Valentin Boullier

Just another WordPress site

Archives du mois : mars 2015

Bref arrêt sur l’ENISA mars 27, 2015

Située en Grèce (Crète), l’ENISA (European Union Agency for Network and Information Security) est une agence de l’Union européenne dont le rôle est de sensibiliser, conseiller et informer sur la sécurité informatique, en assurant « un niveau élevé de sécurité des réseaux et de l’information ». Si les particuliers peuvent librement accéder au site de l’ENISA, les entreprises et les États membres de l’UE sont plus particulièrement visés.

L’ENISA est-elle l’équivalente de l’ANSSI française ?

L’ANSSI a notamment pour mission de détecter, d’analyser et de contrer les menaces « cyber », mais également de sensibiliser les différents publics, et notamment les entreprises (voir, à ce titre, le guide des bonnes pratiques de l’informatique – .pdf – édités par l’ANSSI et la CGPME). L’ANSSI remplit donc une mission de sensibilisation et de réaction. Or, l’ENISA ne remplit qu’une mission d’information et de sensibilisation, et ne dispose pas de capacités de réaction ou de détection de menaces informatiques. En revanche, l’ENISA assure pleinement sa mission en participant à des conférences, en éditant des guides (notamment des guides relatifs au cloud, au secteur financier, aux CERT – Computer Emergency Response Teams), ou en organisant des exercices européens de cyberdéfense. L’agence rappelle par ailleurs qu’elle n’est pas une autorité de régulation et n’intervient pas de manière opérationnelle.

ENISA acts like a broker of knowledge and a switchboard of information.

Source : ENISA, faq.

L’ENISA tente également d’informer les institutions européennes, et notamment la Commission. De même, l’agence est récemment intervenue devant la Commission Sécurité et Défense du Parlement européen. Ainsi, lors de cette intervention, le directeur de l’agence a évoqué, parmi d’autres sujets, les exercices européens, le développement de rapports d’incidents européens, la sauvegarde des « infrastuctures informationelles essentielles », mais également « la nécessité d’une législation européenne protégeant la vie privée, en requérant aux développeurs et fournisseurs de services d’élaborer des mesures de protection des données depuis la phase de conception » (voir le communiqué de presse ici).

Ces défis pour le futur montrent que la cybersécurité et les cyber-attaques arborent différents aspects. Des actions fermes vont devoir être employées compte tenu d’une évolution notable attendue des menaces les plus importantes. Pour faire face à cela, une coopération entre les Etats Membres, les Institutions européennes et autres acteurs sera d’une priorité absolue. De plus, il sera nécessaire d’établir des moyens de prévention, de détection et des capacités de réaction à échelle européenne ainsi que la mise en oeuvre de systèmes d’alerte précoce.

ENISA, communiqué de presse du 16 mars 2015, EPR12/2015, « ENISA sur la cybersécurité de l’UE devant la Commission Sécurité et Défense (SEDE) du Parlement européen », disponible ici.

L’ENISA répertorie également sur son site web les stratégies étatiques de nombreux pays du monde, européens et non-européens. Le public peut ainsi librement lire les « National Cyber Security Strategies », et par exemple consulter le guide français, établi par l’ANSSI. Dans ce document, l’ANSSI indique notamment que :

Our legislative and regulatory framework must reflect recent developments in technology. Laws will be reviewed as new technologies and new pratices emerge in order to strengthen the security as individuals while at the same time ensuring a balance between the desire to minimise the impact on companies’ competitiveness and the need for the State to be able to intervene in the nation’s best interest ».

Information systems defense and security France’s strategy (.pdf), p. 18.

Pour aller plus loin :

Par - 0 commentaire(s)

Meanwhile in the US… mars 23, 2015

Si les regards sont actuellement tournés vers le Gouvernement français et la loi sur le renseignement, il est judicieux d’analyser également les actualités en provenance des États-Unis. Le site de l’ACLU (American Civil LIberties Union) est en effet très riche, et le moindre communiqué de presse permet d’en apprendre un peu plus sur la surveillance des communications électroniques.

Parlons donc du CISA (Cybersecurity Information Sharing Act), parent du défunt CISPA.

