Les récentes mesures prises par l'administration américaine rendent la coordination multilatérale en matière de cybersécurité entre ce gouvernement et d'autres acteurs moins certaine à l'avenir. Quelles conséquences cela peut-il avoir pour les conseils d'administration qui peinent à maîtriser les risques liés à la cybersécurité et à la conformité ?
En janvier, l'administration Trump Les États-Unis se sont retirés de 66 organisations internationales. Parmi celles-ci, trois avaient des mandats clairs en matière de cybersécurité : le Forum mondial sur l’expertise en cybersécurité, la Coalition pour la liberté en ligne et le Centre européen d’excellence pour la lutte contre les menaces hybrides.
Ces groupes contribuent à la coordination des politiques de cybersécurité, au partage d'expertise et à la réponse aux incidents transfrontaliers. Deux d'entre eux ont été mis en place avec l'aide des États-Unis. Leur retrait témoigne d'une approche plus centrée sur la cybersécurité et soulève des questions quant à l'ampleur de la collaboration internationale qui continuera de sous-tendre la gouvernance du cyberespace.
Ce n'est pas la première mesure prise par l'administration en matière de coopération cybernétique. Des décisions antérieures La CISA a constaté des réductions de personnel. et des modifications apportées à certaines de ses priorités opérationnelles, qui affectent inévitablement sa capacité d'engagement international.
Pour les entreprises opérant aux États-Unis, au Royaume-Uni et en Europe, l'enjeu réside moins dans une décision individuelle que dans ce qu'elle signale : une évolution progressive vers un environnement de cybersécurité plus fragmenté et régionalisé.
Le défi de la réponse coordonnée aux incidents
Les cadres multilatéraux constituent le lien essentiel pour le partage de renseignements entre les autorités nationales de cybersécurité. Cette infrastructure revêt une importance particulière lors d'incidents de grande ampleur qui franchissent les frontières.
En cas de crise, les équipes nationales d'intervention en cas de crise (CERT) et les agences de cybersécurité gèrent la réponse au niveau national. Cependant, les incidents cybernétiques complexes affectent souvent plusieurs juridictions simultanément, nécessitant une coordination régionale ou internationale.
Des accords tels que le Accord de coopération ENISA–CISA signé fin 2023 Ces accords visaient à renforcer la coordination transatlantique lors d'incidents majeurs. Face à l'évolution du contexte géopolitique, leur pérennité est moins assurée.
Les cyberincidents majeurs mettent déjà à rude épreuve les capacités de réponse des États. Les événements transfrontaliers reposent sur la coopération entre les autorités nationales et les institutions régionales.
Les organisations britanniques et européennes devraient assumer une part plus importante de ce rôle de coordination. Le plan directeur de l'UE en matière de cybersécurité, adopté en juin dernier, renforce la coordination des crises aux niveaux politique et technique. L'ENISA a déjà pour mandat de soutenir et de coordonner les réponses aux incidents transfrontaliers majeurs.
Au Royaume-Uni, le NCSC gère la coordination interministérielle en cas d'incidents cybernétiques majeurs et peut travailler directement avec les organisations touchées sur la réponse et la communication.
L’infrastructure de la coopération internationale existe toujours. La question est de savoir si elle peut être efficacement étendue à un environnement régional plus fragmenté, notamment si la participation des États-Unis à la coordination multilatérale perd de son importance.
Il faut s'attendre à des divergences réglementaires.
Cette fragmentation s'applique également à la réglementation. Les réglementations américaines, britanniques et européennes en matière de cybersécurité n'ont jamais été pleinement harmonisées. Or, à mesure que les priorités géopolitiques divergent, les attentes réglementaires risquent elles aussi d'évoluer.
Les instances multilatérales ont par le passé contribué à atténuer ces divergences en créant des espaces de coordination. Sans cette harmonisation, les cadres réglementaires risquent de diverger davantage, notamment en ce qui concerne les délais de divulgation des incidents, les seuils de notification des violations et la définition de ce qui est considéré comme « significatif ».
