Le diable sera dans les détails de la directive NIST

L’administration Biden a clairement fait savoir que la cybersécurité est un problème dont elle souhaite s’emparer tout au long des quatre prochaines années. En effet, lors d’un sommet réunissant des dirigeants du secteur des technologies de l’information, elle a demandé au National Institute of Standards and Technology (NIST) de collaborer avec les entreprises du secteur et d’autres partenaires afin de définir de nouvelles directives visant à développer des technologies sécurisées et à les évaluer après leur déploiement. Cette demande a été faite en présence d’un large éventail de dirigeants du secteur des technologies de l’information, qui ont promis de répondre à l’appel lancé par le président Biden pour « renforcer la cybersécurité ».

En parallèle, l’administration Biden a annoncé l’élargissement officiel de la portée de son initiative de cybersécurité des systèmes de contrôle industriels en y incluant les gazoducs. Cette initiative était initialement destinée aux services publics de distribution d’électricité.

Parmi les engagements pour la cybersécurité pris par les entreprises lors de cette réunion, nous pouvons mentionner :

Amazon a déclaré qu’il mettrait gratuitement à la disposition du public sa formation en cybersécurité et s’est engagé à fournir des solutions d’authentification multifacteur à certains clients du cloud à partir d’octobre.

Microsoft a déclaré qu’il investirait 20 milliards de dollars sur cinq ans (soit quatre fois plus que le montant actuel) pour accroître ses efforts en matière de cybersécurité. L’entreprise s’est également engagée à mettre à disposition 150 millions de dollars sous la forme de prestations techniques pour aider les administrations fédérales, étatiques et locales à maintenir leurs systèmes de sécurité à jour.

Apple a annoncé qu’il allait mettre en place un nouveau programme visant à améliorer la sécurité en continu tout au long de la chaîne logistique technologique. L’entreprise s’engage à favoriser l’adoption massive de l’authentification multifacteur, la formation à la sécurité, la correction des vulnérabilités, la journalisation des événements et la réponse aux incidents.

IBM a déclaré qu’il entendait former plus de 150 000 personnes aux technologies de la cybersécurité sur une période de trois ans et qu’il s’associerait à des universités traditionnellement afro-américaines pour diversifier la main-d’œuvre dans ce secteur.

Google a annoncé qu’il consacrerait 10 milliards de dollars à la cybersécurité au cours des cinq prochaines années et qu’il aiderait 100 000 Américains à obtenir des certificats de compétences numériques reconnus dans le secteur.

L’organisation Girls Who Code a fait savoir qu’elle allait mettre en place un programme de microaccréditation pour les groupes traditionnellement exclus du secteur de la technologie.

Code.org a indiqué qu’il allait enseigner les concepts de la cybersécurité à plus de trois millions d’élèves dans 35 000 salles de classe sur une période de trois ans.

La direction du système universitaire du Texas a annoncé qu’elle allait accroître le nombre de programmes éducatifs de niveau débutant dans le domaine de la cybernétique par l’intermédiaire de la Cybersecurity Manufacturing Innovation Institute de l’université de San Antonio.

Le Whatcom Community College a fait savoir qu’il a été désigné comme le nouveau centre national de cybersécurité de la NSF chargé de l’enseignement technologique avancé. En plus de former les étudiants, il offrira un enseignement et une formation en cybersécurité au corps enseignant.

Aussi enthousiasmantes que soient ces actualités du point de vue de la cybersécurité, les professionnels du secteur feraient bien de se rappeler la phrase la plus terrifiante qui soit, qui a été prononcée par l’ancien président Ronald Reagan : « Je suis un représentant du gouvernement et je suis là pour vous aider. » Le problème de toute directive est qu’elle crée une norme minimale que les entreprises s’efforcent généralement de respecter, mais sans chercher à aller plus loin. Les efforts de lobbying visant à empêcher que les directives de cybersécurité ne soient « trop contraignantes » ont probablement déjà été lancés.

C’est pourquoi, du point de vue de la cybersécurité, les deux participants les plus importants au sommet organisé par le président Biden étaient des représentants de Resilience Cyber Insurance Solutions et Coalition. Les deux fournisseurs de cyberassurance ont clairement indiqué qu’ils exigeraient de leurs assurés qu’ils respectent les directives qui seront adoptées. Ceci donnera aux directives établies un certain poids, dans la mesure où les dirigeants d’entreprise seront conscients du niveau de sécurité requis pour obtenir une cyberassurance (conçue pour minimiser les dommages financiers causés, par exemple, par une attaque par ransomware). Naturellement, tout dépendra du contenu exact des directives qui seront publiées par le NIST.