James R. Clapper, directeur du renseignement
national (Director of National Intelligence - DNI), a rendu public en septembre
2014[1]
le rapport intitulé « The National
Intelligence Strategy of the United States of America. 2014 »[2].
Le « cyber » y est bien sûr omniprésent :
- Le cyber-renseignement est l’une des missions centrales du renseignement (avec le contre-terrorisme, la contre-prolifération…)
- L’objectif du cyber-renseignement est de fournir du renseignement sur les cyber-menaces (p.6)
- Le cyber-renseignement est « la collecte, le traitement, l’analyse et la diffusion d’information de toutes les sources de renseignement sur les cyber programmes d’acteurs étrangers, leurs intentions, leurs capacités, leurs activités de recherche et développement, leurs tactiques, leurs activités opérationnelles et indicateurs ; leur impact ou effets potentiels sur la sécurité nationale, les systèmes d’information l’infrastructure, les données ; la caractérisation des réseaux, ou une analyse des composantes, structures, usages et vulnérabilités des systèmes d’information étrangers » (p.8)
En 2014, deux lois ont été votées aux Etats-Unis, sur
le renseignement :
- L’Intelligence Authorization Act (IAA) FY 2014 (P.L. 113-126), votée en juillet 2014[3]
- L’IAA (FY2015), P.L. 113-293, votée en décembre 2014[4].
Du texte voté en juillet 2014, nous retiendrons le
Titre VI, sur les donneurs d’alerte et notamment la section 601, qui prévoit d’accorder
une protection aux donneurs d’alerte dans la communauté du renseignement
(question déjà prise en compte dans le Whistleblower Protection Act – ICWPA[5])
de 1998)[6].
Celle-ci prévoit qu’aucune sanction, forme de représailles ne peut être prise à
l’encontre d’un employé qui aura signalé, dans le respect du cadre
réglementaire, une information au DNI (Director of National Intelligence), ou à
l’inspecteur général de la communauté du renseignement (Inspector General of the Intelligence Community). Le texte énumère la
liste des personnes autorisées à recevoir les alertes. Pour autant, ces assurances
accordées aux lanceurs d’alertes empêcheront-elles que de nouveaux individus ne
volent des informations classifiées ?
Du texte voté en décembre 2014 nous retiendrons la
section 309, sur la conservation des données de citoyens américains, acquises
dans la cadre d’enquêtes menées auprès de personnes étrangères. Le texte
prévoit que les données des communications interceptées ne pourront pas être
conservées plus de 5 ans, sauf dans certains cas :
- si la communication constitue un acte d’espionnage, ou si elle est nécessaire pour comprendre ou évaluer le renseignement étranger ;
- si la communication est un élément de preuve de crime ;
- si la communication est chiffrée ;
- si on peut raisonnablement penser que l’information a un sens secret ;
- s’il y a de bonnes raisons d’estimer que toutes les parties de la communication sont non-américaines ;
- si la conservation est nécessaire à la protection contre des menaces imminentes
La section 312 de cette loi traite de la
coopération avec l’Ukraine en matière de cybersécurité et lutte contre la
cybercriminalité. Elle prévoit d’aider l’Ukraine à développer ses capacités de
lutte contre la cybercriminalité, y compris renseignement et justice, et de
rapprocher les procédures et outils américains et ukrainiens, notamment pour
faciliter l’extradition de cybercriminels ukrainiens vers les Etats-Unis
lorsque des citoyens américains en sont victimes.
La dernière section du texte, section 331, demande
la publication d’une étude afin d’envisager la formation à la cybersécurité de
vétérans et retraités des agences de renseignement américaines.
Une analyse de ces deux textes de loi est proposée
par Anne Daugherty Miles, dans un rapport publié par le Congrès en janvier 2015[7].
[1]
http://www.dni.gov/index.php/newsroom/reports-and-publications/204-reports-publications-2014/1114-dni-unveils-2014-national-intelligence-strategyDNI%202014
[2]
http://www.dni.gov/files/documents/2014_NIS_Publication.pdf
[3]
https://www.congress.gov/bill/113th-congress/senate-bill/1681/text
[4]
https://www.congress.gov/113/bills/hr4681/BILLS-113hr4681enr.pdf
[5]
https://www.law.cornell.edu/topn/intelligence_community_whistleblower_protection_act_of_1998
[6]
Ce texte définit la procédure que doivent suivre les employés de la DIA, NGA,
NRO et NSA pour rapporter des faits qu’ils jugent importants, au comité du
renseignement du Congrès. Cette loi a été complétée par la Presidential Policy
Directive 19 (PPD-19) de B. Obama en 2012.
[7] Anne Daugherty Miles,
Intelligence Authorization Legislation for FY2014 and FY2015 : Provisions,
Status, Intelligence Community Framework, Congressional Research Service,
January 14, 2015, http://fas.org/sgp/crs/intel/R43793.pdf