Netcrook Logo
👤 AUDITWOLF
🗓️ 16 Feb 2026   🌍 North America

Carrefour de la cybersécurité : les nouvelles règles de la CISA déclenchent un débat sur les obligations de signalement des piratages

Alors que la CISA élabore une règle historique sur la déclaration des incidents cyber, les secteurs d’infrastructures critiques contestent la portée, la charge et l’avenir de la défense nationale contre les cybermenaces.

Les lignes de front du cyberespace évoluent - et le gouvernement américain souhaite avoir une vision plus claire des batailles qui se déroulent dans l’ombre. Mais alors que la Cybersecurity and Infrastructure Security Agency (CISA) s’apprête à finaliser des règles attendues de longue date qui obligeraient les opérateurs d’infrastructures critiques à signaler les incidents cyber majeurs, un bras de fer s’engage. Les géants de l’industrie, les petits opérateurs et les législateurs interviennent tous, faisant monter les enjeux pour ce qui pourrait devenir la réglementation cybersécurité la plus importante d’une génération.

En Bref

  • La CISA finalise une règle exigeant que les entités d’infrastructures critiques signalent les incidents cyber significatifs sous 72 heures.
  • La règle découle du Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) de 2022.
  • Les groupes d’entreprises et les législateurs s’inquiètent de la portée des entreprises et des informations concernées.
  • La CISA organise sept réunions publiques en mars et avril pour recueillir des retours spécifiques à chaque secteur.
  • L’agence examine les retours sur le contenu des rapports, les entités concernées, les incidents liés au cloud et à l’open source, ainsi que les pouvoirs de citation à comparaître.

Le projet de règle CIRCIA, publié en avril 2024, accorderait aux opérateurs concernés seulement 72 heures pour notifier au gouvernement une cyberattaque « substantielle ». L’objectif : un partage plus rapide des renseignements pour aider le pays à répondre à des menaces numériques de plus en plus sophistiquées. Mais beaucoup dans le monde des affaires estiment que la réglementation jette un filet trop large, risquant de submerger les entreprises de paperasse et d’exposer des données sensibles, tout en passant potentiellement à côté de la véritable réduction des risques.

« La CISA comprend l’inquiétude des parties prenantes selon laquelle le CIRCIA doit renforcer la cybersécurité sans imposer de charges inutiles », a déclaré l’agence dans sa récente annonce. Pour répondre à la contestation croissante, la CISA lance une série de réunions publiques, chacune ciblant un secteur différent - de l’énergie et de l’eau à la santé, la défense et la finance. Ce qui est en jeu : la quantité d’informations que les entreprises devront déclarer, quelles entités seront considérées comme « critiques », et comment la CISA fera respecter la conformité - including si les fournisseurs cloud et les prestataires de services gérés devront signaler les incidents impliquant du code open source.

L’agence se demande également si ses listes actuelles d’entités concernées n’omettent pas des opérateurs essentiels, et comment traiter les entreprises réticentes - suggérant le recours possible à des citations à comparaître pour celles qui refuseraient de coopérer. Chaque réunion sera strictement encadrée, avec des interventions limitées à trois minutes et toutes les sessions transcrites pour le compte rendu officiel, signe de l’attention extrême portée à ce processus réglementaire.

Depuis l’adoption du CIRCIA par le Congrès en 2022, la CISA a examiné des centaines de commentaires publics, des dizaines de sessions d’écoute et une avalanche de retours venus de tout le spectre des infrastructures critiques. Pourtant, l’équilibre reste difficile à trouver : comment renforcer la sécurité nationale sans étouffer les secteurs mêmes que l’on cherche à protéger. L’agence n’exclut pas de rouvrir la période de consultation publique si les retours le justifient - mais pour l’instant, tous les regards sont tournés vers les prochaines réunions publiques.

À mesure que les cyberattaques gagnent en fréquence et en sophistication, la question n’est plus de savoir si les entreprises seront ciblées, mais quand. Reste à voir si la règle finale de la CISA donnera plus de pouvoir aux défenseurs - ou les submergera. Une chose est sûre : le prochain chapitre de la défense cyber américaine sera écrit non seulement par les décideurs, mais aussi par les voix qui s’élèveront lors de ces consultations cruciales.

WIKICROOK

  • CISA : La CISA est l’agence américaine qui protège les infrastructures critiques et les systèmes numériques contre les cybermenaces et autres risques de sécurité.
  • CIRCIA : Le CIRCIA est une loi américaine qui exige que les organisations d’infrastructures critiques signalent les incidents cyber majeurs et les paiements de rançon à la CISA dans des délais précis.
  • Infrastructure critique : L’infrastructure critique comprend les systèmes clés - comme l’électricité, l’eau et la santé - dont la défaillance perturberait gravement la société ou l’économie.
  • Open : « Open » signifie que le logiciel ou le code est accessible publiquement, permettant à quiconque d’y accéder, de le modifier ou de l’utiliser - including à des fins malveillantes.
  • Citation à comparaître : Une citation à comparaître est un ordre légal obligeant une personne ou une entreprise à fournir des informations ou des preuves, telles que des documents ou des témoignages, dans le cadre d’une enquête.
CISA cybersecurity regulation critical infrastructure
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news