Le CISA (cf. la version du 7 mai 2012, ici, la version du 10 juillet 2014, et la version de 2015) était jusqu’à présent une proposition de loi provenant de deux sénateurs, dont l’un est membre de la commission du renseignement du Sénat. L’objectif du CISA est simple :

To provide for the sharing of certain cyber threat intelligence and cyber threat information between the intelligence community and cybersecurity entitites, and for other purposes (2012)

To improve cybersecurity in the United States through enhanced sharing of information about cybersecurity threats, and for other purposes (2014).

Or, le CISA a fait l’objet de nombreuses critiques, celui-ci, selon ses détracteurs, comportant un risque important de violation des libertés individuelles, que ce soit au niveau de la collecte d’informations ou au niveau du partage desdites informations avec les agences fédérales de renseignement. On peut par exemple relever que « en accord avec la protection des informations classifiées, des sources et méthodes de renseignement et la protection des libertés individuelles, le directeur national du renseignement, le secrétaire à la sécurité intérieure, le ministre de la défense et le ministre de la justice, après consultation des entités fédérales concernées, établiront et promulgueront des procédures en vue de faciliter et de promouvoir […] » le partage d’information relatives à la cybersécurité entre les acteurs privés et les agences fédérales. Ainsi, une entité privée pourra notamment contrôler les informations stockées ou traitées par ses systèmes. En revanche, l’entité devra notamment supprimer les informations permettant d’identifier une personne non liée à une « cyber menace ». Des lignes directrices visant à la protection des libertés individuelles devront être mises en place par le ministre de la justice. Pourtant présenté comme une évolution législative visant à davantage protéger les droits et libertés fondamentaux (le CISA fonctionnerait sur le volontariat), le CISA contient des dispositions alarmantes, notamment au niveau de la protection des acteurs privés partageant des informations avec les agences fédérales : ainsi,  les actions judiciaires intentées contre des acteurs ayant transmis des informations aux agences fédérales ne pourront être favorablement accueillies si le contrôle des systèmes d’informations est conforme aux dispositions du CISA. Des rapports d’informations doivent également être rendus au Congrès un an après l’entrée en vigueur du CISA, et tous les deux ans par la suite. Il est également intéressant de noter que le CISA ne peut permettre à l’entité privée d’empêcher un employé de devenir un lanceur d’alerte.

Le site de la sénatrice ayant participé à l’élaboration de cette proposition de loi mentionne notamment que le CISA a pour objet d’instaurer un cadre légal plus respectueux des libertés individuelles.

Devant l’opposition engendrée par le CISA, des amendements ont été adoptés afin de mieux protéger les libertés individuelles. L’opposition reste toutefois vive. En effet, le 12 mars 2015, le texte a été largement adopté par la commission du renseignement du Sénat, et n’a rencontré aucune opposition dans la commission. Comme le remarque le communiqué de presse du 12 mars 2015 en provenance du Sénat (trouvé sur le site web.archive.org par eff.org), le CISA a réussi à réunir les républicains et les démocrates. Les partisans du CISA soulignent notamment la nécessité de moderniser le cadre juridique afin de mieux protéger les acteurs publics et privés  contre la cybercriminalité. A ce titre, il  est utile de rappeler que le CISA autorise les acteurs du privé à mettre en place des contre-mesures afn d’assurer une protection de leurs systèmes et donc de leurs intérêts, notamment économiques.

Il est également intéressant de noter que les conseillers de Barack Obama s’étaient opposés à CISPA, parent de CISA, en 2012. Vous pouvez lire la déclaration de l’Administration ici. Celle-ci indique notamment que :

The American people expect their Government to enhance security without undermining their privacy and civil liberties.  Without clear legal protections and independent oversight, information sharing legislation will undermine the public’s trust in the Government as well as in the Internet by undermining fundamental privacy, confidentiality, civil liberties, and consumer protections.  

[…]

Legislation should address core critical infrastructure vulnerabilities without sacrificing the fundamental values of privacy and civil liberties for our citizens, especially at a time our Nation is facing challenges to our economic well-being and national security.  The Administration looks forward to continuing to engage with the Congress in a bipartisan, bicameral fashion to enact cybersecurity legislation to address these critical issues.

Le CISA 2015 a été adopté par la commission du renseignement du Sénat par une majorité écrasante (seul un sénateur a voté contre), et le président de la commission s’est félicité d’un texte bipartisan :

This bipartisan legislation is critical to securing our nation against escalating cyber threats.

