Lutte contre les cybermenaces et FAI : comment ça se passe ailleurs ?

cybermenacesEn France, la loi de programmation militaire 2019-2025 introduit dans son article 19 des dispositions permettant aux états de collaborer plus étroitement avec les fournisseurs d’accès à Internet afin de mieux lutter contre la cybercriminalité.

Cette directive était notamment réclamée par l’Anssi : Guillaume Poupard, le directeur de l’Agence Nationale de Sécurité des Systèmes d’Informations, expliquait ainsi vouloir « travailler avec les opérateurs télécoms » afin de mieux détecter et lutter contre les attaques informatiques. L’idée a fait son chemin et a été validée cet été lors de la promulgation de la loi de programmation militaire.

Mais elle est loin d’être une exception française et l’Internet Governance Forum qui se tient aujourd’hui à Paris a donné un aperçu des initiatives similaires à l’étranger.

« La question de la place des fournisseurs d’accès et de leur implication dans la cybersécurité est un sujet important. D’une part, on peut souhaiter que les fournisseurs d’accès se contentent de transporter les données sans interférer. Mais d’un autre coté, si mon ordinateur est infecté et que le fournisseur d’accès le sait, il pourrait également me prévenir » résumait ainsi ce matin Adrian Koster, membre du Cert Suisse Melani à l’occasion de la table ronde des NRI sur la cybersécurité. C’est en effet tout le nœud du problème qui avait attiré l’attention des militants pour les libertés numériques : laisser une telle latitude aux opérateurs, n’est-ce pas ouvrir la porte à d’éventuelles dérives ?

Comme le rappelait, Nata Goderdzishvili, analyste au sein de la Data Exchange Agency du ministre de la Justice de Géorgie, des limites doivent être fixées « En Géorgie, le cadre légal prévoit que les fournisseurs d’accès puissent agir lorsqu’ils bénéficient de l’aval d’un juge. Mais nous ne considérons pas que cela soit une bonne pratique de permettre aux FAI d’agir avant cela. » Pourtant face aux attaques informatiques, il convient parfois d’agir vite et cet impératif s’accommode assez mal des délais judiciaires souligne Adrian Custer.

Le dilemme n’est pas évident à trancher : la réactivité ne fait pas toujours bon ménage avec les garde-fous visant à protéger les libertés. Mais on peut facilement comprendre la tentation des gouvernements : agir, au travers de partenariat public privé ou par une loi spécifique, avec les fournisseurs d’accès permet bien souvent d’avoir un impact comme le rappelait à l’occasion de la table ronde Michael Rotert, ingénieur allemand membre fondateur de plusieurs organisations du numérique tel que le point d’échange DE-NIC ou l’Internet Society. « En Allemagne, nous avons mis en place un projet de partenariat public privé rassemblant les FAI. Celui-ci visait notamment à réduire le nombre de machines infectées par des logiciels malveillants.

Le projet, appelé Botfree.eu, visait en premier lieu à réduire le nombre de machines infectées et exploitées par des botnets en Allemagne. « L’initiative regroupe à la fois la presse, les éditeurs d’antivirus et les fournisseurs d’accès. À l’époque du lancement de l’initiative, l’Allemagne était 2e dans le classement des pays distributeurs de malware et grâce à nos efforts, le pays est repassé 18e du classement. » Mis en place grâce à une initiative européenne de 2012 à 2015, le projet Bot Free plaide donc en la faveur des partenariats publics privés en matière de cybersécurité, notamment en impliquant les fournisseurs d’accès qui disposent d’un point de vue privilégié sur l’état de la menace.

Reste à déterminer selon quelles modalités ce type d’initiative doit être mis en place : une loi pour forcer les entreprises à déclarer les attaques informatiques comme c’est le cas en France ou en Allemagne, un partenariat public privé au travers d’un CERT comme cela a été mis en place en Géorgie ou en Suisse : si tout le monde semble d’accord sur le principe, lorsqu’il s’agit de l’implémentation, chacun cherche sa voie.

Retrouvez cet article sur Zdnet.fr