La Maison Blanche n’a pas le même contrôle sur l’EPA, qui est une agence indépendante, mais Greene dit que d’après ce qu’il a vu, l’agence a essayé de collaborer avec le secteur de l’eau.
Le NSC n’a pas répondu à une demande de commentaires sur le procès de l’EPA et ses effets possibles sur l’agenda de l’administration. L’EPA a refusé de commenter car le litige est en cours.
Un combat juridique sur plusieurs fronts
Les procureurs généraux républicains contestant la directive de l’EPA font plusieurs réclamations. Ils disent que l’agence n’a pas suivi la procédure appropriée pour émettre un règlement. Ils allèguent que l’EPA a outrepassé son autorité en vertu de la Loi sur la salubrité de l’eau potable et de la législation subséquente. Et ils soutiennent qu’en exigeant que les régulateurs de l’eau des États intègrent la cybersécurité dans leurs inspections, le gouvernement fédéral usurpe l’autorité souveraine des États pour réglementer les installations d’eau et les charge de manière inconstitutionnelle de nouveaux travaux.
Michael Blumenthal, avocat spécialisé dans la réglementation environnementale chez McGlinchey Stafford, affirme que l’EPA semble avoir enfreint la loi sur la procédure administrative en publiant sa directive aux États comme une réinterprétation des directives existantes sur les responsabilités des États de mener des «enquêtes sanitaires» sur les installations d’eau, ainsi contourner le processus de consultation publique.
Peggy Otum, associée chez WilmerHale qui dirige la pratique environnementale du cabinet d’avocats, affirme que l’argument de la souveraineté de l’État reflète un débat plus large sur la mesure dans laquelle le gouvernement fédéral – et l’EPA en particulier – peut imposer aux États de nouveaux mandats. « Qui va payer ? » est la question principale », dit Otum.
Greene était sceptique quant à cet argument. La Maison Blanche est consciente des problèmes de financement du secteur de l’eau, dit-il, mais ce n’est pas une raison suffisante pour s’abstenir d’imposer une meilleure sécurité.
Ouvert à l’interprétation
Mais l’argument le plus important dans l’affaire concerne la question de savoir si l’autorité de régulation de l’EPA pour le secteur de l’eau s’étend même à la cybersécurité. Blumenthal affirme que la loi sur la sécurité de l’eau potable “ne leur donne pas le pouvoir de se plier à la cybersécurité”.
L’EPA a tiré son autorité des définitions nouvellement réinterprétées des termes clés dans ses directives aux États, mais Blumenthal dit que cette approche n’était pas valide et permettrait des mandats qui n’avaient «jamais été envisagés au départ».
Greene soutient que des lois comme la Safe Drinking Water Act, bien qu’elles aient été promulguées avant que les cybermenaces ne prennent de l’importance, visaient clairement à laisser l’EPA protéger les ressources vitales contre toutes sortes de dangers. “Ce serait une lecture trop littérale de l’intention de ces [laws] de dire : “Ils n’ont pas pensé à la cybersécurité, donc vous ne pouvez pas le couvrir”, dit Greene. “C’est comme si on disait : ‘Les armées coloniales n’ont pas pensé aux moyens aériens.'”
Les tribunaux ont historiquement déféré aux agences dans les poursuites concernant l’interprétation de leurs statuts fondamentaux, mais ce principe, connu sous le nom de déférence Chevron, “ne tient qu’à un fil” à la Cour suprême des États-Unis, dit Otum.
“Tout le monde renifle”
Le procès de l’EPA apparaît comme une pierre d’achoppement potentielle pour la nouvelle cyberstratégie nationale de l’administration Biden, qui décrit la réglementation des infrastructures critiques comme un impératif de sécurité nationale. D’autres régulateurs “vont suivre cette affaire de très près pour voir ce qui se passe”, a déclaré Blumenthal.
Le ministère de la Santé et des Services sociaux travaille sur les cyber-règles pour les hôpitaux, qui, comme les installations d’eau, sont fortement réglementées par les États. La Federal Communications Commission (FCC) prépare des règles pour sécuriser le système d’alerte d’urgence, un outil essentiel pour les autorités nationales et locales. Et la Federal Trade Commission (FTC) met à jour ses réglementations en matière de sécurité et renforce sa surveillance des divulgations de violations de données.
