Dans le domaine de la sécurité des données, de nombreux experts pensent qu’étendre le partage des informations relatives aux cyber-menaces et aux cyber-criminels conduirait à plus de sécurité pour l’ensemble des internautes. Dans la réalité, entreprises privées et gouvernements – les deux principaux collecteurs d’informations et cibles privilégiées – ont souvent des objectifs opposés.
Selon Eugene Spafford, professeur d’informatique à l’université de Purdue, dans l’Indiana (États-Unis), les deux parties se créent les obstacles qui les empêchent d’avancer. « Le gouvernement refuse fréquemment de divulguer (des informations) de crainte de révéler ses sources et méthodes », explique-t-il. C’est pourquoi, il est fréquent que les attaques perpétrées contre des entreprises et surveillées par le gouvernement puissent se poursuivre pendant plusieurs mois ou plusieurs années, permettant ainsi de recueillir des informations sur les méthodes utilisées par les cyber-criminels, avant que les victimes ne soient prévenues… si jamais elles le sont.
« Les gouvernements ont par ailleurs tendance à classer de nombreuses données de manière excessive, tout simplement parce qu’ils ne savent pas comment les gérer », observe E. Spafford. « Ce qui empêche les entreprises de partager des informations concernant les menaces, c’est que nombre d’entre elles n’ont aucune confiance en leur propre sécurité. Elles craignent que trop partager n’attire l’attention sur les points faibles de leur protection. »
RECOURS LÉGAUX
Afin d’éliminer certains de ces obstacles, les législateurs américains ont débattu d’une proposition controversée, le « Cyber Intelligence Sharing and Protection Act » (CISPA), visant à simplifier les procédures qui permettent aux entreprises de partager avec le gouvernement les cyber-attaques dont ils ont été victimes. Cependant, le CISPA n’a pas vu le jour en raison des révélations concernant l’étendue des programmes de surveillance de la National Security Agency (Agence nationale de la sécurité) des États-Unis. « Le CISPA permet d’agréger un grand nombre de données. Il est ainsi susceptible de représenter une cible plus grande pour les cyber-criminels et les cyber-espions », explique E. Spafford. « Par ailleurs, la limitation de la portée et de la durée de vie des données collectées, qui constitue un principe de confidentialité important, n’est pas prise en compte dans cette initiative. »
L’un des défis universel du partage d’informations entre les secteurs public et privé est la gestion des attentes, explique Erik de Jong, spécialiste de la cyber-criminalité chez FoxCERT, société de services de sécurité basée aux Pays-Bas. Même si le gouvernement néerlandais insiste sur l’importance du partage d’informations, il n’échange qu’un nombre limité de données de cyber-intelligence avec le secteur privé. « Je pense que cela ne résulte pas nécessairement d’un manque de volonté, mais plutôt d’un manque de clarté de la mission », souligne-t-il. « Le gouvernement affirme soutenir cette initiative, mais sur le terrain, ce qu’il fournit ne correspond pas aux attentes des organisations privées. »
E. de Jong dit qu’il est facile d’évoquer le partage pour créer un « Internet plus sécurisé » et une « société numérique plus sécurisée ». Même si ceci peut présenter un intérêt fondamental pour un gouvernement, il estime que cet intérêt est, au mieux, secondaire pour la plupart des organisations privées. « Les intérêts fondamentaux des organisations privées sont, à mon avis, peu souvent mentionnés ou pris en compte de manière explicite par les organisations gouvernementales », poursuit-il. « Il serait plus équitable et plus efficace que chacune des deux parties reconnaisse les intérêts fondamentaux de l’autre, afin que chacune sache ce qu’elle peut attendre de l’autre. »
PARTAGER DANS QUELLE MESURE ?
Certains avancent qu’une industrie artisanale constituée de fournisseurs de cyber-intelligence – de même que différents projets de loi en suspens visant à faciliter le partage d’informations entre les secteurs public et privé – ne font que dissimuler un problème plus vaste. Comment décider des informations à partager, avec qui et à quel moment ?
« Les discussions que nous poursuivons sur la protection de la responsabilité, l’anonymat et la confidentialité des données constituent, pour la plupart, une tentative de diversion pour ceux qui n’ont pas vraiment envie de partager », affirme Alan Paller, directeur de recherche au SANS Institute, groupe de recherche et formation dans le domaine de la sécurité basé aux États-Unis. « Même s’il existait une motivation ou un souhait de partager davantage, cet échange ne serait pas efficace au moment où l’on en aurait besoin. Lorsqu’on subit une attaque, il est difficile de savoir ce qui se passe ; après une attaque, on est littéralement submergé par un flot de données. »
Pour A. Paller, les gouvernements devraient plutôt exiger des fournisseurs de cyber-intelligence — et notamment de ceux dont la rémunération provient principalement de contrats gouvernementaux financés par l’argent des contribuables — qu’ils extraient et partagent davantage de données stratégiques relatives aux attaques dont sont victimes différentes organisations. « Au moins aux États-Unis, de nombreuses sociétés (de cyber-sécurité) sont mises à contribution pour aider les entreprises à faire face aux violations de données ; dans de nombreux cas, les victimes sont juridiquement tenues de faire appel à l’une de ces sociétés », précise A. Paller. « Le gouvernement a le droit d’extraire les métadonnées de ces enquêtes. »
Les Centers for Disease Control (CDC) aux États-Unis, qui collectent des données auprès d’hôpitaux et de médecins afin de tenter d’enrayer la progression des maladies infectieuses, pourraient constituer un modèle utile pour la collaboration dans le domaine de la cyber-sécurité, suggère A. Paller. Dans le cadre d’un tel système, certaines sociétés pourraient se voir attribuer une licence les autorisant à traiter les attaques de cyber-criminalité. Les organisations ayant subi une violation en matière de sécurité seraient juridiquement tenues de travailler avec l’une de ces sociétés autorisées à traiter les attaques, qui pourrait alors assembler les données et partager avec le gouvernement les enseignements tirés en termes de sécurité, sans divulguer de données personnelles.
