L’avenir incertain de l’échange d’informations en cybersécurité : la loi CISA au bord de l’expiration
La loi américaine Cybersecurity Information Sharing Act (CISA), pilier du partage d’informations sur les cybermenaces, est confrontée à un avenir précaire. Son expiration en septembre 2025, faute de renouvellement par le Congrès, soulève des inquiétudes quant à l’efficacité future de la lutte contre les cyberattaques, bien que des voix expertes appellent à un optimisme prudent quant à sa prolongation.
Adoptée en 2015, la CISA a joué un rôle crucial en encourageant les entreprises à partager des renseignements sur les menaces sans craindre de poursuites judiciaires. Cette disposition est essentielle pour bâtir une défense collective solide face à un paysage de menaces numériques en constante évolution. Sans cette protection, le partage volontaire d’informations pourrait se tarir, laissant potentiellement les infrastructures critiques plus vulnérables.
« La loi incite les entreprises à signaler les activités suspectes sans craindre de répercussions juridiques », explique Andrew Grosso, avocat chevronné et ancien procureur américain. Il souligne que ces informations sont ensuite centralisées et analysées par les agences gouvernementales avant d’être redistribuées aux autres acteurs du secteur. « C’est comme un puzzle où chaque entreprise voit une partie du tableau, et c’est seulement en échangeant que l’on obtient une image complète de la menace », ajoute-t-il.
Cependant, le chemin vers le renouvellement de la CISA s’annonce semé d’embûches politiques. Le calendrier de son expiration coïncide avec des débats sensibles au Congrès, notamment celui sur le relèvement de la limite de la dette, qui accapare souvent les priorités législatives. De surcroît, le sénateur Rand Paul a émis des réserves, réclamant une plus grande transparence concernant les individus ou entités signalés dans le cadre de la CISA, ce qui complexifie encore les discussions.
Malgré ces obstacles, certains experts restent confiants quant à une issue favorable. Moiz Virani, CTO et cofondateur de Momentum, voit dans le processus de renouvellement une opportunité d’améliorer la loi. Il reconnaît l’utilité passée de la CISA, mais suggère qu’elle pourrait être adaptée pour mieux répondre aux défis actuels, notamment ceux posés par l’intelligence artificielle. « Si la CISA n’est pas renouvelée, cela pourrait créer une brèche dans la protection juridique du partage d’informations, obligeant les responsables de la sécurité à redoubler de vigilance », prévient-il.
L’incertitude plane donc sur l’avenir de la CISA. Néanmoins, le débat autour de son renouvellement offre une fenêtre d’opportunité pour moderniser cet instrument législatif et l’adapter aux réalités complexes de la cybersécurité contemporaine. Les entreprises et leurs responsables sont appelés à anticiper d’éventuels changements et à maintenir leur engagement en faveur du partage d’informations pour garantir la robustesse de leurs systèmes.