Une commission du Congrès a validé la prolongation de la loi de 2015 sur le partage d’informations cyber, outil central pour sécuriser les échanges entre entreprises privées et gouvernement.
La loi américaine sur le partage d’informations cyber, adoptée en 2015 après le piratage massif de l’Office of Personnel Management, arrive à expiration le 30 septembre. Une commission de la Chambre a approuvé son renouvellement via le WIMWIG Act, qui prolongerait le dispositif de dix ans. Le texte protège les entreprises de poursuites lorsqu’elles transmettent des renseignements sur des menaces informatiques aux autorités fédérales. S’il est jugé crucial pour la coopération public/privé, le processus de révision suscite des critiques sur la transparence et alimente un débat politique autour du rôle de l’agence CISA, accusée par certains élus républicains de censure en matière de désinformation.
Un cadre légal en sursis
Adoptée en 2015, la loi Cybersecurity and Information Sharing Act (CISA) autorise les acteurs privés à transmettre des renseignements sur des cybermenaces aux autorités fédérales sans crainte de poursuites. Elle devait expirer le 30 septembre. La commission de la Sécurité intérieure de la Chambre a validé mercredi une extension baptisée WIMWIG Act, pour Widespread Information Management for the Welfare of Infrastructure and Government. Cette reconduction de dix ans doit désormais être examinée en séance plénière.
L’adoption initiale de la loi avait marqué un tournant après l’onde de choc provoquée par la fuite massive des données de l’Office of Personnel Management en 2015, qui avait exposé les informations de plus de 21 millions de fonctionnaires. L’affaire avait levé les dernières résistances nées des révélations d’Edward Snowden en 2013 sur les abus de surveillance. Depuis, la loi a permis d’ancrer une coopération jugée essentielle entre infrastructures critiques et gouvernement fédéral.
Des amendements techniques contestés
Le renouvellement du texte a été examiné sans opposition frontale sur le fond. Mais le démocrate Bennie Thompson, élu du Mississippi et chef de file minoritaire, a dénoncé une procédure expéditive. Selon lui, le président de la commission Andrew Garbarino, républicain de New York, a « écourté inutilement » les discussions, la version publique n’ayant été dévoilée que deux jours avant l’examen.
Plusieurs amendements techniques ont été intégrés sans provoquer de débat majeur. Les critiques se sont concentrées sur la méthode, révélant les tensions partisanes autour du dossier, plus que sur la substance du dispositif de partage d’informations lui-même.
Le sujet le plus sensible reste le rôle de l’agence Cybersecurity and Infrastructure Security Agency (CISA). Certains élus républicains redoutent que cette structure fédérale, au cœur du dispositif, ne serve d’outil pour limiter la liberté d’expression. Ces craintes, relayées par le sénateur Rand Paul, président républicain de la commission sénatoriale de la Sécurité intérieure, pourraient peser lors de l’examen au Sénat. Paul, défenseur intransigeant du premier amendement, a annoncé vouloir insérer des garanties interdisant toute action assimilée à de la censure.
Les critiques s’appuient sur les campagnes menées par la CISA autour des élections de 2020, lorsqu’elle avait travaillé avec les plateformes en ligne pour contrer la désinformation. Pour ses détracteurs, ces actions auraient exercé une pression inconstitutionnelle sur des entreprises privées, aboutissant à la suppression de contenus jugés favorables aux conservateurs. Garbarino a confirmé avoir échangé avec Paul sur un texte en préparation visant directement l’agence, sans préciser s’il s’agissait d’un amendement au WIMWIG Act ou d’une proposition distincte.
Le renouvellement du cadre de partage d’informations cyber reste perçu comme indispensable pour protéger les infrastructures critiques. Mais les débats sur le rôle de la CISA et la crainte d’une dérive vers la censure pourraient-ils freiner l’adoption finale d’un dispositif pourtant jugé vital par les acteurs du renseignement et de la cybersécurité ?