L'UE est l'entité qui a le plus progressé vers une réglementation obligatoire, prescriptive et transversale. La norme NIS 2 couvre 18 secteurs critiques et impose une alerte précoce de 24 heures et une notification d'incident de 72 heures, avec des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
Le cadre réglementaire américain évolue dans une direction différente. L'approche de l'administration Trump est largement axée sur la déréglementation. Les règles de la SEC en matière de divulgation d'informations sur la cybersécurité se heurtent à une opposition politique, la loi de 2022 sur le signalement des incidents cybernétiques pour les infrastructures critiques (CIRCIA) a été reportée et il n'existe aucune loi fédérale sur la protection de la vie privée.
Pour les organisations multinationales, il en résulte un environnement de conformité plus complexe.
Les entreprises pourraient devoir mettre en place des programmes de conformité parallèles pour couvrir plusieurs juridictions ou accepter une plus grande exposition aux risques de contrôles locaux. Les organisations opérant aux États-Unis, au Royaume-Uni et dans l'UE devront composer avec des exigences réglementaires de plus en plus divergentes.
Risques liés à la chaîne d'approvisionnement et aux tiers
La gestion des risques liés aux tiers constituait déjà un défi permanent, mais moins les États-nations collaborent sur les meilleures pratiques et les mesures de protection, plus ce défi se complexifie.
La loi européenne sur la cyber-résilience imposera la fourniture de nomenclatures logicielles (SBOM) pour tous les produits comportant des éléments numériques vendus dans l'UE. La loi sur la résilience opérationnelle numérique (DORA) renforce ce dispositif en conférant aux autorités de régulation européennes un contrôle direct des fournisseurs de services TIC critiques, notamment les entreprises américaines de cloud computing qui desservent les institutions financières de l'UE.
Le projet de loi européen sur la cybersécurité 2 va plus loin, en introduisant des cadres de sécurité de la chaîne d'approvisionnement ciblant spécifiquement les risques liés aux fournisseurs de pays tiers.
Parallèlement, l'approche américaine est plus restrictive, appliquant les SBOM principalement aux marchés publics fédéraux en vertu du décret exécutif 14028. Le Royaume-Uni ne dispose d'aucun équivalent législatif.
Il en résulte trois grands marchés fonctionnant selon des exigences de sécurité des produits de plus en plus différentes.
Une entreprise américaine commercialisant des logiciels en Europe est confrontée à des obligations de conformité au niveau des produits pour lesquelles son environnement réglementaire national ne la prépare pas. En l'absence de mécanismes de coordination internationale efficaces, les entreprises doivent gérer elles-mêmes cette complexité.
Pourquoi cela rend la norme ISO 27001 plus précieuse
Tout cela signifie que les stratégies d'entreprise doivent être mises à jour. Les investisseurs avisés misent sur des référentiels indépendants des juridictions. La norme ISO 27001 apparaît soudainement comme une référence, car elle est applicable au-delà des frontières. Cinq contrôles de la version 2022 portent spécifiquement sur la sécurité des tiers, ce qui témoigne de l'importance croissante accordée à la garantie des fournisseurs.
Plus important encore, les autorités de régulation, de Singapour à Stockholm, le reconnaissent. Bien qu'il ne remplace pas les exigences de conformité propres à chaque juridiction, il offre un cadre cohérent permettant aux organisations de gérer la sécurité dans de multiples environnements réglementaires.
Dans un paysage de gouvernance fragmenté, cette cohérence devient stratégiquement utile.
Un risque au niveau du conseil d'administration, et pas seulement un risque diplomatique.
Pour les conseils d'administration, le retrait des cadres de coopération internationale en matière de cybersécurité ne représente peut-être pas une menace opérationnelle immédiate. Mais il témoigne d'une évolution structurelle de la gouvernance mondiale de la cybersécurité.
La coopération en matière de cybersécurité entre les gouvernements contribue depuis longtemps à réduire les divergences réglementaires, à améliorer la coordination en cas de crise et à créer des attentes communes concernant les pratiques de sécurité.
À mesure que ces mécanismes s'affaiblissent ou évoluent, les entreprises sont confrontées à une responsabilité accrue en matière de maintien de la résilience, de l'interopérabilité et de la fiabilité de leur chaîne d'approvisionnement.
La cybersécurité mondiale ne s'effondre pas lorsqu'un acteur majeur se retire de l'engagement multilatéral. Elle devient simplement plus complexe.
Pour les organisations opérant aux États-Unis, au Royaume-Uni et en Europe, la complexité représente un risque qu'il faut de plus en plus gérer au sein de l'entreprise plutôt que de supposer stabilisé par une coordination internationale.
