RSA Conference 2012 : USA, vers une « obligation de publication » des intrusions ?

Actualités - Conférence - Posté on 06 Mar 2012 at 2:18 par cnis-mag

RSA Conference, San Francisco : La RSA Conference San Francisco de l’an passé avait été marquée par un évènement de taille : la suppression des multiples « cybersecurity centers » dépendant du FBI, de la CIA, du DHS et autres organismes fédéraux, et leur fusion dans le cadre d’un Department for Homeland Security chapeauté par un unique directeur, un ancien patron de la NSA. Au son du « je ne veux voir qu’une seule tête », la cyber-politique de l’Administration Obama commençait à prendre forme.

L’ouverture de la RSA Conference 2012, toujours à San Francisco, a clairement montré que cette première époque était déjà oubliée : le temps est venu de donner à cette cyber-administration les moyens d’agir et de « défendre la propriété intellectuelle des entreprises nord-américaines ». Opération en deux temps, qui débute par un appel à la communication, à la fin de l’omerta sur les attaques réussies, afin que les déboires des uns puissent servir de base de travail aux autres. Et dès le premier jour, la barre a été placée très haut. Robert Mueller, patron du FBI et orateur invité, se lançait dans un parallèle entre cybercrime et terrorisme, expliquant que l’un avait « outrepassé » l’autre (sans préciser toutefois quelle était l’unité de mesure utilisée). Si l’on parle en termes d’attaques, il est certain qu’il se commet chaque jour plus d’émission de virus qu’il ne se pose de bombes… et plus d’excès de vitesse qu’il ne s’écrit de malwares.

Et ce même Robert Mueller d’enchaîner en citant Sénèque, lequel expliquait que plus l’homme établissait de voies de communication, plus il devenait prisonnier de ces mêmes voies de communication… sous-entendant par-là que tout comme la société Romaine était tributaire de ses routes, notre société est liée à Internet, à son entretien et à ses dangers, lesquels deviennent intrinsèquement un mal non plus technique mais sociétal. Précisons toutefois que la lecture toute martiale du père du stoïcisme sauce Epicure oublie que Sénèque limitait son raisonnement à l’individu, et n’aurait jamais accepté cette ellipse douteuse. Mais qu’importe… L’argument logique est lâché : puisque le mal du cybercrime est sociétal, il devient donc obligatoire que chaque entreprise victime d’une attaque fasse preuve de civisme en fournissant aux autorités toute information nécessaire à la localisation et à l’éradication du ou des coupables (logs, empreintes mémoire, accès aux enregistrements etc.). Et pour renforcer cet argument, Mueller émet l’idée de transformer ce devoir civique en une obligation définie dans le cadre d’une loi fédérale. Après tout, il existe bien déjà des textes obligeant les entreprises à « publier » la découverte d’une fuite d’informations… tout cela est donc logique.

Laisser une réponse