Biden renforce la coopération en matière de sécurité public-privé
6 min read
Alors que les États-Unis sont sous le choc d’une autre cyberattaque très médiatisée – cette fois paralysant l’approvisionnement en carburant dans plusieurs États, entraînant des pénuries d’essence induites par des achats de panique – le président Joe Biden a signé un nouvel ordre exécutif renforcer les cyberdéfenses américaines, en mettant l’accent sur les partenariats public-privé et le partage d’informations.
La Maison Blanche a déclaré que de récents incidents cybernétiques tels que le SolarWinds et Serveur Microsoft Exchange attaques, et maintenant l’incident du rançongiciel Colonial Pipeline, avait été «un rappel qui donne à réfléchir» que les organisations des secteurs public et privé sont confrontées à des activités malveillantes sophistiquées, à la fois de la part de criminels à motivation financière et d’États-nations hostiles.
Il a déclaré que de tels incidents partageaient des points communs tels que des cyberdéfenses insuffisantes qui laissaient les organisations des secteurs public et privé vulnérables, et que le décret ferait un pas important pour changer cela, améliorer le partage d’informations intersectorielles sur les questions informatiques et renforcer la capacité des États-Unis pour mener une réponse appropriée aux incidents.
Un porte-parole de l’administration a déclaré: «Le décret d’aujourd’hui constitue un acompte pour moderniser nos cyberdéfenses et protéger de nombreux services sur lesquels nous comptons.
«Cela reflète un changement fondamental dans notre état d’esprit – de la réponse aux incidents à la prévention, de la sécurité à la sécurité – en fixant des objectifs agressifs mais réalisables pour faire du gouvernement fédéral un chef de file en matière de cybersécurité et améliorer la sécurité des logiciels et la réponse aux incidents.»
Décrit comme «la première de nombreuses mesures ambitieuses», l’administration Biden prendra des mesures pour moderniser les cyberdéfenses, le décret reconnaît qu’une grande partie des États-Unis infrastructure nationale critique (CNI) est une société privée et que les entreprises privées prennent leurs propres décisions en matière de cyber – comme l’a démontré l’incident du pipeline colonial.
À la lumière de cela, les États-Unis prévoient désormais de faire davantage pour éliminer les obstacles qui empêchent le gouvernement et le secteur privé de collaborer dans des domaines tels que le partage d’informations sur les menaces en veillant à ce que le secteur des services informatiques soit mieux à même de partager des informations avec le gouvernement – en fait, il le sera à l’avenir, dans certaines circonstances, légalement tenu de le faire.
La Maison Blanche a déclaré que les fournisseurs informatiques étaient trop souvent hésitants (ou incapables) de partager des informations sur les compromis, souvent pour des raisons contractuelles, mais aussi par hésitation à embarrasser eux-mêmes ou leurs clients. En adoptant des mesures pour changer cela, l’administration estime qu’elle sera en mesure de défendre plus efficacement les organes gouvernementaux et d’améliorer la cybersécurité au sens large des États-Unis dans leur ensemble.
«Nous encourageons les entreprises du secteur privé à suivre l’exemple du gouvernement fédéral et à prendre des mesures ambitieuses pour augmenter et aligner les investissements dans la cybersécurité dans le but de minimiser les incidents futurs», a déclaré la Maison Blanche.
Le décret exécutif – dont le texte intégral peut être lu ici – prévoit également la modernisation et la mise en œuvre de normes de cybersécurité plus strictes au sein du gouvernement américain, accélérant la transition vers des services cloud sécurisés et des architectures zéro confiance, parallèlement à l’authentification multifacteur (MFA) et au chiffrement obligatoires.
Il vise en outre à améliorer la sécurité de la chaîne d’approvisionnement en resserrant les normes de développement des logiciels vendus au gouvernement, obligeant les développeurs à maintenir la visibilité de leurs logiciels et à rendre les données de sécurité disponibles, et met en place un processus pour développer de nouvelles approches des pratiques de développement de la sécurité. Il établit également un programme de classement par étoiles pour les logiciels sécurisés, semblable aux normes d’hygiène alimentaire des restaurants.
