Cybersécurité : entre une coopération des secteurs public et privé et une coopération transatlantique

, Partager

Le mardi 5 mars 2013 s’est déroulée une table ronde sur la coopération transatlantique en matière de cybersécurité. Organisée par l’Institut Européen [1], la discussion a réuni le docteur Patrick Gallagher, sous-secrétaire d’Etat au Département du Commerce et directeur du NIST (Institut National des Normes et de la Technologie), et M. Giuseppe Abbamonte, Chef d’Unité Confiance et Sécurité à la Commission Européenne. Le NIST est activement engagé dans le domaine de la sécurité depuis que le décret présidentiel du 12 février 2013 [2] a chargé l’institut de mettre en place un cadre de travail national sur la cybersécurité. Quant à la Commission Européenne, elle révèlait sa propre directive sur la cybersécurité, devançant de quelques jours le décret présidentiel de Barack Obama. Parus donc à quelques jours d’intervalle, ces directives ont toutes deux connu un long processus de maturation. Le Congrès américain a vu défiler tout au long de l’année des propositions de loi de la part des deux partis tandis qu’en Europe, des brouillons de la directive européenne fuitaient régulièrement depuis le début de l’année 2012.

Europe / Etats-Unis : travailler ensemble pour mieux se protéger

M. Gallagher s’est félicité de la coïncidence de la parution des deux lois aux Etats-Unis et en Europe en moins d’une semaine, rappelant que l’Internet est une infrastructure bien particulière, qui dispose d’une régulation propre. Toutefois, comment garder tous les bénéfices qu’apportent Internet et son éco-système numérique tout en s’attelant à éradiquer les menaces numériques ? Aux Etats-Unis, il faut savoir que la cybersécurité est de la responsabilité de multiples entités gouvernementales comme le DHS (Département de la Sécurité Nationale) ou le DoD (Département de la Défense), mais aussi du secteur privé. C’est ainsi que le 12 février, le président Barack Obama a signé un décret présidentiel (executive order) de même qu’une directive présidentielle (presidential policy directive) répondant à la nécessité d’une loi sur la cybersécurité. Bien que de telles directives exécutives ne puissent remplacer un texte législatif, elles offrent à la Maison Blanche les outils nécessaires pour guider les agences fédérales sur deux points importants. Le premier concerne le partage d’information du gouvernement vers le secteur privé et vice-versa. Le second pointe la nécessité de renforcer la sécurité des réseaux, de l’information et de la vie privée des citoyens. Au-delà de ces deux points, M. Gallagher a rappelé qu’il faut continuer à travailler sur l’extension de la capacité et la résilience du réseau. Il faut donc trouver des solutions technologiques capables d’assurer ces besoins.


M. Patrick Gallagher durant une audition du Sénat
Crédits : Chaîne du comité pour le Commerce, la Science et le Transport du Sénat des Etats-Unis


Concernant le rôle du NIST sur la cybersécurité, M. Gallagher a détaillé les responsabilités qui lui ont été attribuées par Barack Obama. Le NIST développera donc, conjointement avec l’industrie, un plan national pour réduire les cyber-risques sur l’infrastructure critique tandis que le DHS [3], le Département de la Sécurité Intérieure, devra établir des objectifs de performance. Ce plan national représentera un ensemble de bonnes pratiques qui devra être adopté par les entreprises. Des "bonnes pratiques" au sens large puisque qu’elles peuvent représenter autant des technologies, des standards, que des guides ou des méthodologies de vérification d’implémentation. Ces efforts de standardisation devraient assurer un meilleur contrôle de la sécurité, et ainsi éviter tout dérapage qui ferait empirer la situation. Le tout devra se réaliser avec la meilleure collaboration possible entre les secteurs public et privé. D’un côté le gouvernement fera part des problèmes de manière transparente et assurera la sécurité de l’infrastructure critique. De l’autre côté, le secteur privé devra développer les technologies pour répondre aux problématiques. Pour une totale efficacité, le plan devra êre utilisé par tous. M. Gallagher s’attend a ce que les retombées dépassent celles prévues pour les deux secteurs. Quand au DHS, il devra répondre à la question suivante : quelles seront les incitations pour utiliser ce plan ?