SOURCES :

Il est également judicieux de lire la lettre de contestation envoyée par l’ACLU au président et au vice-président (co-auteur du CISA) de la commission du renseignement du Sénat.

Par - 0 commentaire(s)

Questions parlementaires adressées au Gouvernement : bref arrêt II mars 17, 2015

Nouvelle fournée de questions parlementaires écrites adressées à la secrétaire d’Etat au numérique!

  • Question de M. René Rouquet (SRC), N°76200, publiée au JO le 17 mars 2015, relative à la neutralité du Net : M. Rouquet souligne que la « neutralité d’Internet » (sic) est en danger, en raison d’un modèle économique favorisé par les fournisseurs d’accès « mettant à mal l’architecture décentralisée d’Internet et la liberté qui est offerte par ce nouveau moyen de communication ». Ainsi, le député souhaite connaître les intentions du Gouvernement afin de pouvoir assurer la protection de la neutralité du Net.
  • Question de M. Jacques Cresta (SRC), N°75235, publiée au JO le 3 mars 2015, relative au droit à l’oubli : le député s’alarme de l’émergence d’un droit à l’oubli « à deux vitesses » – ou « désindexation à deux vitesses ». Le dépouté souligne qu’un rapport recommande « de différencier le droit à l’oubli en fonction de son lieu de connexion ». Ce rapport, rédigé par un comité dans lequel siègent M. Eric Schmidt et le vice-président senior pour le développement de l’entreprise et directeur juridique, a été remis le 6 février 2015 à la suite de l’important arrêt de la Cour de justice de l’Union européenne le 13 mai 2014 (consultable ici). Ce rapport envisageait effectivement l’hypothèse d’un droit à l’oubli « territorial », les internautes accédant à google.com auraient, selon le comité, une légitimité à accéder aux contenus déréférencés de google.fr (ou autres) en vertu du droit à l’oubli :

Given concerns of proportionality and practical effectiveness, it concludes that removal from nationally directed versions of Google’s search services within the EU is the appropriate means to implement the Ruling at this stage.

Report of the Advisory Council to Google on the Right to be Forgotten, p. 20.

  • Question de M. Hervé Féron (SRC), N°76226, publiée le 17 mars 2015 : le député s’inquiète de l’arrêt de la CJUE en date du 5  mars 2015, relative au taux de TVA applicable aux livres électroniques, dorénavant considérés par la Cour comme un « service », et donc soumis à un taux de 20%. M. Féron estime donc nécessaire l’application d’un taux préférentiel aux « biens et services culturels numériques ».
  • Question de M. Phillipe Briand (UMP), N°76225, publiée le 17 mars 2015 : cette question est également relative au taux de TVA applicable au livre électronique, le député souhaitant recueillir la position du Gouvernement « sur cette décision qui risque de pénaliser de nombreuses entreprises françaises, dont des PME, en augmentant le coût d’achat pour le lecteur ».

Par - 0 commentaire(s)

Open Internet Order : la FCC répond aux principaux arguments de ses détracteurs mars 17, 2015

L’Open Internet Order instauré par la FCC a rencontré une vive opposition de la part de la team cable, dont les membres ont parfois soulevé des arguments étonnants. Nous l’avons vu lors d’un précédent billet, ces arguments avaient été en partie repris par l’un des membres de la commission, qui redoutait notamment la mise en place d’un contrôle gouvernemental. La FCC a ainsi choisi de communiquer plus particulièrement sur certains de ces arguments, dans un document intitulé « The Open Internet Order : Preserving and Protecting the Internet for all americans » et par un billet dont le titre est révélateur de l’état d’esprit des membres majoritaires de la commission : « FCC Open Internet Order – Separating Fact From Fiction ».

Par ce document, la FCC rappelle que l’Open Internet Order vise à protéger les consommateurs et les innovateurs. Or, les arguments des détracteurs pouvaient aisément être classés en plusieurs catégories : d’une part, les arguments visant les consommateurs (« l’Open Internet Order va avoir pour conséquence l’instauration de nouvelles taxes »), d’autre part, les arguments touchant à l’innovation (« l’Open Internet Order constitue un véritable frein à l’innovation »), et enfin des arguments plus globaux (« l’Open Internet Order va instaurer un contrôle gouvernemental »).