Enfin, le décret prévoit la création d’un comité d’examen de la sécurité cybernétique, coprésidé par des responsables des secteurs public et privé pour la réponse aux incidents et les enquêtes, sur le modèle des États-Unis. Bureau national de la sécurité des transports qui sonde les accidents d’avion; crée un manuel de réponse aux incidents normalisé; établit un système de détection et de réponse aux points finaux (EDR) à l’échelle du gouvernement; et rend obligatoire la journalisation améliorée des événements de sécurité.
La réaction au décret de la communauté de la cybersécurité a été positive jusqu’à présent, de nombreux experts étant enthousiasmés par le fait que le gouvernement américain prenne le problème si au sérieux sous la surveillance de Biden, et d’autres se tournent vers Twitter pour partager leurs listes de cyberachats.
Sécurité Accenture Kelly Bissell, directrice générale principale, a déclaré: «Nous félicitons le président pour avoir publié la directive de politique de cybersécurité la plus importante que nous ayons vue. Aujourd’hui, avec ce décret, nous nous engageons sur une nouvelle voie – celle où les gouvernements et les entreprises peuvent prendre des décisions plus rapides et plus éclairées concernant les menaces émergentes, devenir plus cohérents, acheter des produits plus sécurisés – et être plus cyber-résilients.
«Demain, le travail acharné commence. Nous nous engageons à rassembler nos milliers de clients d’infrastructures critiques pour façonner les détails afin de garantir que la vision d’une Amérique plus sûre devienne une réalité. »
Défendable Le PDG Amit Yoran a ajouté: «Colonial Pipeline et SolarWinds sont un cyber-calcul de deux décennies qui n’a pas encore atteint son crescendo. La communauté a averti les gouvernements, les organisations et les consommateurs de l’augmentation du niveau d’exposition ad nauseam. Les appels au réveil continueront de s’intensifier jusqu’à ce que ces problèmes soient résolus à égalité avec leur impact sur notre société.
«La question qui préoccupe tout le monde est de savoir si l’OE va arrêter la prochaine attaque SolarWinds ou Colonial Pipeline. Ne vous y trompez pas – aucune politique, initiative gouvernementale ou technologie ne peut faire cela. Mais c’est un bon début. »
Andrew Rubin, Illumio co-fondateur et PDG, mentionné: “La cyber-complaisance sévit dans le système fédéral depuis des décennies, comme en témoigne récemment la brèche catastrophique impliquant SolarWinds. Ce nouveau décret reconnaît que nous devons fondamentalement changer notre façon de penser la cyber-résilience.
“À l’échelle mondiale, nous avons dépensé 173 milliards de dollars en cybersécurité l’année dernière, mais au cours de la seule année écoulée, nous avons vu plus de violations catastrophiques qu’à tout autre moment de l’histoire. Malgré l’échec de notre stratégie et des résultats terribles, les États-Unis ont continué d’adopter la même approche en matière de cybersécurité fédérale que nous l’avons fait il y a 20 ans.
«Mais aujourd’hui, l’administration Biden a changé cela en déployant un décret exécutif de grande envergure reconnaissant enfin les échecs d’un modèle fédéral de cybersécurité obsolète et mettant à nu la première itération d’une nouvelle conception de sécurité fondée sur la confiance zéro», a déclaré Rubin.
«La cyber-complaisance n’est pas seulement un problème américain, ou un problème fédéral, ou un problème politique – c’est un problème mondial. C’est pourquoi j’accueille ce décret à bras ouverts. C’est un appel à l’action pour le monde dont nous avons besoin pour changer la façon dont nous nous protégeons. Et avec ce nouveau décret – ce nouveau modèle de confiance zéro – nous sommes sur la voie d’un avenir plus sûr. »
