Technologie

«En cybersécurité, les Etats-Unis n’ont pas de leçons à donner»

Kiersten Todt a dirigé, à Washington, la Commission présidentielle de cybersécurité. De passage en Suisse, elle explique la stratégie américaine 

Kiersten Todt est l’une des Américaines les plus à la pointe en matière de sécurité informatique. C’est elle qui a dirigé la Commission présidentielle de cybersécurité, dont le rapport a été remis à Barack Obama en décembre dernier, avant que Donald Trump n’entre à la Maison-Blanche. Présidente de la société de conseil Liberty Group Ventures, basée en Virginie, elle accompagne désormais les efforts de l’administration Trump dans ce secteur. Elle est cette semaine en Suisse pour des rencontres officielles tant avec des politiciens que des représentants de l’économie.

Lire aussi: Neuf entreprises suisses sur dix ont souffert de cyberattaques l’an dernier

Le Temps: Des comptes de parlementaires suisses piratés, le Département fédéral de la défense récemment touché par une cyberattaque… Quel regard portez-vous sur la cybersécurité en Suisse?

– Kiersten Todt: Je ne pense pas du tout que les Etats-Unis doivent donner des leçons en matière de cybersécurité à qui que ce soit, Suisse incluse. Nous avons eu des succès, mais aussi des échecs. Ce qui compte, c’est de partager nos expériences, particulièrement dans le secteur financier. Sur notre sol, la société Equifax vient de se faire pirater les données financières de plus de 140 millions d’Américains, et ce de manière extrêmement simple… Il n’est pas possible de créer une sécurité à 100%, mais on peut prévenir un maximum d’attaques et se montrer résilient.

– Parlons d’Equifax. Comment expliquer que cette société, avertie en mars d’une faille de sécurité, ait mis plusieurs mois pour agir?

– Souvent, les entreprises visées par des attaques ont besoin de beaucoup trop de temps pour détecter qu’elles sont les cibles de pirates. Il faudrait ensuite que ces entreprises soient obligées de mieux communiquer avec leurs clients. Pour cela, il faut une régulation.

– Il y a eu les données volées d’Ashley Madison, de Yahoo! puis d’Equifax. Pourquoi les entreprises ne se prémunissent-elles pas contre ces attaques?

– Aux Etats-Unis, il n’existe que trois sociétés, dont Equifax, qui fournissent des données financières. Le gouvernement n’a aucun pouvoir pour forcer ces sociétés à sécuriser leurs informations. Dans notre rapport, nous soulignons que si les entreprises ne font rien, si le marché ne fait pas assez pression, il faut créer une régulation. Jusqu’à présent, il n’y avait aucune régulation dans ce domaine. Rien.

– Quels seront les effets concrets de votre rapport remis au président Obama?

– Ses grandes lignes ont été acceptées par le président Trump, ce qui est une bonne nouvelle. Il ne veut pas défaire ce qui a été construit par son prédécesseur. Et les choses bougent: des rapports sont rendus régulièrement, l’administration prend au sérieux nos recommandations et un dialogue s’installe entre les secteurs public et privé, notamment pour lutter contre les botnets [les réseaux de machines infectées lançant des attaques, ndlr].

– Vous appelez aussi à une coopération internationale. Mais Donald Trump, qui voulait collaborer avec les Russes, a ensuite fait machine arrière…

– Oui, mais la Russie est un cas unique. Les Etats-Unis mènent plusieurs enquêtes concernant ses agissements, notamment en lien avec la dernière élection présidentielle. Je pense qu’il est possible de fixer certains standards avec de nombreux pays. Certes, chaque nation utilise de la cyberintelligence pour ses propres intérêts, mais je pense que nous pouvons nous entendre sur des bases communes. Il faut aussi que nos dirigeants de sociétés informatiques s’impliquent, vu les rapports étroits qu’ils entretiennent avec leurs homologues de pays étrangers.

– Récemment, les Etats-Unis ont banni les drones du fabricant chinois DJI et les logiciels antivirus du russe Kaspersky. N’était-ce pas exagéré?

– Il semble y avoir tellement de vulnérabilités dans ces produits que le gouvernement devait agir. Cela peut sembler exagéré, mais il y a assez d’informations, depuis longtemps, pour estimer que ces mesures, mêmes dures, sont justes. Nous avons des informations sur la manière dont Kaspersky a infiltré, notamment avec des produits gratuits, des entreprises et l’administration. Il fallait agir.

– Parlons de Facebook. Les relations entre son directeur, Mark Zuckerberg, et Donald Trump semblent mauvaises. Or Facebook est au cœur d’une enquête sur l’influence russe durant la dernière élection présidentielle…

– Tout comme Google ou Twitter, Facebook ne semblait pas a priori un service vital ou une infrastructure critique pour le pays. Or c’est devenu le cas. Il faut que leurs dirigeants coopèrent avec le gouvernement. Ces sociétés, puissantes, n’accepteront pas facilement d’être régulées. Il y a encore beaucoup de travail. Si les consommateurs font pression sur ces sociétés pour qu’elles se protègent davantage contre des influences externes, ce sera déjà très utile.

Publicité