L’Open Internet Order est dévoilé dans la déclaration finale de la FCC, mise en ligne le 12 mars 2015 et librement consultable ici, et démontre que l’Open Internet Order vise seulement à protéger les consommateurs et les innovateurs. Pourtant, la FCC a décidé de faire preuve de clarté en publiant un document démontrant l’impertinence des arguments des détracteurs. Nous reprendrons ici les principaux arguments des détracteurs et la réponse apportée par la FCC.

  • La team cable soulignait que la principale conséquence de l’instauration d’un Open Internet Order serait la mise en place de nouvelles taxes, ce qui serait donc contraire aux intérêts des consommateurs. La FCC rappelle qu’aucune nouvelle taxe n’est instaurée et que les taxes locales ou fédérées sur l’accès à l’internet sont strictement interdites.
  • Les détracteurs invoquaient également la mise en place d’un contrôle gouvernemental de l’internet (cf. l’opinion dissidente de M. le commissaire Ajit Pai). La FCC explique ainsi que l’Open Internet Order ne vise pas à l’instauration d’un contrôle gouvernemental ou à une quelconque régulation du « contenu, applications ou service » ou du fonctionnement de l’internet. La FCC rappelle ainsi que l’Open Internet Order s’applique aux fournisseurs d’accès : « cela signifique que les consommateurs peuvent aller où ils le souhaitent, quand ils le souhaitent et que les innovateurs peuvent procéder au développement de produits ou services sans requérir la permission ».
  • La FCC indique également que l’Ordre ne limite en rien les choix des consommateurs.
  • Un autre argument intéressant est celui relatif à l’exemple donné par les États-Unis, certains détracteurs estimant que l’Ordre encouragerait les pays autoritaires à continuer dans une voie contraire aux valeurs démocratiques. Or, la FCC estime que l’Ordre  démontre que « personne – gouvernement ou entreprise privée – ne devrait limiter le droit à l’internet libre et ouvert de l’utilisateur ». De ce fait, l’Ordre constitue un exemple défendu par les États-Unis.
  • Selon les détracteurs, l’Open Internet Order constituerait un véritable frein à l’innovation. Les domaines liés aux services IP seraient ainsi particulièrement touchés. La FCC rappelle que l’Ordre ne s’applique pas aux services n’impliquant pas d’accès à l’internet.
  • Les détracteurs estiment que l’Open Internet Order aurait pour conséquence de réduire la vitesse et les investissements. La FCC fonde sa réponse sur le fait que les revenus des fournisseurs d’accès ne diminueront pas en raison de l’Open Internet Order, et que les investissements continuent.

Enfin, la FCC rappelle que l’Open Internet Order ne constitue pas une nouvelle forme de régulation et ne constituera pas un frein à l’innovation.

Ainsi, la FCC communique largement sur la neutralité du Net.

Les traductions sont libres.

Par - 0 commentaire(s)

Neutralité du Net mars 13, 2015

La FCC a publié sur son site web le document relatif à la neutralité de l’internet!

Vous pouvez le retrouver ici.

Par - 0 commentaire(s)

Neutralité du Net : l’état d’esprit ayant conduit à l' »epic win » du 26 février 2015 mars 2, 2015

Si le 26 février 2015 restera une date cruciale pour la neutralité du net, il peut être intéressant de s’intéresser aux opinions des commissaires de la FCC. Les conséquences des nouvelles règles adoptées par la FCC sont claires, et nous renvoyons vers les sites spécialisés. En revanche, il peut être utile de de comprendre dans quel état d’esprit les commissaires ont adopté ces nouvelles règles.

  • M. le président Tom Wheeler : après avoir rappelé l’importance de la journée du 26 février 2015 (« today is the culmination of that effort »), le président de la FCC a détaillé le processus ayant mené à l’adoption de ces règles tout en soulignant la multiplicité des acteurs ayant fait part de leurs opinions : géants des nouvelles technologies, startups, fournisseurs d’accès, membres du Congrès, et…le Président lui-même. Cependant, si certains de ces acteurs ont joué un rôle primordial dans l’obtention de cette victoire, le président de la FCC souligne surtout le rôle joué par les citoyens eux-mêmes : près de quatre millions de citoyens américains ont en effet participé en faisant entendre leur voix de plusieurs manières.

Ainsi, il était possible d’envoyer un mail à son député via le site Battle for the Net. Le Net a ainsi su reformer son unité afin de contrer les prétentions des géants du câble. Ce site a ainsi souligné l’opposition entre la « team cable » et la « team internet ».

