Le gouvernement américain durcit le ton envers ses prestataires en matière de cybersécurité. Ces derniers risquent désormais de lourdes amendes en cas de manquement aux standards requis et en cas de non-signalement de failles présentes dans leurs systèmes informatiques.

La cybersécurité n’a cessé de gagner en importance depuis début 2020. En cause notamment, la cyberattaque SolarWinds ayant touché de très nombreuses entreprises et agences gouvernementales américaines. On peut également penser à l’attaque de l’entreprise Colonial Pipeline ayant entrainé la mise à l’arrêt de l’un des plus importants oléoducs américains. Si le sujet n’est pas nouveau, ces événements ont provoqué une réelle prise de conscience sur son importance, et les enjeux économiques et géopolitiques qui en découlent.

Alors que l’OTAN préparait le terrain légalement pour pouvoir répondre aux cyberattaques en juin dernier, l’administration Biden a également mis en place de nombreuses actions. Dès mai dernier, elle avait annoncé plusieurs directives afin de renforcer les infrastructures du pays. En parallèle, le président Biden a organisé un sommet avec le secteur privé sur le thème de la cybersécurité. Désormais, les hauts responsables de la cyberdéfense américaine ont invité le Congrès américain à sévir contre les entreprises ne signalant pas les cyberattaques.

L’objectif ici est de forcer les entreprises à signaler toute cyberattaque. La procureure générale Lisa Monaco a déclaré : « Pendant trop longtemps, les entreprises ont choisi le silence en pensant, à tort, qu’il était moins risqué de cacher une violation que de la signaler. Cela change aujourd’hui. Lorsque ceux à qui l’on confie des fonds publics, qui sont chargés de travailler sur des systèmes gouvernementaux sensibles, ne respectent pas les normes de cybersécurité requises, nous allons nous attaquer à ce comportement et infliger des amendes très lourdes ». Cette nouvelle initiative concerne toutes les entreprises recevant des fonds fédéraux et qui, en connaissance de cause, effectuent de fausses déclarations au sujet de leur défense, et fournissent donc des équipements de cybersécurité défectueux ou ne signalent pas les incidents.

Pour mettre en place cette mesure, le Département de la Justice s’appuie sur le False Claims Act, une loi datant de la guerre civile ciblant les entreprises qui fraudent le gouvernement. Par exemple, cela inclut le fait de demander des fonds avec de fausses informations, une notion assez large qui peut couvrir une demande de fonds en cachant les failles d’un système de cybersécurité. Certains jugent toutefois ce texte trop ancien et peu adapté à la cybersécurité. Lisa MacLean, directrice de l’enseignement de la cybersécurité à la Flatiron School à New York, a déclaré : « Il faut trouver un équilibre entre la nécessité d’inciter les entreprises à éviter ces problèmes et celle de ne pas ruiner complètement leur réputation ou leurs moyens de subsistance ». Il est donc possible que le False Claims Act ne soit utilisé que comme solution provisoire et qu’un texte plus adapté voit le jour dans les mois à venir. Cette décision révèle toutefois une fois de plus à quel point la cybersécurité est un sujet d’actualité.