Neuberger a souligné travail déjà effectué par la Transportation Security Administration pour sécuriser les pipelines et les chemins de fer contre les attaques, et a déclaré que d’autres secteurs où des réglementations en matière de cybersécurité seront mises en place seront annoncés prochainement.
Le plan – élaboré par le Bureau du directeur national du cyberespace de la Maison Blanche – est la première nouvelle cyberstratégie en cinq ans et sert de feuille de route pour définir les objectifs de l’administration pour sécuriser la nation dans le cyberespace. Un haut responsable de l’administration a déclaré que la Maison Blanche travaillait sur un “plan de mise en œuvre” pour mettre en œuvre les objectifs définis par la stratégie. Le plan sera publié dans les prochains mois. La Maison Blanche a fourni le briefing aux journalistes à la condition que l’anonymat soit accordé au responsable.
Ces dernières années ont été difficiles pour ceux qui tentent de protéger les réseaux américains contre les pirates. En mai 2021, des pirates liés à la Russie a lancé une attaque de rançongiciel contre Colonial Pipeline qui a forcé l’entreprise à fermer temporairement le flux de gaz vers la côte Est pendant une semaine. Des grèves similaires frappent lignes d’approvisionnement alimentaire. Et l’invasion russe de l’Ukraine l’année dernière a entraîné des cybermenaces majeures contre le réseau électrique américain et d’autres secteurs d’infrastructure critiques contre les pirates informatiques russes.
La stratégie décrit une vision pour le gouvernement fédéral d’utiliser les pouvoirs existants pour protéger les secteurs critiques contre les cyberattaques. Là où il y a des «lacunes» dans les autorités compétentes, indique la stratégie, l’administration travaillera avec le Congrès pour créer de nouveaux outils de réglementation dans les secteurs clés. La stratégie indique également que le gouvernement devra peut-être fournir des ressources aux groupes d’infrastructures essentielles qui n’ont peut-être pas les fonds nécessaires pour mettre en œuvre les nouvelles exigences.
La stratégie vise à “rééquilibrer la responsabilité du cyber-risque entre ceux qui sont le plus capables de le supporter”, a déclaré aux journalistes le directeur national par intérim du cyber-risque, Kemba Eneas Walden. “Les acteurs les plus importants, les plus capables et les mieux placés de notre écosystème numérique peuvent et doivent assumer une plus grande part du fardeau de la gestion des cyber-risques et de notre sécurité à tous.”
L’industrie s’oppose depuis longtemps à une réglementation accrue en matière de cybersécurité, et c’est quelque chose qui Le Congrès a hésité à passer à autre chose. La Maison Blanche a fait venir des représentants de tous les secteurs pour examiner la stratégie telle qu’elle était en cours d’élaboration l’année dernière, et le haut responsable de l’administration a souligné que la nouvelle réglementation ne serait pas complexe.
“La barre que nous fixons n’est pas une barre haute, nous espérons vraiment que les propriétaires et les exploitants feront les bases”, a déclaré le responsable.
Un certain nombre de représentants de l’industrie ont refusé de commenter avant la publication officielle du rapport.
Certains ont affirmé leur engagement en faveur de la sécurité sans aborder le plan visant à réglementer plus fortement les secteurs critiques à risque de piratage.
“Les fabricants de logiciels d’entreprise prennent au sérieux leurs responsabilités envers les clients et le public, et travaillent en permanence pour faire évoluer la sécurité de leurs produits afin de faire face aux nouvelles menaces”, a déclaré Victoria Espinel, présidente et PDG du groupe commercial de logiciels BSA, la Software Alliance, a déclaré dans une déclaration publiée en même temps que la stratégie a été dévoilée.
La stratégie indique également clairement que les États-Unis prévoient d’être agressifs contre les adversaires étrangers qui tentent de pirater les réseaux américains.
Les États-Unis “utiliseront tous les instruments du pouvoir national pour perturber et démanteler les acteurs menaçants dont les actions menacent nos intérêts”, indique la stratégie. Cela inclura la mise à jour par le ministère de la Défense de sa cyberstratégie pour mieux intégrer les opérations dans le cyberespace dans les mesures défensives globales contre les nations adverses, et l’intensification des efforts pour perturber les groupes de piratage qui utilisent des rançongiciels pour fermer les réseaux et exiger des paiements pour réactiver les services. Une grande partie de cela consiste à déclarer les ransomwares comme une menace pour la sécurité nationale, et pas seulement comme une préoccupation criminelle.
La stratégie décrit également un plan visant à accroître la coordination au sein du gouvernement fédéral afin que les organismes puissent réagir rapidement à une cyberattaque majeure. Selon le document, l’Agence de la cybersécurité et de la sécurité des infrastructures mettra à jour le plan national de réponse aux incidents cybernétiques afin d’améliorer la coordination entre toutes les agences impliquées dans les problèmes de cybersécurité, telles que la TSA ou le ministère de l’Énergie.
Sur le plan international, la stratégie appelle l’administration Biden à “développer des mécanismes” pour aider à identifier quand et comment répondre aux cyberattaques contre d’autres pays, comme les attaques généralisées contre l’Albanie l’année dernière qui étaient liées à l’Iran qui les États-Unis et d’autres pays ont condamné.
Un certain nombre de républicains et de démocrates qui ont participé aux efforts du gouvernement américain en matière de cybersécurité ont salué l’approche globale.
Brian Harrell, ancien secrétaire adjoint à la protection des infrastructures au Département de la sécurité intérieure sous l’administration Trump, a déclaré que les nouvelles réglementations permettront de s’assurer que les produits sont conçus avec plus de protections dès le départ.
“L’intégration de la sécurité dans le produit dès le début, plutôt qu’un ajout après coup, est une approche plus sûre et plus soucieuse des coûts”, a déclaré Harrell. “Bien sûr, il n’est pas possible d’éliminer tous les défauts, mais à l’heure actuelle, il y a peu d’incitations – au-delà de la réputation générale du marché – à investir dans une réduction spectaculaire des cyber-vulnérabilités.”
John Costello, qui a récemment quitté le poste de chef de cabinet du Bureau du directeur national de la cybersécurité, a déclaré que le nouvel accent mis sur la réglementation reflète une reconnaissance au sein du gouvernement qu’il y a eu “un changement massif dans le [technology] écosystème » alors que le pays est devenu plus dépendant des fournisseurs de services numériques.
Cependant, “la réglementation, la législation et la compréhension de ce risque et de cette opportunité n’ont pas suivi le rythme de ces changements”, a-t-il déclaré. La stratégie « aligne enfin la position du gouvernement américain sur ce que les analystes et les responsables des politiques publiques réclament depuis des années, c’est-à-dire que tout cela est formidable, mais cela ne fonctionne pas ».
