Contexte

Le secteur public, les entreprises et les consommateurs sont confrontés à un paysage de cybersécurité qui évolue à un rythme effréné, à chaque lancement sur le marché d'une nouvelle technologie. La multiplication rapide des équipements connectés à Internet au sein des organismes publics et des entreprises, de même que dans les foyers, ne fait qu'exacerber ce problème déjà complexe. Les défis auxquels nous nous heurtons sont bien trop importants pour pouvoir être réglés par une seule entreprise ou entité. Une collaboration est indispensable et, à cet égard, les partenariats public-privé constituent un modèle efficace.

Le cadre pour l'amélioration de la cybersécurité des infrastructures critiques, également connu sous le nom de cadre de cybersécurité du NIST, est réputé pour être un modèle extrêmement performant de collaboration publique-privée. Il est aujourd'hui adopté par des organismes publics et des entreprises à infrastructures critiques. L'approche du NIST a été couronnée de succès pour diverses raisons. Tout d'abord, les décideurs politiques et le secteur privé ont identifié un besoin réel : améliorer la sécurité des infrastructures critiques. Ensuite, le processus était ouvert : le NIST s'est mis à l'écoute du secteur privé et a développé des relations de confiance avec les principales parties prenantes. Enfin, le produit final, un cadre flexible, reposait sur une collaboration volontaire et non des réglementations rigides. Les décideurs doivent garder en ligne de mire les succès récents de ce cadre pour atteindre les résultats qu'ils visent.

Importance pour McAfee

Pour McAfee, une collaboration dans le domaine de la cybersécurité est la meilleure façon de contrer les cybercriminels et de sécuriser nos réseaux, nos données et notre infrastructure, voire nos vies. Nous sommes convaincus que des partenariats public-privé volontaires solides sont le meilleur moyen de résoudre les défis majeurs de la cybersécurité. Ces partenariats encouragent la confiance et l'innovation et sont bien plus à même de garantir le succès à long terme que des mandats et réglementations trop restrictifs, qui érodent la confiance.

McAfee participe à des partenariats public-privé gérés par le ministère américain de la Sécurité intérieure, le NIST et d'autres organismes depuis plus de dix ans. Nous occupons des postes stratégiques au sein du National Security Telecommunications Advisory Committee (NSTAC) du Président, de l'Information Technology Sector Coordinating Council, de l'Information Technology-Information Sharing and Analysis Center, de la National Cyber Security Alliance et du National Cybersecurity Center of Excellence (NCCoE).

Il ne fait par ailleurs aucun doute qu'une collaboration étroite en soutien des technologies permettra de déployer celles-ci rapidement sur des plates-formes de sécurité, afin qu'elles puissent communiquer entre elles par le biais de protocoles de communication ouverts. Ces technologies peuvent être guidées par l'intellect stratégique que seul l'être humain est à même d'offrir. La seule façon de mettre en place une stratégie de cybersécurité gagnante est donc d'associer la technologie, l'industrie de la cybersécurité et les efforts entre les secteurs public et privé. Telle est l'essence d'une collaboration véritable.

Recommandations

Les décideurs politiques doivent se méfier des mandats et réglementations de cybersécurité imposés et privilégier une collaboration volontaire et l'utilisation de normes et meilleures pratiques soutenues par le secteur. Le secteur doit quant à lui soutenir la prise de responsabilité en matière de cybersécurité, de même qu'augmenter les budgets et intensifier l'attention portée par les entreprises et leurs dirigeants à la cybersécurité.

Les décideurs politiques ont accompli un travail remarquable en s'appuyant sur la protection des responsabilités et en assouplissant les règles antitrust, afin de favoriser le partage d'informations à grande échelle entre les secteurs privé et public, ainsi que parmi les entités du secteur privé. Le nombre d'entreprises qui partagent activement la cyberveille sur les menaces entre elles et avec les autorités publiques demeure toutefois insuffisant. Une situation qui fait obstacle à la concrétisation de notre objectif : un écosystème parfaitement opérationnel de partage des informations permettant aux secteurs public et privé de rivaliser avec les réseaux mondiaux de cybercriminels expérimentés.

Le secteur public doit déclassifier davantage de catégories de données sur les menaces et les partager activement avec le secteur privé. Les ministères chargés de la sécurité publique doivent délivrer beaucoup plus d'habilitations de sécurité à des représentants d'entreprise qualifiés afin de permettre l'accès aux données sur les menaces ou catégories de cyberveille les plus sensibles. À titre d'exemple, aux États-Unis, le gouvernement doit adopter la loi sur le crédit d'impôt pour le partage de cyberveille (Cyber Information Sharing Tax Credit Act), afin d'inciter les entreprises de toutes tailles à rejoindre des organisations sectorielles de partage d'informations, en leur accordant des crédits d'impôt remboursables pour tous les coûts liés à leur adhésion à de telles entités.