Les banques alertent sur les risques alors qu’une loi cyber essentielle arrive à expiration

• Enjeu: Si le Congrès ne réautorise pas le CISA 2015, les protections légales permettant aux banques de partager des informations sur les menaces cybernétiques disparaîtront.
• Données significatives: Bien que de nombreux leaders en cybersécurité soutiennent le renouvellement de la loi, la participation à l’un des programmes de partage d’informations qu’elle permet est passée de 304 en 2020 à 135 en 2022.
• Perspectives: Plusieurs efforts bipartisans pour renouveler (et réformer) la loi sont en cours, le plus récemment avec un vote unanime de soutien d’un comité de 25 personnes mercredi.

À l’approche de l’expiration d’une loi cruciale sur la cybersécurité prévue pour le 30 septembre 2025, les groupes d’industrie financière exhortent le Congrès à agir rapidement pour renouveler le Cybersecurity Information Sharing Act de 2015 (CISA 2015).

Cette législation bipartisane a établi un cadre volontaire pour le partage d’informations sur les menaces cybernétiques entre le secteur privé et les agences gouvernementales, un outil que les dirigeants du secteur bancaire jugent essentiel pour défendre le système financier du pays.

Promulguée il y a dix ans après une violation de données au Bureau de la gestion du personnel, le CISA 2015 fournit des protections en matière de responsabilité et une exemption antitrust qui encourage les banques et autres entreprises à partager des indicateurs de menaces cybernétiques entre elles et avec le gouvernement.

Pourquoi le CISA 2015 est-il important pour les banques ?

Le secteur financier a constamment plaidé pour le renouvellement de cette loi, soulignant son rôle crucial dans la protection de l’industrie.

“Sans les protections établies par cette loi, les entreprises pourraient être moins enclines à partager des informations sur les menaces cybernétiques par crainte d’une exposition juridique,” a déclaré une coalition de 13 associations professionnelles, y compris l’American Bankers Association, le Bank Policy Institute, et l’Independent Community Bankers of America, dans une lettre adressée au Congrès jeudi.

“Tout effet dissuasif sur cet échange d’informations profite directement aux acteurs étatiques et aux cybercriminels cherchant à nuire aux intérêts économiques et de sécurité nationale des États-Unis,” a ajouté la lettre.

Heather Hogsett du Bank Policy Institute a déclaré : “Cette loi a contribué à protéger le système financier américain pendant plus d’une décennie en permettant aux banques de partager en toute confidentialité des informations sur les menaces avec des partenaires de l’industrie et du gouvernement.”

Le CISA 2015 offre des exemptions antitrust essentielles et des protections contre les responsabilités qui incitent les entreprises à partager des indicateurs de menaces cybernétiques entre elles et avec le gouvernement. Sans ces protections, les organisations pourraient faire face à des litiges futiles en vertu des lois fédérales et étatiques, telles que la loi sur les écoutes, pour mener des activités de défense cybernétique nécessaires. Le risque de poursuites coûteuses pourrait créer un “effet dissuasif” sur le partage d’informations, laissant les défenseurs avec des renseignements moins opportun pour renforcer la sécurité et protéger les données des clients.

Les adversaires étatiques continuent de cibler les infrastructures critiques américaines, comme l’a démontré la campagne Salt Typhoon qui a suscité des inquiétudes chez les banques l’année dernière, suite à une violation de données au sein des chaînes de casinos MGM et Caesars.

Que se passera-t-il si la loi expire ?

Si le Congrès ne renouvelle pas la loi, les protections légales qui facilitent ce partage d’informations disparaîtront.

Les organisations perdraient les protections contre la responsabilité pour le partage de données de menaces avec le gouvernement, les protections antitrust pour la collaboration sectorielle et les exemptions des lois de divulgation fédérales et étatiques.

En conséquence, cela réduirait la quantité et la qualité des renseignements en cybersécurité que les banques obtiennent entre elles et d’autres entreprises, rendant plus difficile le suivi et la prévision des menaces.

