La résolution continue prolongerait la CISA 2015 et la loi fédérale sur le renforcement de la cybersécurité, en rétablissant les garanties de responsabilité et les protections contre le partage des menaces.
Deux lois sur la cybersécurité qui sont devenues caduques pendant la fermeture du gouvernement se sont rapprochées d’un rétablissement lundi après que le Sénat a voté par 60 voix contre 40 en faveur d’une législation les prolongeant jusqu’en janvier 2026.
La résolution en cours rétablirait la loi de 2015 sur le partage d’informations sur la cybersécurité et la loi fédérale sur le renforcement de la cybersécurité, qui ont expiré le 1er octobre lorsque le Congrès n’a pas réussi à adopter un projet de loi de dépenses avant la date limite de l’exercice financier. La mesure a nécessité des votes de procédure supplémentaires au Sénat cette semaine avant d’être soumise à l’approbation de la Chambre, puis au bureau du président Trump.
Cette défaillance a privé les entreprises des protections juridiques qui encourageaient le partage volontaire d’indicateurs de cybermenace avec des agences fédérales et d’autres organisations.
Sans garanties de responsabilité, exemptions antitrust ou protections de la Freedom of Information Act, de nombreuses entreprises ont été confrontées à de nouvelles expositions juridiques et ont ralenti l’échange d’informations. Les experts en sécurité ont averti que cette interruption risquait de ralentir les flux de renseignements sur les menaces, à une époque où l’activité des États-nations et des ransomwares augmentait.
« Après un arrêt record, nous pouvons désormais voir la lumière au bout du tunnel », a déclaré le sénateur Kevin Cramer dans un communiqué à l’issue du vote procédural de dimanche.
Ce que le projet de loi rétablit
La résolution en cours a temporairement prolongé les deux lois sur la cybersécurité. L’article 141 du projet de loi prolonge la date d’expiration de la CISA 2015 jusqu’en janvier 2026, déclarant : « L’article 111(a) de la Cybersecurity Information Sharing Act de 2015 (6 USC 1510(a)) sera appliqué en remplaçant la date spécifiée dans l’article 106 de cette loi par le « 30 septembre 2025 ».
La législation a rétabli les garanties juridiques et procédurales qui permettent aux entreprises de partager des données sur les menaces avec le gouvernement, et elle renouvelle l’autorisation accordée à la CISA de fournir des services de sécurité réseau, y compris le système de détection d’intrusion EINSTEIN, aux agences civiles en vertu de la loi fédérale sur l’amélioration de la cybersécurité.
La prolongation à court terme prévoit cependant une nouvelle expiration dans deux mois, laissant ouverte la question de savoir si le Congrès poursuivra une réautorisation complète ou optera pour un autre palliatif.
Kevin Kirkwood, RSSI chez Exabeam, a déclaré que cette brève interruption offre l’occasion de reconsidérer le fonctionnement du cadre de partage des menaces. « À la base, la CISA visait à favoriser la collaboration entre le secteur privé et le gouvernement en encourageant le partage volontaire de renseignements sur les menaces, ce qui est absolument important dans le paysage actuel des menaces », a-t-il déclaré.
« Le problème ne vient pas du partage, mais de l’inévitable gonflement qui survient lorsque les agences fédérales étendent leur empreinte sous la bannière de la coordination de la cybersécurité », a ajouté Kirkwood. « C’est le moment de repenser à quoi devrait ressembler la version 2.0. Nous avons besoin d’un modèle plus simple et plus ciblé qui préserve le flux de renseignements mais résiste à l’attraction gravitationnelle d’une bureaucratie centralisée. »
Ce que la déchéance signifie pour les entreprises
L’expiration de la CISA en 2015 a supprimé les protections juridiques liées au partage d’informations sur les menaces, perturbant ainsi les échanges de renseignements en temps réel qui étaient devenus monnaie courante au cours de la dernière décennie. Sans ces protections statutaires, les organisations risquaient d’être tenues responsables de la surveillance des réseaux, du partage de mesures défensives et de la coordination des réponses avec leurs pairs et les agences fédérales.
La loi autorise explicitement les entités privées à prendre des mesures défensives contre les cyberattaques, à surveiller leurs propres réseaux et ceux de leurs clients avec leur consentement et à échanger des indicateurs pour renforcer la détection et la réponse. Il a également protégé les données partagées de la divulgation publique en vertu de la FOIA et a protégé les entreprises participantes des réclamations antitrust liées aux activités de défense conjointes.
Les entreprises qui partageaient auparavant des données sur les menaces avaient automatiquement besoin que des avocats examinent chaque échange, déterminant quelles lois pourraient être violées et si les accords existants couvraient le transfert d’informations.
L’expiration de la loi fédérale sur le renforcement de la cybersécurité a également mis fin au pouvoir statutaire de la CISA de gérer le programme EINSTEIN et d’autres services de sécurité des réseaux pour les agences civiles, ajoutant ainsi une pression opérationnelle sur les réseaux gouvernementaux.
Dispositions plus larges et impact sur la main-d’œuvre
Au-delà du rétablissement des lois sur la cybersécurité, la résolution continue comprenait des mesures visant à protéger les employés fédéraux touchés par la fermeture. Le projet de loi « protégera les travailleurs fédéraux contre les licenciements sans fondement, réintégrera ceux qui ont été licenciés injustement pendant la fermeture et garantira que les travailleurs fédéraux reçoivent des arriérés de salaire », a déclaré le sénateur Tim Kaine dans un communiqué, ajoutant que les dispositions étaient essentielles pour gagner son soutien.
Les effectifs de CISA ont diminué de près d’un tiers pendant la fermeture en raison de rachats, de démissions différées et de licenciements, passant d’environ 3 300 à environ 2 200 employés. Les divisions, notamment l’engagement des parties prenantes et la sécurité des infrastructures, ont été les plus durement touchées. Les nouvelles protections de la main-d’œuvre pourraient annuler certaines de ces pertes une fois que le projet de loi aura été adopté.
La résolution continue a prolongé les niveaux de financement actuels du gouvernement jusqu’en janvier 2026, selon le bureau de Cramer. Huit démocrates se sont joints aux républicains pour faire avancer le projet de loi.
Supposons que la résolution autorise les deux chambres comme prévu. Dans ce cas, le Congrès sera confronté à une nouvelle échéance de financement au début de l’année prochaine – et avec elle, un autre test de la capacité de Washington à équilibrer l’impasse politique avec la cyber-résilience nationale.