Concernant la collaboration avec l’Europe, M. Gallagher conclut ainsi : "Des objectifs communs devront surtout émerger au niveau de la mise en oeuvre [des technologies et des standards]. Il existe de nombreux moyens de travailler ensemble sur ce domaine et le secteur privé fera certainement office de maillon clé. Si tout est fait correctement, nous garantirons la possibilité pour les entreprises de travailler ensemble".

M. Abbamonte, représentant de la Commission Européenne, partage le point de vue d’une collaboration Europe/Etats-Unis et rappelle l’importance de continuer à développer Internet. L’économie numérique est considérable. Les cyber-menaces ont déjà fait perdre plusieurs milliards de livres à la Grande-Bretagne [4]. il faut donc couvrir la plus large zone possible sur laquelle travailler, et développer des stratégies pour identifier les acteurs et leurs implications. La sécurité et la vie privée vont de pair et se renforceront donc mutuellement. Au niveau des priorités stratégiques, M. Abbamonte cite cinq grands points. Il faut rehausser la résilience du réseau, rendre plus efficace la lutte contre les cyber-crimes, sécuriser entièrement la chaîne de valeur depuis le fabriquant de matériel jusqu’aux sites Internet, améliorer les capacités de défense aux niveaux nationaux et la coopération entre les états membres, et développer les collaborations avec les pays tiers.

Il existe une proposition de loi sur la sécurité européenne qui permettra la création des conditions nécessaires à la coopération entre les vingt sept membres de l’Union Européennes ainsi que la mise en place de moyens de régulation et d’incitation pour les entreprises de rapporter les menaces ou attaques décelées. Plus de 42000 entités, des banques aux hopîtaux, sont concernés par cette loi [5]. L’UE étant un ensemble de pays indépendants, il existe des inégalités entre les nations sur les moyens mis en oeuvre. La Grande-Bretagne semble plus préparée que l’Italie, qui semble elle-même plus préparée que la Hongrie. Il faut donc une coopération intra-européenne qui permette d’appliquer partout des minima élevées en matière de cybersécurité. Chaque état membre devra effectuer des exercices de simulation pour analyser l’efficacité de leur défense. L’administration publique et le secteur privé doivent aborder ensemble la gestion des cyber-menaces et relater les attaques sur les infrastructures et services critiques. Une telle dynamique devrait entraîner une croissance du marché de la sécurité. Afin d’inciter les entreprises à agir, l’UE devrait mettre en place un fond d’un montant total de 850 millions d’euros pour la cybersécurité d’ici à 2020 [6]. Ce fond sera dédié principalement à la recherche appliquée et vise à développer des mécanismes de sécurité à long terme. Enfin, M. Abbamonte a appelé à une coopération internationale afin de partager les informations avec les pays partageant les mêmes valeurs que ceux de l’Union Européenne.

L’importance de partager les informations entre le secteur privé et le gouvernement

Durant une audition au Sénat sur le partenariat entre le gouvernement et le secteur privé [7], le sénateur Thune a rappelé que les experts américains du renseignement estime qu’une coopération entre les secteurs public et privé pourrait à l’avenir contrer jusqu’à 90% des cyberattaques sur le réseau américain. Un des objectifs pour améliorer la cybersécurité du pays est d’encourager la recherche et le développement. Quand au sénateur Coburn, il estime qu’un des soucis majeurs pour l’adoption de la loi est le désaccord sur la mise en place d’une assurance responsabilité civile pour les entreprises et l’industrie qui partagent leurs informations afin de les protéger du vol de propriété intellectuelle. La NSA a estimé la perte du au vol de propriété intellectuelle a environ 388 milliards de dollars par an. La cybersécurité doit permettre de réprimer le vol d’idées, de propriété intellectuelle et l’interruption de services car les cyberattaques vont au-delà du simple vol, elles peuvent mettre en péril les systèmes de distribution d’énergie.


