Getty Images
L’administration Biden a fait pression jeudi pour que de nouvelles réglementations et responsabilités obligatoires soient imposées aux fabricants de logiciels et aux fournisseurs de services dans le but de déplacer le fardeau de la défense du cyberespace américain des petites organisations et des particuliers.
“Les acteurs les plus capables et les mieux placés dans le cyberespace doivent être de meilleurs intendants de l’écosystème numérique”, ont écrit les responsables de l’administration dans un document très attendu documentant une stratégie nationale de cybersécurité mise à jour. “Aujourd’hui, les utilisateurs finaux portent un fardeau trop lourd pour atténuer les cyber-risques. Les particuliers, les petites entreprises, les gouvernements étatiques et locaux et les opérateurs d’infrastructure ont des ressources limitées et des priorités concurrentes, mais les choix de ces acteurs peuvent avoir un impact significatif sur notre cybersécurité nationale. »
Augmentation des réglementations et des responsabilités
Le document de 39 pages cite les récentes attaques de ransomware qui ont perturbé les hôpitaux, les écoles, les services gouvernementaux, les opérations de pipeline et d’autres infrastructures critiques et services essentiels. L’une des attaques de ce type les plus visibles s’est produite en 2021 avec une attaque de ransomware contre le Colonial Pipeline, qui livre de l’essence et du carburéacteur à une grande partie du sud-est des États-Unis. L’attaque a fermé le vaste pipeline pendant plusieurs jours, provoquant des pénuries de carburant dans certains États.
À la suite de cette attaque, l’administration a imposé de nouvelles réglementations sur les pipelines énergétiques. Le document de stratégie de jeudi a signalé que des cadres similaires arriveront probablement dans d’autres industries.
“Notre environnement stratégique nécessite des cadres réglementaires modernes et agiles pour la cybersécurité, adaptés au profil de risque de chaque secteur, harmonisés pour réduire les doubles emplois, complémentaires à la collaboration public-privé et conscients du coût de mise en œuvre”, indique le document. “Les réglementations nouvelles et mises à jour en matière de cybersécurité doivent être calibrées pour répondre aux besoins de sécurité nationale et de sécurité publique, en plus de la sécurité et de la sûreté des individus, des entités réglementées et de leurs employés, clients, opérations et données.”
Publicité
Un autre objectif clé de la stratégie est de favoriser les investissements à long terme en « trouvant un équilibre prudent entre nous défendre contre les menaces urgentes aujourd’hui et simultanément planifier stratégiquement et investir dans un avenir résilient.
L’une des initiatives susceptibles d’être parmi les plus controversées pour l’industrie technologique est la volonté de tenir les entreprises responsables des vulnérabilités de leurs logiciels ou services. Dans les cadres juridiques existants, ces entreprises sont souvent confrontées à peu ou pas de conséquences juridiques lorsque leurs produits ou services sont exploités, même lorsque les vulnérabilités résultent de configurations par défaut non sécurisées ou de faiblesses connues.
“Nous devons commencer à transférer la responsabilité sur les entités qui ne prennent pas de précautions raisonnables pour sécuriser leurs logiciels tout en reconnaissant que même les programmes de sécurité logicielle les plus avancés ne peuvent pas empêcher toutes les vulnérabilités”, indique le document. “Les entreprises qui fabriquent des logiciels doivent avoir la liberté d’innover, mais elles doivent également être tenues responsables lorsqu’elles ne respectent pas le devoir de diligence qu’elles doivent aux consommateurs, aux entreprises ou aux fournisseurs d’infrastructures critiques.”
Cinq piliers
Le document énumère cinq « piliers » de ces objectifs. Ils sont:
1. Défendre les infrastructures critiques. Outre l’élargissement de la réglementation sur les secteurs critiques, le plan appelle à permettre la collaboration public-privé pour défendre les infrastructures critiques et la sécurité publique et défendre et moderniser les réseaux fédéraux et les interventions fédérales en cas d’incident.
