L’UE et les États-Unis adoptent deux approches différentes sur la cybersécurité

ÉDITION SPÉCIALE / L’Europe et les États-Unis envisagent de mettre en œuvre différentes approches en matière de cybersécurité : Washington est en faveur de mécanismes de rapports volontaires alors que Bruxelles souhaite des mesures obligatoires. Ces différents points de vue risquent de créer des problèmes pour les entreprises des deux grands blocs commerciaux.

EURACTIV.fr
White-House.jpg
White-House.jpg

ÉDITION SPÉCIALE / L’Europe et les États-Unis envisagent de mettre en œuvre différentes approches en matière de cybersécurité : Washington est en faveur de mécanismes de rapports volontaires alors que Bruxelles souhaite des mesures obligatoires. Ces différents points de vue risquent de créer des problèmes pour les entreprises des deux grands blocs commerciaux.

 

Le président Barack Obama a publié le 12 février un décret sur la cybersécurité qui appelle au partage volontaire d'informations sur les cyberattaques entre les entreprises et le gouvernement.

 

Ce décret intervient après que le Sénat américain n'est pas parvenu à accepter en novembre 2012 la législation sur la cybersécurité soutenue par le gouvernement, sur fond d'opposition farouche des entreprises qui déplorent une réglementation excessive.

 

La législation abandonnée aurait amélioré le partage d'informations entre les agences de renseignements et les entreprises privées, accompagnée de certaines protections de la vie privée. Elle aurait fixé des normes volontaires pour les entreprises qui contrôlent les réseaux électriques, les stations d'épuration des eaux et d'autres installations indispensables.

 

Michael Daniel, le coordinateur de la Maison-Blanche sur la cybersécurité, a déclaré à des journalistes le 27 février, lors de la RSA Security Conference à San Francisco, que Washington soumettrait à nouveau le projet de loi sur la cybersécurité au Congrès.

 

La Maison-Blanche n'abandonne pas

 

M. Daniel a reconnu que la tentative pourrait s'avérer infructueuse, mais a déclaré : « Je ne veux pas laisser l'impression que nous sous-estimons les défis. »

 

Il a ajouté que les propositions seront présentées d'ici deux mois et a admis que le président Obama chercherait des mesures d'exécution plus solides s'il rencontrait un nouvel échec au Congrès.

 

Le décret oblige les autorités fédérales à améliorer le partage d'informations relatives aux menaces informatiques, même celles qui pourraient être secrètes, avec des entreprises qui fournissent ou soutiennent une infrastructure critique. Cette approche s’effectuera toutefois principalement sur base volontaire dans le secteur privé.

 

Peu importe la voie que les États-Unis comptent suivre, elle sera considérablement plus volontaire et souple que la proposition de législation européenne.

 

Outre une stratégie générale en matière de cybersécurité, la Commission européenne a proposé le mois dernier une directive comprenant des mesures qui visent à garantir un réseau harmonisé et la sécurité de l'information dans l'UE.

 

Règles de l'UE plus strictes et obligatoires

 

Conformément à la législation proposée, la capacité des entreprises à faire face aux attaques sera vérifiée et celles-ci devront signaler aux autorités nationales les incidents informatiques d'« incidence importante ».

 

La directive laisse également penser que les exploitants du marché seront responsables, qu'ils effectuent l'entretien de leur réseau en interne ou en externe.

 

L'UE a identifié un certain nombre de secteurs qui nécessitent des mesures supplémentaires en matière de cybersécurité notamment les exploitants d'infrastructures critiques comme l'énergie, les transports ainsi que les services bancaires et sanitaires.

 

La directive de l'UE s'appliquera également à des entreprises clés de l'Internet, dont les services de paiement, les réseaux sociaux, les moteurs de recherche, les services du nuage, les fournisseurs d'application, les plateformes de commerce électronique, les plateformes de partage de vidéos et les fournisseurs de services de téléphonie sur IP.

 

Bruxelles et Washington mettront vraisemblablement en place des niveaux différents de vigilance en matière de cybersécurité. Cette situation risque de créer des divergences pour les entreprises dont les opérations couvrent les deux juridictions et d’entraver la tentative de haut niveau qui vise à conclure un accord commercial de libre-échange entre les deux camps.

 

Problèmes pour le commerce et les entreprises

 

Marietje Schaake, une eurodéputée néerlandaise libérale et rapporteure sur la première stratégie de la politique extérieure de l'UE relative à la liberté numérique, a déclaré : « C'est également dans l'intérêt de nos citoyens si les entreprises doivent respecter les mêmes normes de qualité élevées des deux côtés de l'Atlantique, car de nombreux services en ligne utilisés par des citoyens de l'UE sont intégrés aux États-Unis. »

 

« L'UE et les États-Unis devraient collaborer afin de garantir que la sécurité et la liberté ne deviennent pas un jeu à somme nulle. Le défi pour l'UE et les États-Unis sera de garantir un contrôle suffisamment démocratique sur les mesures liées à la cybersécurité », a-t-elle ajouté.

 

« Je pense personnellement qu'il n'est pas réaliste de diviser le monde à nouveau, car les entreprises européennes devront respecter des normes de sécurité plus élevées que celles d'autres endroits dans le monde. Pourquoi ? » a déclaré à EURACTIV, sous couvert de l'anonymat, un haut dirigeant d'une entreprise basée sur l'Internet qui couvre les deux côtés de l'Atlantique.

 

« De nombreuses entreprises de pointe sont déjà localisées en dehors de l'UE. Cela ne changera pas d'aussitôt et certainement pas en raison d'une nouvelle législation européenne », a-t-il ajouté.