Mme Janet Napolitano (DHS) et M. Patrick Gallagher (NIST) à l’audition du Sénat sur la cybersécurité, mars 2013
Crédits : Chaîne du comité pour le Commerce, la Science et le Transport du Sénat des Etats-Unis


M. Gallagher, là encore présent à l’audition, a rappelé que le NIST offre une interface unique vers le secteur privé. L’institut veut promouvoir les entreprises qui offriront leurs propres solutions, et amener plus de talents et d’expertise dans le domaine de la cybersécurité. Car même si l’on transmet des informations au secteur privé, les entreprises ont besoin de pouvoir les traiter et les analyser. Tout le processus de cyberdéfense s’appuie sur les standards du Cloud Computing et du Smart Grid [8]. Il est nécessaire avant tout de connaître les pratiques actuelles des entreprises car un certain nombre d’entre elles ont déjà développé un système avancé de protection, que le gouvernement ne pourrait remettre en cause. Enfin, une fois que le NIST aura développé le plan national de cybersécurité, il faudra s’assurer que les produits et services seront conformes aux attentes. Les standards peuvent en effet grandement affecter les marchés. Pour préparer les entreprises, le NIST devrait proposer une série de quatre ateliers durant les huit mois prévu pour développer ce plan national. Le premier est prévu le 3 avril [9]. L’institut s’attend a une grande affluence. Plus de 1600 personnes avaient assisté à l’atelier sur les Smart Grids et ils devraient être encore plus nombreux.

Sources :


- [4] "The UK cyber security strategy : Landscape review" - Bureau d’Audit national de Grande-Bretagne - 12/02/2013 - http://www.nao.org.uk/report/the-uk-cyber-security-strategy-landscape-review/
- [7] "The Cybersecurity Partnership Between the Private Sector and Our Government : Protecting our National and Economic Security" - Comité du Commerce, de la Science & du Transport au Sénat des Etats-Unis - 07/03/2013 - http://www.commerce.senate.gov/public/index.cfm?p=Hearings&ContentRecord_id=2a977655-e12f-49b4-b7b6-43541fb8b9cd&ContentType_id=14f995b9-dfa5-407a-9d35-56cc7152a7ed&Group_id=b06c39af-e033-4cba-9221-de668ca1978a

Pour en savoir plus, contacts :


- [1] European Institute est une organisation indépendante spécialisée dans les politiques publiques et les relations transatlantiques.

Source :

http://www.europeaninstitute.org/
- [2] "Improving critical infrastructure cybersecurity" - The White House - 12/02/2013 - http://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity
- [3] DHS - Department of Homeland Security
- [5] "EU to order banks, energy firms to report cyber attacks" - Reuters - 06/02/2013 - http://www.reuters.com/article/2013/02/06/us-eu-cybersecurity-idUSBRE91519020130206
- [6] "Digital Agenda : European Commission supports research on Cyber security" - Commission Européenne - 26/11/2012 - http://europa.eu/rapid/press-release_MEMO-12-899_en.htm
- [8] Smart Grid : est une des dénominations d’un réseau de distribution d’électricité "intelligent" qui utilise des technologies informatiques de manière à optimiser la production, la distribution, la consommation et qui a pour objectif d’optimiser l’ensemble des mailles du réseau d’électricité qui va de de tous les producteurs à tous les consommateurs afin d’améliorer l’efficacité énergétique de l’ensemble.

Source :

Wikipedia.
- [9] "Cybersecurity Framework workshop" - NIST - 03/04/2013 - http://www.nist.gov/itl/csd/cybersecurity-framework-workshop.cfm
Code brève
ADIT : 72707

Rédacteurs :


- Thomas Debacker (deputy-ntics@ambascience-usa.org) ;
- Retrouvez toutes nos activités sur http://france-science.org ;
- Suivre le secteur Nouvelles Technologies de l’Information, Communication, Sécurité sur twitter @MST_USA_NTICS.

Voir en ligne : http://www.bulletins-electroniques….