Quel est le débat ?

Bien que le soutien à la réautorisation soit large, le programme que permet le CISA 2015 n’est pas sans défis.

Un rapport de septembre 2024 du Bureau de l’Inspecteur général du DHS a révélé que la participation au programme de partage d’indicateurs automatisés, principal mécanisme d’application de la loi, a chuté au niveau le plus bas depuis 2017.

Le nombre de participants à l’AIS est passé de 304 en 2020 à 135 en 2022. Pendant cette même période, le partage d’indicateurs de menace cybernétique via l’AIS a chuté de 93 %, en grande partie parce qu’une agence fédérale clé a cessé de partager des données en raison de préoccupations de sécurité.

Le rapport OIG a attribué la baisse de la participation à l’absence d’une stratégie de sensibilisation de CISA pour recruter et retenir les producteurs de données.

Certains critiques affirment également que la loi nécessite des mises à jour pour faire face aux menaces modernes telles que les attaques sur la chaîne d’approvisionnement et pour améliorer le partage d’informations réciproques de la part du gouvernement.

Cependant, la plupart des parties prenantes s’accordent à dire que le renouvellement doit être prioritaire pour éviter de créer des lacunes en matière de sécurité. Comme l’a souligné le Conseil de l’industrie des technologies de l’information, une extension rapide et “propre” est préférable à une interruption de l’autorité.

Le Congrès va-t-il réautoriser le CISA 2015 ?

Plusieurs efforts législatifs sont en cours pour éviter que la loi ne tombe en désuétude.

À la Chambre, le Comité de la sécurité intérieure a unanimement approuvé le projet de loi Widespread Information Management for the Welfare of Infrastructure and Government Act, ou WIMWIG Act, H.R. 5079, mercredi. Ce projet de loi attend maintenant d’être examiné par l’ensemble de la Chambre.

Parrainé par le représentant Andrew Garbarino, un républicain de New York et président du comité, le projet de loi prolongerait le CISA 2015 jusqu’en 2035 tout en apportant plusieurs réformes, y compris des modifications au partage d’informations du gouvernement et l’exigence d’un plan de sensibilisation pour s’assurer que des entités telles que les propriétaires d’infrastructures critiques dans des zones rurales soient informés du programme.

Heather Hogsett du BPI a exprimé sa gratitude envers le Président Garbarino pour ses efforts en vue du renouvellement de la loi.

Au Sénat, le sénateur Gary Peters, un démocrate du Michigan, a introduit la Cybersecurity Information Sharing Extension Act, S. 1337, en avril.

Ce projet de loi, soutenu par des républicains tels que la sénatrice Susan Collins du Maine et le sénateur Mike Rounds du Dakota du Sud, prévoirait une réautorisation simple de la loi jusqu’en 2035 sans modifications.

Certaines figures du secteur soutiennent cette approche pour éviter une interruption de l’autorité, arguant que même des réformes bien intentionnées pourraient ralentir le processus.

Ce projet de loi est resté en souffrance pendant des semaines en commission, mais en juillet, le Comité sénatorial du renseignement a adopté une réautorisation simple de dix ans du CISA 2015 dans le cadre d’un projet de loi plus large sur l’autorisation de financement. Ce projet de loi a été approuvé par le comité le 15 juillet par un vote de 15 à 2 et attend maintenant d’être examiné par l’ensemble du Sénat.

Cela affecte-t-il CISA, l’agence ?

L’expiration potentielle du Cybersecurity Information Sharing Act de 2015 ne menace pas l’existence de l’Agence de cybersécurité et de sécurité des infrastructures (CISA).

Bien qu’elles partagent un acronyme, une loi distincte a établi l’agence. Celle-ci aide à mettre en œuvre la loi sur le partage d’informations mais continuerait de fonctionner même si la loi n’est pas réautorisée.