La sécurisation du réseau revue et corrigée
La copie du rapport américain consacré à la sécurisation d’Internet a été quelque peu édulcorée sur certains points. Notamment, le rapport ne préconise plus un changement de certains protocoles défaillants mais invite les entreprises du secteur à fournir des produits sûrs. En revanche, la création des cellules d’intervention rapide en cas de cyber-attaque est maintenue.
Finalement, le rapport de l’administration américaine sur la sécurisation d’Internet, rendu public le 18 septembre, connaît quelques différences avec la version de travail qu’avait obtenue notre confrère américain Cnet News (voir édition du 18 septembre 2002). Toujours selon Cnet, la nouvelle version du rapport intitulé National Strategy to Secure Cyberspace (qui compte désormais 58 pages au lieu d’une centaine précédemment) ne fait plus état de la révision des protocoles Internet DNS ((Domain Name System) et BGP ((Border Gateway Protocol), pourtant points faibles de l’architecture du Réseau.
Plus question de proposer un changement de la loi (ou un renforcement de celle-ci) et encore moins de rendre le gouvernement responsable de la sécurité du Net. Les responsabilités sont endossées par les internautes et les entreprises, ce qui est pour le moins discutable puisque tout le monde ne sait pas forcément installer et gérer un pare-feu ou un antivirus. Est-ce qu’une compagnie aérienne demande à ses voyageurs d’emporter leur parachute ? Le rapport invite ainsi les industries de l’informatique et des télécommunications à renforcer la sécurité de leurs produits. Le gouvernement pourrait même aller jusqu’à fournir des autorisations, équivalents des permis de construire, aux sociétés dont les produits et services seront jugés « sûrs ».
Des écoles de sécurité informatique
En revanche, la création d’une école d’enseignement de la sécurité informatique ainsi que la mise en place de cellules d’intervention rapide en cas de cyber-attaque sont maintenues. Le « public » américain a deux mois pour faire part de ses réactions. Lesquelles seront – ou ne seront pas – prises en compte avant sa mise en application.