Biden renforce la coopération public-privé en matière de sécurité

Alors que les États-Unis sont sous le choc d’une autre cyberattaque très médiatisée – cette fois paralysante de l’approvisionnement en carburant dans plusieurs États, ce qui a entraîné des pénuries d’essence provoquées par l’achat de panique – le président Joe Biden a signé un nouveau décret pour durcir les cyberdéfenses américaines, en mettant l’accent sur les partenariats public-privé et l’échange d’informations.

La Maison Blanche a déclaré que les récents cyber-incidents tels que les attaques SolarWinds et Microsoft Exchange Server, et maintenant l’incident colonial pipeline ransomware, avait été « un rappel désolant » que les organisations des secteurs public et privé sont confrontés à des activités malveillantes sophistiquées, à la fois de criminels financièrement motivés et hostiles états-nations.

Elle a déclaré que de tels incidents partageaient des points communs tels que des cyberdéfenses insuffisantes qui rendaient vulnérables les organisations des secteurs public et privé, et que le Décret exécutif ferait un pas important vers le changement de cela, l’amélioration de l’échange d’informations interse sectorielles sur les questions cybernétiques et le renforcement de la capacité des États-Unis à mener des mesures d’intervention appropriées en cas d’incident.

Un porte-parole de l’administration a déclaré: « Le décret d’aujourd’hui fait un acompte pour moderniser nos cyberdéfenses et protéger de nombreux services sur lesquels nous comptons.

« Cela reflète un changement fondamental dans notre état d’esprit – de la réponse aux incidents à la prévention, de la question de la sécurité à la sécurité – en fixant des objectifs agressifs mais réalisables pour faire du gouvernement fédéral un chef de file en matière de cybersécurité et améliorer la sécurité des logiciels et la réponse aux incidents. »

Décrit comme « la première des nombreuses mesures ambitieuses » de l’administration Biden prendra des mesures pour moderniser les cyberdéfenses, le Décret exécutif reconnaît qu’une grande partie de l’infrastructure nationale essentielle des États-Unis (CNI) se tient en privé, et que les entreprises privées prennent leurs propres décisions sur cyber – comme l’incident colonial pipeline a démontré.

À la lumière de cela, les États-Unis prévoient maintenant d’en faire plus pour éliminer les obstacles qui empêchent le gouvernement et le secteur privé de collaborer dans des domaines tels que l’échange d’informations sur les menaces en veillant à ce que le secteur des services informatiques soit mieux en mesure de partager l’information avec le gouvernement – en fait, il sera à l’avenir, dans certaines circonstances, légalement tenu de le faire.

La Maison Blanche a déclaré que les fournisseurs informatiques hésitaient trop souvent (ou ne pouvaient) pas partager d’informations sur les compromis, souvent pour des raisons contractuelles, mais aussi par hésitation à se mettre dans l’embarras ou à embarrasser leurs clients. En adoptant des mesures pour changer cela, l’administration estime qu’elle sera en mesure de défendre plus efficacement les organismes gouvernementaux et d’améliorer la cybersécurité plus large des États-Unis dans son ensemble.

« Nous encourageons les entreprises du secteur privé à suivre l’exemple du gouvernement fédéral et à prendre des mesures ambitieuses pour accroître et aligner les investissements en cybersécurité dans le but de minimiser les incidents futurs », a déclaré la Maison Blanche.

Le décret exécutif – dont le texte intégral peut être lu ici – prévoit également la modernisation et la mise en œuvre de normes de cybersécurité plus strictes au sein du gouvernement américain, accélérant les mouvements vers des services cloud sécurisés et des architectures à confiance zéro, ainsi que l’authentification multifactorielle obligatoire (AMF) et le chiffrement.

Il vise en outre à améliorer la sécurité de la chaîne d’approvisionnement en resserrant les normes de développement de logiciels vendus au gouvernement, en exigeant des développeurs qu’ils maintiennent leur visibilité sur leurs logiciels et rendent les données de sécurité disponibles, et met en place un processus pour développer de nouvelles approches de la pratique du développement de la sécurité. Il établit également un programme de notation des étoiles pour les logiciels sécurisés, semblable aux normes d’hygiène alimentaire des restaurants.

