dimanche 31 mai 2009

La stratégie de Cybersécurité du Président Obama

Alors que le gouvernement français multiplie les dispositions législatives répressives reliées à l'Internet (Hadopi et Loppsi 2), l'administration Obama vient de rendre public un document directeur faisant le point sur la politique de cybersécurité qui sera mise en oeuvre au cours des prochaines années.

La conséquence la plus médiatisée de cette politique est la nomination imminente d'un "Tsar de la cybersécurité" qui sera directement rattaché à la Maison Blanche, sur le modèle du poste de "Tsar de la lutte contre la drogue" qui n'a jamais réellement réussi à se distinguer par son efficacité ou son originalité en matière de politique pénale. Cependant, outre cette annonce médiatique, le contenu du rapport mérite un examen plus approfondi.

Tout d'abord, celui-ci propose une vision assez apocalyptique des problèmes de cybersécurité, où un amalgame potentiellement dangereux est fait entre les menaces que font peser sur la sécurité nationale les attaques provenant de puissances étrangères (la Chine ou la Russie pour ne pas les nommer) et les manifestations quotidiennes d'une délinquance informatique uniquement guidée par le profit. Ce manque de distinction entre les différents types de menaces risque de brouiller encore plus les frontières entre les tâches qui relèvent du système pénal (police et justice) et celles réservées au monde beaucoup plus secret des agences de renseignement et des forces armées. Les libertés individuelles et la transparence de l'information risquent d'être les premières victimes de ce grand fatras intellectuel, même si le rapport cherche à rassurer les défenseurs de la vie privée en leur donnant de nombreux gages d'inclusion dans les débats à venir.  

L'analogie choisie pour illustrer l'importance des enjeux est également significative: on associe le besoin d'agir en ce domaine au spectre du retard technologique que les États Unis ont pensé connaître lors du lancement par l'URSS du satellite Spoutnik en 1957. Le constat de la "dépendance digitale" des États Unis s'accompagne en effet d'une exhortation à maintenir la compétitivité intellectuelle par le biais d'une revalorisation des études en sciences "dures" et en mathématiques. Le ton alarmiste du document sur les dangers qui guettent le pays et les moyens requis justifie donc des mesures extrêmement ambitieuses.

Parmi celles-ci, on peut relever la volonté d'homogénéiser le cadre législatif afin de le rendre plus cohérent et de l'adapter aux contraintes des acteurs publics et privés qui devront l'appliquer. Des campagnes de sensibilisation et de formation à la cybersécurité devraient également être mises en oeuvre et destinées principalement aux lycéens et aux étudiants. Un partage avec le monde de la recherche des données relatives aux incidents est également prévu, afin que ceux-ci puisse analyser les facteurs de vulnérabilité et concevoir des réponses innovantes.  

Des partenariats avec le secteur privé sont envisagés, et des mécanismes reposant sur des incitatifs financiers et réglementaires sont également mis de l'avant (comme des crédits d'impôt, une redéfinition de la responsabilité civile des vendeurs d'équipements et de services informatiques ou encore la mise en place de subventions et de systèmes d'indemnisation). Il est également prévu de limiter la prolifération des partenariats, afin de ne pas diluer leur potentiel.

Sur la scène internationale, le document propose l'adoption par les États Unis d'une approche visant à diffuser auprès des enceintes multilatérales des normes et des standards technologiques qui correspondent à ses exigences. Il est prévu que des alliances seront conclues avec des pays "amis" afin de veiller à la diffusion de ces normes auprès de la douzaine d'organismes internationaux disposant d'un mandat en matière de cybersécurité. Le gouvernement américain se réserve également la possibilité "d'aider" certains pays à mettre en oeuvre des moyens d'enquête et de lutte appropriés, certainement sur le modèle de ce qui avait été fait au cours des années 1980 en matière de lutte contre le trafic de drogue.   

Il est encore trop tôt pour savoir si cette quatrième stratégie de cybersécurité en l'espace d'une quinzaine d'années sera plus efficace que les précédentes, mais on doit quand même reconnaître au travers de ce document la mise en place d'objectifs ambitieux servis par une approche intégrée (parfois à l'excès) relativement bien adaptée à la nature distribuée d'Internet. On verra bien au cours des prochaines années si cette approche systémique aura plus de succès que l'approche essentiellement étatico-répressive privilégiée par la France. 

Aucun commentaire: