Suite au problème sérieux qu'a provoquer le piratage de Colonial Pipeline, et le désordre sur les 12 états de l'Est qui ont vu une ruée sur les pompes, Biden a signé un ordre qui n'est pas sans nuance. A croire que ce piratage serait presque opportun !
Aujourd'hui, le président Biden a signé un décret pour améliorer la cybersécurité du pays et protéger les réseaux du gouvernement fédéral. Les récents incidents de cybersécurité tels que SolarWinds, Microsoft Exchange et l'incident du pipeline Colonial nous rappellent de manière décevante que les entités des secteurs public et privé américains sont de plus en plus confrontées à des cyberactivités malveillantes sophistiquées de la part d'acteurs nationaux et de cybercriminels. Ces incidents partagent des points communs, notamment des défenses de cybersécurité insuffisantes qui rendent les entités des secteurs public et privé plus vulnérables aux incidents.
Ce décret apporte une contribution significative à la modernisation des défenses de cybersécurité en protégeant les réseaux fédéraux, en améliorant le partage d'informations entre le gouvernement américain et le secteur privé sur les questions de cyber-sécurité et en renforçant la capacité des États-Unis à réagir aux incidents lorsqu'ils se produisent. C'est la première des nombreuses mesures ambitieuses prises par l'Administration pour moderniser les cyberdéfenses nationales. Cependant, l'incident du pipeline Colonial nous rappelle que l'action fédérale à elle seule ne suffit pas. Une grande partie de notre infrastructure essentielle nationale est détenue et exploitée par le secteur privé, et ces entreprises du secteur privé prennent leurs propres décisions concernant les investissements dans la cybersécurité.
Plus précisément, le décret que le président signe aujourd'hui:
Supprimer les obstacles au partage d'informations sur les menaces entre le gouvernement et le secteur privé. Le décret garantit que les fournisseurs de services informatiques sont en mesure de partager des informations avec le gouvernement et les oblige à partager certaines informations sur les violations. Les fournisseurs informatiques sont souvent hésitants ou incapables de partager volontairement des informations sur un compromis. Parfois, cela peut être dû à des obligations contractuelles; dans d'autres cas, les fournisseurs peuvent tout simplement hésiter à partager des informations sur leurs propres failles de sécurité. La suppression de toutes les barrières contractuelles et l'obligation pour les fournisseurs de partager des informations sur les violations qui pourraient avoir un impact sur les réseaux gouvernementaux sont nécessaires pour permettre des défenses plus efficaces des ministères fédéraux et pour améliorer la cybersécurité de la nation dans son ensemble.
Moderniser et mettre en œuvre des normes de cybersécurité plus strictes au sein du gouvernement fédéral. Le décret aide le gouvernement fédéral à sécuriser les services cloud et une architecture sans confiance, et impose le déploiement de l'authentification multifactorielle et du chiffrement avec une période de temps spécifique. Des modèles de sécurité obsolètes et des données non chiffrées ont conduit à des compromis de systèmes dans les secteurs public et privé. Le gouvernement fédéral doit montrer la voie et accroître son adoption des meilleures pratiques de sécurité, notamment en employant un modèle de sécurité sans confiance, en accélérant le mouvement pour sécuriser les services cloud et en déployant systématiquement des outils de sécurité fondamentaux tels que l'authentification multifacteur et le chiffrement.
Améliorez la sécurité de la chaîne d'approvisionnement des logiciels. Le décret améliorera la sécurité des logiciels en établissant des normes de sécurité de base pour le développement des logiciels vendus au gouvernement, notamment en exigeant que les développeurs maintiennent une plus grande visibilité sur leurs logiciels et en rendant les données de sécurité accessibles au public. Il met en place un processus public-privé simultané pour développer des approches nouvelles et innovantes pour sécuriser le développement de logiciels et utilise la puissance des marchés publics fédéraux pour inciter le marché. Enfin, il crée un programme pilote pour créer une étiquette de type «Energy Star» afin que le gouvernement - et le grand public - puisse rapidement déterminer si le logiciel a été développé en toute sécurité. Trop de nos logiciels, y compris les logiciels critiques, sont livrés avec des vulnérabilités importantes que nos adversaires exploitent. Il s'agit d'un problème de longue date et bien connu, mais depuis trop longtemps, nous avons lancé la boîte sur la route. Nous devons utiliser le pouvoir d'achat du gouvernement fédéral pour amener le marché à intégrer la sécurité dans tous les logiciels à partir de zéro.
Mettre en place un comité d'examen de la sécurité de la cybersécurité. Le décret établit un comité d'examen de la sécurité de la cybersécurité, coprésidé par les responsables du gouvernement et du secteur privé, qui peut se réunir à la suite d'un incident cybernétique important pour analyser ce qui s'est passé et faire des recommandations concrètes pour améliorer la cybersécurité. Trop souvent, les organisations répètent les erreurs du passé et ne tirent pas les leçons des cyberincidents importants. En cas de problème, l’Administration et le secteur privé doivent se poser les questions difficiles et apporter les améliorations nécessaires. Cette carte est calquée sur le National Transportation Safety Board, qui est utilisé après des accidents d'avion et d'autres incidents.
Créer un manuel standard pour répondre aux cyberincidents. Le décret crée un manuel normalisé et un ensemble de définitions de la réponse aux cyberincidents par les ministères et organismes fédéraux. Les organisations ne peuvent pas attendre d'être compromises pour savoir comment réagir à une attaque. Des incidents récents ont montré qu'au sein du gouvernement, le niveau de maturité des plans d'intervention varie considérablement. Le manuel garantira que tous les organismes fédéraux atteignent un certain seuil et sont prêts à prendre des mesures uniformes pour identifier et atténuer une menace. Le manuel fournira également au secteur privé un modèle pour ses efforts de réponse.
Améliorer la détection des incidents de cybersécurité sur les réseaux du gouvernement fédéral. Le décret améliore la capacité de détecter les cyber-activités malveillantes sur les réseaux fédéraux en permettant un système de détection et de réponse des points finaux à l'échelle du gouvernement et en améliorant le partage d'informations au sein du gouvernement fédéral. Le déploiement lent et incohérent des outils et pratiques de cybersécurité fondamentaux laisse une organisation exposée à des adversaires. Le gouvernement fédéral devrait être le chef de file en matière de cybersécurité, et un déploiement solide de détection et de réponse des points finaux (EDR) à l'échelle du gouvernement, associé à un solide partage d'informations intra-gouvernementales, est essentiel.
Améliorer les capacités d'enquête et de correction. Le décret crée des exigences en matière de journaux d'événements de cybersécurité pour les ministères et organismes fédéraux. Une mauvaise journalisation empêche une organisation de détecter les intrusions, d'atténuer celles en cours et de déterminer l'étendue d'un incident après coup. Des pratiques de journalisation robustes et cohérentes résoudront une grande partie de ce problème.
Aucun commentaire:
Enregistrer un commentaire