There are three simple keys to our broadband future. Broadband networks must be fast. Broadband networks must be fait. Broadband networks must be open.

M. Tom Wheeler, Président de la FCC

  • M. Mignon L. Clyburn n’hésite pas, dans sa déclaration, à rappeler le Bill of Rights et le premier amendement de la Constitution ainsi que la fierté que les Pères fondateurs pourraient ressentir en constatant la transposition des grands principes démocratiques américains sur un moyen de communication moderne et dorénavant au coeur de la société. De même, le commissaire Clyburn se déclare fier de ne pas être le citoyen d’un pays censurant les informations et sites web accessibles aux citoyens. L’égalité que procure la neutralité du Net (et donc la nécessité d’un Internet unique) est également largement abordée par le commissaire. L’accent est donc mis sur les idéaux américains, et notamment ceux découlant des grands textes.

So here we are, 224 years later, at a pivotal fork in the road, poised to preserve those very same vitues of a democratic society – free speech, freedom of religion, a free press, freedom of assembly and a functioning free market.

Commissaire Mignon L. Clyburn

  • La déclaration de la commissaire Jessica Rosenworcel est la déclaration la plus courte, mais se distingue par sa clarté et la force des mots utilisés. En effet, la commissaire rappelle l’essence de l’internet : « the most dynamic platform for free speech ever invented. It is our printing press. It is our town square. It is our individual soapbox – and our shared platform for opportunity ». De même, Mme Roseworcel estime qu’il n’est pas possible d’avoir un internet à deux vitesses : l’un rapide pour les personnes privilégiées, et un autre beaucoup plus lent pour les autres. Enfin, la commissaire rappelle la vision de l’internet propre aux pionniers comme Sir Tim Berners-Lee.

We cannot have gatekeepers who tell us what we can and cannot do and where we can and cannot go online.

Commissaire Jessica Rosenworcel

Les deux autres déclarations sont des opinions dissidentes, dans la droite lignée de la tradition américaine.

  • M. Ajit Pai : le commissaire regrette « la tentative sans précédent de la FCC de remplacer cette liberté [la liberté d’expression ] par un contrôle gouvernemental », mais également l’intervention du Président américain. Pour le commissaire, la FCC adopte ces nouvelles règles « pour une seule et unique raison. Le Président nous a enjoint de le faire ». De même, ces nouvelles règles seraient un frein non seulement à la liberté d’expression, mais également à l’innovation, et pourraient avoir pour conséquence l’augmentation des coûts d’accès (et la possible instauration d’une nouvelle taxe) et la diminution de la la vitesse de déploiement. Enfin, le commissaire rappelle que l’internet a pu se développer grâce au secteur privé, et estime également que les citoyens américains auraient du être sollicités.

This isn’t how the FCC should operate. We should be an independant agency making decisions in a transparent manner based on the law and the facts in the record. We shouldn’t be a rubber stamp for political decisions made by the White House.

Commissaire Ajit Pai

  • La déclaration du commissaire Michael O’Rielly est extrêmement critique envers la FCC. Les termes employés sont offensifs : « imagination », « raisonnement fragile », « cycle vertueux dépourvu de sens », « le Titre II est une solution extrême à un problème imaginaire », « il y a une raison à ce que le Titre II ait été dénommé l’option atomique », « oubliez l’internet ouvert, il n’y a pas d’internet », « contraire à la loi et aux faits », etc. La déclaration est abondamment sourcée, et les considérations techniques sont largement abordées.

Today a majority of the Commission attempts to usurp the authority of Congress by re-writing the Communications Act to suit its own « values » and political ends.

[…]

Moreover, this shift to regulate Internet traffic exchange highlights that the Commission’s real end game has become imposing Title II on all parts of the Internet, not just setting up neutrality rules. In subjecting a thriving, competitive market to regulation in the name of net neutrality, the Commission is trying to use a small hook and a thin line to reel in a very large whale. This line will surely break.

Commissaire Michael O’Rielly

La déclaration finale de la FCC n’est pas encore disponible au public. La FCC a communiqué sur ce point, et assure que la déclaration sera bientôt mise en ligne. 

Pour aller plus loin :

Les traductions de cet article sont libres.

Par - 0 commentaire(s)