puisque, selon les moments, l'un ou l'autre prédomine. Le fait, pour un pays, de couper l'accès à Internet des ses habitants a été ressenti comme contraire aux traditions libérales des USA.

Pour le reste, il y a assez peu de changements : nomination d'un "RSSI" dans chaque agence fédérale, mise en place d'un coordinateur sécurité au sein du DHS (un autre "cyberczar"..) et création d'un pan de l'organisation du DHS dédiée à ces questions (
National Center for Cybersecurity and Communications).

Si l'on s'intéresse de près aux pouvoirs du Président en cas de crise grave, on peut trouver :

  • The President can only declare a national cyber emergency when actual or imminent cyber attack would cause catastrophic consequences.
Des conséquences dramatiques seules justifient la déclaration d'un Etat d'urgence "cyber"...
  • Any measures ordered by the President must be "the least disruptive means feasible."
Les mesures se limiteront au strict nécessaire.
  • The President could only declare a cyber emergency for 30-day period and only for up to 120 days. After that, Congress would be required to specifically authorize further measures.
Un peu comme ailleurs, l'état d'urgence est maintenue 30 jours et jusqu'à 120 (4 mois !) puis le Congrès doit en valider la continuité.
  • A system or asset cannot be designated as covered critical infrastructure based solely on activities protected by the First Amendment to the United States Constitution.
Le système de déclaration d'infrastructures critiques doit être ré-évalué et ne plus être basé sur le 1er Amendement (qui contient notamment la liberté d'expression...).
  • The bill provides for an administrative process for an owner or operator to challenge the designation of a system or asset as covered critical infrastructure and expressly permits challenges of a final agency determination in federal court.
Un opérateur gérant une activité désignée comme critique peut mettre en cause cette qualification devant la justice (car elle entraine des frais et une logique de contrôle et de protection complexe très certainement).

Au final, et comme le dit le Sen. Liebermann, cette loi a pour but de mieux protéger le cyberespace et les infrastructures critiques. Le "Kill Switch" est oublié, non seulement de fait, mais également car il polarisait le débat autour d'une question mal posée. On n'est pas ici sans sentir l'influence probable d'un lobbying forcené. Concluons prudemment en disant que les éléments en présence ne permettent pas d'établir la liste effective des actions que peut prendre le Président en cas de "cyber crise"...

Tiens, d'ailleurs...qu'est-ce qu'une "cyber crise" ? La réponse n'est pas forcément dans ce texte de loi.

Source :

http://www.pcmag.com/article2/0,2817,2380680,00.asp

http://blogs.govinfosecurity.com/posts.php?postID=893


http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=229219377

Aucun commentaire:

Enregistrer un commentaire