Enfin, le décret prévoit la création d’un Bureau d’examen de la sécurité cybersécurité, coprésidé par les responsables des secteurs public et privé pour l’intervention et l’enquête en cas d’incident, sur le modèle du National Transportation Safety Board des États-Unis qui sonde les écrasements d’avion; crée un livre de jeu standardisé sur les réponses aux incidents; établit un système de détection et d’intervention des points de terminaison à l’échelle du gouvernement; et exige une meilleure enregistrement des événements de sécurité.

La réaction de la communauté de la cybersécurité au décret exécutif a été positive jusqu’à présent, de nombreux experts s’enthousiasmeant que le gouvernement américain prend la question si au sérieux sous la surveillance de Biden, et d’autres prenant à Twitter pour partager leurs listes de cyber-achats.

Kelly Bissell, directrice générale principale d’Accenture Security, a déclaré : « Nous félicitons le président d’avoir publié la directive la plus importante sur la politique de cybersécurité que nous avons vue. Aujourd’hui, avec ce décret, nous commençons sur une nouvelle voie – celle où les gouvernements et les entreprises peuvent prendre des décisions plus rapides et plus éclairées autour des menaces émergentes, devenir plus cohérente, acheter des produits plus sûrs – et être plus cyberrésa résilient.

« Demain, le dur labeur commence. Nous nous engageons à réunir nos milliers de clients des infrastructures essentielles pour façonner les détails afin de faire en sorte que la vision d’une Amérique plus sûre devienne une réalité.

Amit Yoran, PDG de Tenable, a ajouté : « Colonial Pipeline et SolarWinds sont un cyber-calcul de deux décennies qui n’a pas encore atteint son crescendo. La communauté a mis en garde les gouvernements, les organisations et les consommateurs contre le niveau croissant d’exposition ad nauseam. Les appels de réveil continueront de se renforcer jusqu’à ce que ces questions soient traitées sur un pied d’égalité avec la façon dont elles peuvent avoir un impact sur notre société.

« La question qui se pose à tous est de savoir si l’OEO arrêtera la prochaine attaque de SolarWinds ou de Colonial Pipeline. Ne vous y trompez pas – aucune politique, initiative gouvernementale ou technologie ne peut le faire. Mais c’est un bon début.

Andrew Rubin, cofondateur et PDG d’Illumio, a déclaré: »La cyberinsatisfaction sévit dans le système fédéral depuis des décennies, comme en témoigne récemment la violation catastrophique impliquant SolarWinds. Ce nouveau décret reconnaît que nous devons fondamentalement changer notre façon de penser la cyberrésiliation.

« À l’échelle mondiale, nous avons dépensé 173 milliards de dollars pour la cybersécurité l’an dernier, mais au cours de la dernière année seulement, nous avons constaté des violations plus catastrophiques qu’à n’importe quel autre moment de l’histoire. Malgré notre stratégie défaillante et nos résultats terribles, les États-Unis ont continué d’avoir la même approche en matière de cybersécurité fédérale qu’il y a 20 ans.

« Mais aujourd’hui, l’administration Biden a changé cela en déployant un décret général qui reconnaît enfin les lacunes d’un modèle fédéral dépassé de cybersécurité, et en mettant à nu la première itération d’une nouvelle conception de sécurité fondée sur la confiance zéro », a déclaré Rubin.

« La cyberinsatisfaction n’est pas seulement un problème américain, un problème fédéral ou un problème politique – c’est un problème mondial. C’est pourquoi je salue ce décret à bras ouverts. C’est un appel à l’action au monde que nous devons changer notre façon de nous protéger. Et avec ce nouveau décret – ce nouveau plan zéro confiance – nous sommes sur la voie d’un avenir plus sûr.