Le partage des informations de cybersécurité : la clé du succès ?

Dans le courant du mois d’avril se tiendra aux Etats-Unis le National Protection and Programs Directorate du Department of Homeland Security, qui organisera un atelier pour discuter de la valeur potentielle ainsi que la faisabilité de la création d’un fichier d'analyse des cyber-incidents, le Cyber Incident Data and Analysis Repository (ou CIDAR). 

Selon l'annonce, « ce fichier permettrait de disposer d’une nouvelle capacité de partage de l'information entre le gouvernement fédéral, les responsables de la sécurité des entreprise et les assureurs. Il permettrait d’améliorer la sensibilisation aux risques liés à la cybercriminalité et d’aider à identifier les tendances à plus long terme. Cette approche pourrait contribuer non seulement à renforcer les stratégies existantes d'atténuation des cyber-risques, mais également à permettre d’améliorer en conséquence les offres d'assurance en matière de cybersécurité ».

Des centres de partage d’information : dans quel but ?

Les objectifs déclarés du groupe de travail sont les suivants :

1. Partager les conclusions du CIDAWG (Cyber Incident Data and Analysis Working Group), composé de professionnels de la cybersécurité de divers secteurs, de compagnies d'assurance et d'autres entreprises du secteur privé sur les différentes données et analyses des incidents afin de contribuer à renforcer les défenses des autres entreprises potentiellement visées.

Un livre blanc sur les résultats obtenus est disponible sur ce lien : Cyber Incident Data and Analysis Working Group White Papers.

2. Valider le périmètre d‘assistance du CIDAR en relation avec la communauté de la cybersécurité au sens large et définir les priorités d’action du groupe. 

3. Recevoir (sur la base du bénévolat) des partages de l'information, des modèles de défense et des bonnes pratiques.

Plus tôt cette année, le Président des Etats-Unis Barack Obama a signé un décret validant la mise en place des ISAO (Information Sharing & Analysis Organisations), qui sont des nouveaux organismes de partage et d’analyse de l’information permettant aux entreprises privées et au gouvernement de dialoguer et de partager plus facilement des informations liées à la cybersécurité.

Ce décret a suivi la loi de 2014 portant sur l’amélioration de la cybersécurité (Cybersecurity Enhancement Act of 2014) en créant un programme d'opt-in pour le partage des informations privées et publiques. Cette loi prend également des mesures pour améliorer la R&D et combler le fossé des compétences en matière de cybersécurité.

Un accueil mitigé de ces ISAO

Les partisans des ISAO affirment que ces efforts de partage permettront d'améliorer la sécurité nationale en particulier en ce qui concerne les infrastructures critiques du pays, alors que les opposants à ces améliorations de sécurité ont des doutes et estiment que certaines formes de partage pourraient nuire à la vie privée des consommateurs et au secret des affaires.

Selon l'enquête, les secteurs les plus susceptibles de contribuer à alimenter ces organismes de partage d’informations sont ceux de l'énergie électrique, l'eau, la banque, la finance et les organismes gouvernementaux.

D’autres organismes de partage d’informations existent dans le secteur bancaire, maritime, des télécommunications, etc. et ont permis de mettre en place des directives améliorant le niveau de cybersécurité de leur secteur d’activité respectif.

Que retenir ?

L'une des grandes inquiétudes concernant les groupes de travail et d’analyse des menaces tels qu’ils existent aux Etats-Unis est le risque de révéler les données confidentielles des entreprises et de leurs clients. C’est un vrai problème, mais disposer d’un grand nombre de données de sécurité apporte tout de même une vraie valeur sans qu’il soit nécessaire de mettre en péril la confidentialité d’une entreprise. Compte tenu de l'augmentation des capacités de nuisance et de l’habileté technique des cybercriminels, ainsi que de la course à l’armement permanente qui fait rage sur Internet entre les cybercriminels et les technologies de défense de nos entreprises – espérons que dans les années à venir les ISAC soient encore plus utilisés. Notre capacité à nous défendre efficacement contre les attaques pourrait bien dépendre de la qualité des échanges d'informations sur les vulnérabilités, les pirates informatiques et leurs techniques d'attaque.

En France, l’initiative est encore balbutiante, la plupart des entreprises refusant de partager avec des organismes tiers ou étatiques des informations relatives à leur cybersécurité. Cependant, des organismes tels que l’ANSSI, ainsi que divers évènements tels que les Rencontres Parlementaires de la Cybersécurité tentent d’amorcer une dynamique de coopération pour lutter plus efficacement contre les cybercriminels.