Washington, 18 septembre 2025 — Plusieurs associations professionnelles et groupes sectoriels américains tirent la sonnette d’alarme : la Cybersecurity Information Sharing Act (CISA) de 2015, une loi qui encourage et protège le partage volontaire d’informations de cybersécurité entre entreprises et gouvernement, est prévue pour expirer le 29 septembre 2025 si elle n’est pas renouvelée. Cette expiration suscite des inquiétudes quant à l’impact sur la coopération en cybersécurité aux États-Unis. (reuters.com)
table des matières
ToggleLe rôle de la loi CISA dans l’écosystème cyber
La CISA de 2015 offre un cadre légal qui incite les organisations privées à partager des données sur les menaces (indicateurs compromission, tactiques d’attaque, etc.) avec le gouvernement fédéral, en leur assurant un certain degré d’immunité contre des poursuites civiles pour divulgation d’information de sécurité. Cette protection juridique a été un pilier dans l’effort collaboratif entre secteur privé et autorités fédérales pour prévenir ou atténuer les cyberattaques majeures.
Son expiration créerait un vide juridique que craignent les industries concernées, notamment dans les secteurs critiques (technologie, infrastructure, finance, santé).
Crainte des acteurs industriels et appels au Congrès
Plusieurs groupes de l’industrie de la technologie et de la cybersécurité ont envoyé des lettres aux législateurs, demandant une prolongation ou une réforme de la loi. Ils soulignent que sans cadre légal clair, les entreprises seront moins enclines à partager des renseignements sensibles, par peur de litiges ou d’expositions non protégées.
Un point central : la protection contre les poursuites (liability shield) offerte par la loi est perçue comme essentielle pour encourager l’ouverture de partage d’informations entre entités privées.
Certains proposent que la nouvelle version de la loi soit renforcée pour couvrir de nouveaux types de menaces cyber (intelligence artificielle, menaces émergentes) et qu’elle soit alignée avec les normes internationales.
Risques associés à l’expiration
Si la loi CISA n’est pas renouvelée ou remplacée :
Baisse du partage d’informations
Les entreprises pourraient refuser de partager des renseignements de sécurité (journaux, menaces, signatures) avec les agences fédérales, freinant la détection collective des attaques.Franchise juridique réduite
Les entreprises pourraient devenir vulnérables à des recours judiciaires pour divulgation d’informations, ce qui dissuadera l’ouverture d’alerte.Affaiblissement de la posture nationale de cybersécurité
Sans collaboration efficace public-privé, la capacité de réponse nationale aux incidents majeurs pourrait se détériorer.Fragmentation de la norme
Certains États pourraient adopter des lois locales pour combler le vide, créant une mosaïque réglementaire complexe pour les entreprises nationales.
Scénarios possibles pour l’avenir
Renouvellement à minima : le Congrès pourrait réautoriser la loi sous sa forme actuelle, prolongeant les dispositions jusqu’à une date future.
Réforme législative : une version modernisée pourrait élargir les protections et obligations pour refléter les menaces actuelles (IA, supply chain, OT/IoT).
Abandon progressif : si aucun consensus n’est trouvé, la loi pourrait expirer, poussant les entreprises à adopter des approches techniques privées (chiffrement, isolation) plutôt que partage.
Implications pour la France / le Maroc / les pays observateurs
Même si cette loi est américaine, ses effets se répercutent à l’international :
Les entreprises françaises ou marocaines ayant des filiales ou partenariats américains pourraient être affectées dans leur capacité à collaborer sur la sécurité.
Des entreprises de cybersécurité opérant globalement devront surveiller ces évolutions et adapter leur politique de divulgation / partage d’informations selon les juridictions.
La situation souligne l’importance pour d’autres pays de disposer de cadres nationaux solides de partage d’information en cybersécurité pour garantir la collaboration locale.
Conclusion
L’expiration potentielle de la CISA 2015 représente un moment critique pour la cybersécurité américaine : sans une prolongation ou une refonte, le secteur privé pourrait reculer sur le chemin de la collaboration, affaiblissant la posture nationale.
Les acteurs industriels appellent à une action rapide du Congrès pour éviter un vide juridique pouvant nuire à la lutte commune contre les menaces cyber.