Une solution maritime pour le cyber-piratage

Le Resolute a été le premier et le seul engin américain privé à opérer sous une lettre de marque depuis lors. Le dirigeable a été piloté par un équipage civil hors de Los Angeles. Si les lettres de marque pouvaient être adaptées aux machines volantes, pourquoi pas des machines à calculer? Des hacks destructeurs récents ont prouvé que l’action fédérale ne peut à elle seule protéger la cyber-infrastructure. Le moment est venu d’accorder des lettres de marque pour enrôler et armer des sociétés privées pour défendre leurs intérêts et ceux de l’Amérique.

Les pirates d’aujourd’hui sillonnent les cyber-mers à la recherche de butin, de rançon ou de vol. Comme leurs homologues maritimes du XIXe siècle, ils ne respectent aucune souveraineté et perturbent le commerce et la vie quotidienne. Le piratage de Colonial Pipeline de ce week-end et la récente attaque de SolarWinds démontrent le danger croissant et la sophistication de ces agressions. Comme les pirates barbaresques, les hackers reçoivent fréquemment un refuge ou un soutien direct d’États hostiles comme la Russie ou la Chine.

Les pirates informatiques exploitent régulièrement les entreprises privées comme point d’entrée vers des actifs privés lucratifs ou des vulnérabilités de sécurité nationale. Les pirates de SolarWinds ont lancé des attaques à partir de systèmes gérés par Microsoft et Amazon. L’Agence de sécurité nationale, qui a la responsabilité principale de la protection du cyberespace, est légalement interdite de surveiller et de collecter des renseignements auprès d’entités américaines. Tom Burt, vice-président de Microsoft pour la sécurité, a déclaré au Journal en mars: «C’est un acteur sophistiqué qui a apparemment pris du temps pour rechercher l’autorité juridique. Il savait qu’en opérant à partir de serveurs aux États-Unis, il pouvait échapper à certains des meilleurs chasseurs de menaces du gouvernement américain.

Les chasseurs de menaces d’entreprise pourraient combler le vide en agissant en tant que cyber-scouts à l’appui des efforts du gouvernement. Mais cela comporte des risques: Equifax,

Home Depot et Uber ont chacun payé plus de 100 millions de dollars d’amendes et de règlements en raison de données client piratées par un pirate informatique. De nombreux procès restent non résolus; Dans un cas typique, Walmart a fait face à une poursuite alléguant une violation de la California Consumer Privacy Act parce que des pirates ont illégalement récolté des données de consommateurs privés. Le juge a tranché en faveur de l’entreprise, mais uniquement parce que le piratage était antérieur à la loi.

Les entreprises ont des incitations financières pour protéger leurs données; ce qui leur manque, ce sont des incitations à coopérer avec la NSA et à signaler les violations de données au gouvernement en temps opportun. Le journaliste de sécurité Dan Swinhoe rapporte que le piratage a coûté aux entreprises près de 1,3 milliard de dollars. Conscientes des dangers pour leur résultat net, les entreprises embauchent des spécialistes de la cyberdéfense. Mais lorsque leurs mesures s’avèrent insuffisantes face à des hackers toujours plus compétents et avares, les entreprises se figent. Craignant les litiges, la mauvaise publicité et la réglementation punitive, ils retardent le signalement jusqu’à ce qu’ils connaissent l’ampleur du problème. Cela réduit le risque d’exposition de l’entreprise au prix d’exacerber la menace à la sécurité nationale.

Lorsqu’un kidnappeur demande une rançon, la meilleure approche consiste à informer rapidement les forces de l’ordre. De même, la meilleure façon de limiter les dommages causés par les violations de piratage est que la cible partage rapidement des informations avec le gouvernement – dans ce cas, la NSA. C’est là que les lettres de marque entrent en jeu.

Historiquement, ces lettres ont fourni des incitations financières pour surmonter la peur et l’inaction face aux résultats dangereux et aux besoins nationaux. En haute mer, ils garantissaient leur statut et leurs droits devant les tribunaux d’amirauté qui attribuaient des «prix en argent» lorsque des navires pirates étaient coulés ou capturés.

Les cyber lettres de marque pourraient créer des incitations pour le partage d’informations en temps opportun et garantir que les entreprises ont la liberté de se défendre. Une entreprise ciblée par des pirates ferait une demande au Congrès, qui accorderait une lettre de marque offrant une immunité limitée contre les mesures réglementaires lorsque les violations et les activités sont détectées tôt et partagées rapidement avec les agences américaines. Et tandis que les entreprises devraient prendre toutes les mesures nécessaires pour rassurer les consommateurs en cas de violation, le Congrès pourrait également fournir une protection limitée contre les poursuites pénales contre les entreprises qui respectent les normes acceptées de cyberdéfense, fournir des rapports précoces et prendre des mesures défensives solides contre leurs pirates informatiques.

Nous n’avons pas eu de cyber Pearl Harbor, mais la menace actuelle des pirates informatiques pourrait devenir aussi dangereuse que les sous-marins ennemis. Le Congrès devrait se rallier à une initiative non partisane et commencer à publier des lettres de marque dès maintenant. Faites appel à des sociétés privées pour servir de cyber éclaireurs, tout comme le Résolu recherchait des dangers cachés à une époque antérieure de bouleversement et d’incertitude mondiaux.

M. Ayres, un général de division à la retraite de l’armée américaine, a été avocat général des forces aériennes et spatiales américaines, 2018-2021.