Quand on fait la caricature du terroriste islamique, on lui prête plus ou moins une dégaine de Ben Laden. Puis quand on fait la caricature du terroriste russe, on s’imagine plutôt un hacker mal-soigné, peu scrupuleux, résident dans un HTML délabré d’une banlieue enneigée, et capable de toutes les intrusions et chantages que les hackers d’autres pays ne sont bizarrement pas capables. Un puissant mythe autour du hacker russe s’est développé dans nos imaginaires collectifs, et il n’en faut pas plus pour la Maison Blanche des États-Unis pour en faire son cheval de bataille.
En réaction au hack du oléoduc Colonial en mai 2021, la Maison Blanche souhaite s’immiscer dans le renforcement de la sécurité des télécommunications. Bien que l’emplacement des hackers à l’origine de l’attaque sur Colonial n’a jamais pu être identifié (quand on ne sait pas du tout d’où ça vient, on accuse par défaut la Russie, l’Ukraine, et plus rarement la Chine ou la Corée du Nord), les autorités américaines, en conflit frontal avec la Russie depuis l’invasion de l’Ukraine, veulent reprendre la main sur le contrôle des télécommunications sur leur territoire, au lieu de laisser les entreprises qui gèrent et commercialisent ces réseaux s’en occuper. La cybersécurité devient une priorité pour la défense nationale.
D’un certain côté, on a envie de dire « enfin! » car, le marché des télécommunications aux États-Unis étant tellement désorganisé, son réseau de télécommunications est une vraie passoire et les géants telcos s’en émeuvent peu.
De facto, les autorités américaines ne souhaitent pas prendre en main le réseau national, mais plutôt mettre en place un système administratif similaire au Food and Drugs Administration pour réguler à 100% la qualité des télécommunications et de la sécurité au sein des grandes entreprises. Jusqu’à présent, cette responsabilité incombait de manière autonome à chaque entreprise qui pouvait appliquer ses propres technologies de sécurité en fonction des besoins identifiés. « No more » dit la Maison Blanche.
La nouvelle organe de régulation de la cybersécurité des États-Unis aura pour principale mission : Établir et renforcer la mise en place de standards minimaux, effectuer des audits (effectués par des auditeurs imdépendants et privés) dont les résultats sont partagés avec l’administration désignée, et punir les mauvais élèves avec des amendes salées, voir du temps de prison pour les responsables des faiblesses informatiques constatées.
Une première loi vient d’être votée en ce sens qui oblige maintenant toute entreprise à déclarer, dans l’instant où celle-ci est victime d’une attaque informatique, la situation aux autorités compétentes. Avant cela, les entreprises avaient la liberté de garder secret toute attaque si elle ne souhaitait pas faire face à un fiasco médiatique ou assumer le coût des réparations.
Pour mettre en place toute la logistique autour d’un renforcement de la cybersécurité géré par le gouvernement, la Maison Blanche compte s’inspirer du National CyberSecurity Centre (NCSC), le centre de cybersécurité nationale de la Grande-Bretagne. Cette entité, inaugurée en février 2017, est issue de la fusion de trois agences déjà existantes : le Centre for Cyber Assessment (CCA), le Computer Emergency Response Team UK (CERT UK), et le CESG (GCHQ’s information security arm).
Le coût de la mise en place d’une telle infrastructure de régulation de la cybersécurité est estimé à 2 milliards de dollars et ces fonds seront probablement déduit du $1 trillion Infrastructure Bill voté fin 2021.