Dans l’infini lutter pour améliorer la cybersécurité et encourager les investissements dans les défenses numériques, certains experts ont une suggestion controversée. Ils disent que la seule façon de faire en sorte que les entreprises prennent cela au sérieux est de créer de véritables incitations économiques, en les rendant légalement responsables si elles n’ont pas pris les mesures adéquates pour sécuriser leurs produits et leurs infrastructures. La dernière chose que tout le monde veut, c’est plus de responsabilité, donc l’idée n’a jamais explosé en popularité, mais une stratégie nationale de cybersécurité de la Maison Blanche cette semaine donne au concept un coup de pouce important.
Le document tant attendu propose des protections et des réglementations plus strictes en matière de cybersécurité pour les infrastructures critiques, un programme élargi pour perturber les activités cybercriminelles et un accent sur la coopération mondiale. Bon nombre de ces priorités sont largement acceptées et s’appuient sur les stratégies nationales mises en place par les administrations américaines antérieures. Mais la stratégie Biden développe considérablement la question de la responsabilité.
“Nous devons commencer à transférer la responsabilité sur les entités qui ne prennent pas de précautions raisonnables pour sécuriser leurs logiciels tout en reconnaissant que même les programmes de sécurité logicielle les plus avancés ne peuvent pas empêcher toutes les vulnérabilités”, indique-t-il. “Les entreprises qui fabriquent des logiciels doivent avoir la liberté d’innover, mais elles doivent également être tenues responsables lorsqu’elles ne respectent pas le devoir de diligence qu’elles doivent aux consommateurs, aux entreprises ou aux fournisseurs d’infrastructures critiques.”
Faire connaître la stratégie est un moyen de clarifier les priorités de la Maison Blanche, mais cela ne signifie pas en soi que le Congrès adoptera une législation pour adopter des politiques spécifiques. Avec la publication du document, l’administration Biden semble concentrée sur la promotion de la discussion sur la façon de mieux gérer la responsabilité ainsi que sur la sensibilisation aux enjeux pour les Américains.
« Aujourd’hui, dans les secteurs public et privé, nous avons tendance à déléguer la responsabilité du risque cyber vers le bas. Nous demandons aux particuliers, aux petites entreprises et aux gouvernements locaux d’assumer un fardeau important pour nous défendre tous. Ce n’est pas seulement injuste, c’est inefficace », a déclaré jeudi à la presse le directeur national par intérim de la cybersécurité, Kemba Walden. « Les acteurs les plus importants, les plus capables et les mieux placés de notre écosystème numérique peuvent et doivent assumer une plus grande part du fardeau de la gestion des cyber-risques et de notre sécurité à tous. Cette stratégie demande plus à l’industrie, mais engage également davantage le gouvernement fédéral.
Jen Easterly, directrice de la US Cybersecurity and Infrastructure Security Agency, avait un sentiment similaire pour un public de l’Université Carnegie Mellon plus tôt cette semaine. “Nous blâmons souvent une entreprise aujourd’hui qui a une faille de sécurité parce qu’elle n’a pas corrigé une vulnérabilité connue”, a-t-elle déclaré. “Qu’en est-il du fabricant qui a produit la technologie qui nécessitait trop de correctifs en premier lieu ?”
L’objectif de transférer la responsabilité aux grandes entreprises a certainement lancé une conversation, mais tous les regards sont tournés vers la question de savoir si cela entraînera réellement un changement. Chris Wysopal, fondateur et directeur technique de la société de sécurité des applications Veracode, a apporté sa contribution au bureau du directeur national de la cybersécurité pour la stratégie de la Maison Blanche.
“La réglementation dans ce domaine va être compliquée et délicate, mais elle peut être puissante si elle est faite de manière appropriée”, dit-il. Wysopal compare le concept des lois sur la responsabilité en matière de sécurité aux réglementations environnementales. « Vous ne pouvez pas simplement polluer et vous en aller ; les entreprises devront être prêtes à nettoyer leur gâchis.