2. Interrompre et démanteler les acteurs de la menace pour atténuer leur menace à la sécurité nationale et à la sécurité publique. Les moyens d’y parvenir comprennent l’utilisation de « tous les outils du pouvoir national » pour contrecarrer les acteurs de la menace, l’engagement du secteur privé à faire de même et la lutte contre la menace des rançongiciels grâce à une approche fédérale globale coordonnée avec des partenaires internationaux.
3. Façonner les forces du marché pour renforcer la sécurité et la résilience. Cela implique de responsabiliser ceux qui, au sein de l’écosystème numérique, sont les mieux placés pour réduire les risques. Ce pilier met l’accent sur la promotion de la confidentialité et de la sécurité des données privées, le transfert de responsabilité sur les logiciels et les services et la garantie que les programmes de subventions fédéraux favorisent les investissements dans de nouvelles infrastructures plus sécurisées.
Publicité
4. Investir dans un avenir résilient par « des investissements stratégiques et une action coordonnée et collaborative ». Il s’agirait notamment de réduire les vulnérabilités dans l’ensemble de l’écosystème numérique, de le rendre plus résistant à la répression transnationale, de donner la priorité à la recherche et au développement en matière de cybersécurité et de créer une main-d’œuvre nationale plus robuste en matière de cybersécurité.
5. Forger des partenariats internationaux pour atteindre des objectifs communs. Certains des moyens d’atteindre cet objectif consistent à mettre en œuvre ou à tirer parti de coalitions et de partenariats internationaux pour contrer les menaces, à accroître les capacités de défense en matière de cybersécurité des partenaires et à travailler avec des alliés.
La dernière fois qu’un président a présenté un plan national de cybersécurité, c’était en 2018 sous le président Donald Trump. Au cours des cinq années qui ont suivi, les États-Unis ont connu une vague de cyberattaques dommageables. Outre le pipeline colonial, ils incluent l’attaque de la chaîne d’approvisionnement Solar Winds qui a été révélée en décembre 2020. En compromettant le système de distribution de logiciels de SolarWinds, les acteurs de la menace travaillant pour le compte du Kremlin ont diffusé des logiciels malveillants à environ 18 000 clients qui ont utilisé le produit de gestion de réseau. Les pirates ont ensuite envoyé des charges utiles de suivi à environ 10 agences fédérales américaines et à environ 100 organisations privées.
Les attaques de ransomwares sont maintenant plus fréquentes qu’il y a cinq ans. Dans la stratégie, les responsables de l’administration ont écrit :
Compte tenu de l’impact des rançongiciels sur les principaux services d’infrastructure critiques, les États-Unis emploieront tous les éléments du pouvoir national pour contrer la menace selon quatre axes : (1) tirer parti de la coopération internationale pour perturber l’écosystème des rançongiciels et isoler les pays qui offrent des refuges sûrs aux criminels ; (2) enquêter sur les crimes liés aux ransomwares et utiliser les forces de l’ordre et d’autres autorités pour perturber l’infrastructure et les acteurs des ransomwares ; (3) renforcer la résilience des infrastructures critiques pour résister aux attaques de ransomwares ; et (4) lutter contre l’abus de monnaie virtuelle pour blanchir les paiements de rançon.
Le document reclassifie également les rançongiciels comme une menace pour la sécurité nationale, alors qu’auparavant, ils étaient considérés comme une menace criminelle.
Le plan sera coordonné par le Conseil de sécurité nationale, le Bureau de la gestion et du budget de la Maison Blanche et le Bureau du directeur national du cyber. Ces organes fournissent des rapports annuels au président et au Congrès américain pour mettre à jour la mise en œuvre et l’efficacité du plan. Ces organismes donneront également des orientations chaque année aux agences fédérales. La Maison Blanche a fourni cette fiche d’information résumant le plan.