Connect with us

Technologie

Biden signe un mandat de signalement des ransomwares dans la loi

Published

on


Le président des États-Unis, Joe Biden, a promulgué mardi 15 mars de nouveaux mandats de signalement des incidents de cybersécurité, obligeant les opérateurs d’infrastructures nationales critiques (CNI) à divulguer les cyberattaques au gouvernement.

Après avoir été adopté par la législature américaine le vendredi 11 mars, le Strengthening American Cybersecurity Act, longtemps débattu, qui trouve ses racines dans des propositions présentées pour la première fois par le sénateur démocrate Gary Peters et le sénateur républicain Rob Portman à la suite de l’incident du pipeline colonial de 2021.

À la base, il exigera que les propriétaires de CNI aux États-Unis signalent les cyberattaques substantielles à la Cybersecurity and Infrastructure Security Agency (CISA) dans les 72 heures, et tout paiement par ransomware effectué dans les 24 heures. Il permet à la CISA d’assigner à comparaître les organisations qui ne le font pas, avec la menace d’un renvoi au ministère américain de la Justice (DoJ) pour non-conformité.

En outre, la loi ordonne également à la CISA d’établir un nouveau programme pour avertir les organisations des nouvelles vulnérabilités utilisées par les opérateurs de ransomware, et un groupe de travail conjoint sur les ransomwares pour coordonner les efforts fédéraux et industriels visant à perturber leur travail.

« La CISA utilisera ces rapports de ses partenaires du secteur privé pour établir une compréhension commune de la façon dont nos adversaires ciblent les réseaux et les infrastructures essentielles des États-Unis. Ces informations combleront les lacunes critiques en matière d’informations et nous permettront de déployer rapidement des ressources et d’aider les victimes d’attaques, d’analyser les signalements entrants dans tous les secteurs pour repérer les tendances et de partager rapidement ces informations avec les défenseurs du réseau pour avertir d’autres victimes potentielles », a déclaré Jen Easterly, directrice de la CISA.

« L’ACSC s’est engagée à travailler en collaboration et de façon transparente avec ses partenaires de l’industrie et du gouvernement fédéral afin d’améliorer la sécurité et la résilience des réseaux et des infrastructures essentielles de notre pays. En clair, cette législation change la donne », a-t-elle déclaré.

Le sénateur Portman a déclaré qu’étant donné la guerre de la Russie contre l’Ukraine, la menace de cyberattaques potentielles contre des infrastructures critiques aux États-Unis était toujours élevée, ce qui rendait encore plus important pour les gouvernements d’être en mesure de coordonner les réponses appropriées.

« Maintenant que notre législation bipartite a été promulguée, elle donnera au directeur national de la cybersécurité, à la CISA et à d’autres organismes appropriés une large visibilité sur les cyberattaques qui se déroulent quotidiennement dans notre pays afin de permettre une réponse, une atténuation et un avertissement pangouvernementaux aux infrastructures critiques et à d’autres en cas d’attaques en cours et imminentes », a-t-il déclaré.

« La législation établit un équilibre entre l’obtention rapide d’informations et le fait de permettre aux victimes de réagir à une attaque sans imposer d’exigences contraignantes. »

Le sénateur Peters a ajouté: « Face aux menaces importantes à la cybersécurité de notre pays – y compris les cyberattaques potentielles de représailles de la Russie pour notre soutien en Ukraine – nous devons nous assurer que notre pays est prêt à défendre nos réseaux les plus essentiels.

« Cette nouvelle loi historique apportera des mises à jour majeures à notre politique de cybersécurité pour s’assurer que, pour la toute première fois, chaque propriétaire et exploitant d’infrastructures essentielles aux États-Unis signale les cyberattaques et les paiements de rançongiciels au gouvernement fédéral. »

L’adoption de la nouvelle législation intervient quelques jours après que le régulateur financier américain, la SEC, a déclaré qu’il examinait des propositions visant à rendre obligatoires les divulgations de cybersécurité par les sociétés ouvertes, une loi qui aurait probablement des répercussions plus profondes sur la communauté mondiale des affaires.

La SEC a déclaré qu’elle exigeait la divulgation d’informations importantes de la part des sociétés cotées depuis près d’un siècle, dans le but ultime de permettre aux investisseurs de porter des jugements judicieux sur l’endroit où placer leur argent. Ce régime a considérablement évolué depuis l’époque de la Grande Dépression, et doit maintenant le faire à nouveau pour refléter le risque toujours présent de cyberattaques.

Le président de la SEC, Gary Gensler, ancien banquier d’investissement chez Goldman Sachs, a déclaré que les propositions de la SEC exigeraient des divulgations obligatoires et continues sur la gouvernance, la gestion des risques et la stratégie en ce qui concerne les cyberrisques.

Les informations dont le champ d’application comprendrait potentiellement les rôles de gestion et de conseil d’administration et la surveillance des risques, si les organisations ont ou non mis en place des politiques et des procédures cybernétiques, et comment les cyberrisques et les incidents sont susceptibles d’avoir un impact sur les finances des organisations.

Il y aura probablement aussi des rapports d’incidents de cybersécurité importants et obligatoires. Gensler a déclaré: « C’est essentiel car de tels incidents de cybersécurité importants pourraient affecter la prise de décision des investisseurs.

« Lorsque les entreprises ont l’obligation de divulguer des informations importantes pour les investisseurs, ils doivent être complets et exacts. Leurs divulgations devraient être opportunes. La proposition d’aujourd’hui préciserait quand et quelles informations sur les incidents de cybersécurité les entreprises doivent divulguer dans un rapport actuel… Il faudrait également des mises à jour dans les rapports périodiques pour donner aux investisseurs des informations plus complètes sur les incidents de cybersécurité importants précédemment divulgués.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance