Le Congrès accroît la pression avec de nouvelles factures visant la cybercriminalité

Version imprimable, PDF et e-mail

Le Congrès américain a pris plusieurs mesures législatives pour répondre aux cyberattaques ciblant les agences et départements fédéraux, les infrastructures critiques privées et d'autres entreprises aux États-Unis. Ces mesures concernent de nombreux aspects, du signalement obligatoire à la mise en place d'un fonds d'aide aux victimes. Ces projets de loi visent à dissuader les cybercriminels et à renforcer les mesures de protection mises en place par le gouvernement pour lutter contre les ransomwares et aux autres cyberattaques.

Ces efforts législatifs ne devraient surprendre personne. Depuis des années, les cyberattaques lancées contre les entreprises s'intensifient. Lorsque les gangs de ransomware se sont mis à cibler les infrastructures critiques et d'autres « gros gibiers », le gouvernement américain n'avait pas d'autre choix que de répondre avec force.

De nouvelles exigences en matière de rapports et de plus solides défenses

Les États-Unis ont identifié 16 secteurs d'infrastructures critiques, définis comme suit :

(…) les secteurs dont les actifs, les systèmes et les réseaux, qu'ils soient physiques ou virtuels, sont considérés comme si indispensables aux États-Unis que leur neutralisation ou destruction aurait un effet dévastateur sur la sécurité, la sécurité économique nationale, la santé ou la sûreté publique nationale, ou toute combinaison de celles-ci.

Parmi les projets de loi actuellement à l'étude, on retrouve le Cyber Incident Reporting for Critical Infrastructure Act (loi sur le signalement des cyberincidents dans les infrastructures critiques) de 2021. Cette loi exigerait la divulgation d'incidents de cybersécurité dans les 72 heures suivant leur découverte. Un nouveau bureau d'examen des cyberincidents serait ainsi créé pour recevoir et gérer ces divulgations. Ce nouveau bureau aurait plusieurs responsabilités liées à l'analyse et au signalement, et ferait partie de la Cybersecurity and Infrastructure Security Agency (CISA). Vous pouvez consulter l'audition du comité sur ce projet de loi ici.

Il existe également d'autres projets de loi portant sur la sécurité des systèmes de contrôle industriels (ICS). Ces projets exigeraient de la CISA qu'elle gère des capacités de défense des ICS en :

  • Dirigeant des initiatives visant à identifier et gérer les menaces de cybersécurité visant les systèmes de contrôle industriels
  • Gérant la détection des menaces et les capacités de réponse aux incidents, afin de faire face aux risques et incidents de cybersécurité
  • Fournissant aux parties prenantes une assistance technique en matière de cybersécurité
  • Collectant, coordonnant et fournissant des informations sur les vulnérabilités à la communauté des systèmes de contrôle industriels

Ce projet a été adopté par la Chambre des représentants et est en attente d'approbation au Sénat.

Le Sanction and Stop Ransomware Act (loi sur la sanction et l'arrêt des ransomwares) de 2021 irait encore plus loin en amenant le département d'État à désigner les États soupçonnés d'être liés aux ransomwares et à exiger du résident qu'il impose des sanctions et des pénalités à ces États. Les sanctions et pénalités seraient similaires à celles imposées aux États qui parrainent le terrorisme.

Ce que cela signifie pour les futures attaques

On ne peut pas prédire les effets de ces projets de loi sur la cybersécurité s'ils venaient à entrer en vigueur, mais nous pouvons émettre quelques suppositions :

  • L'augmentation du risque pourrait effrayer les plus petits groupes de ransomware, laissant la place aux auteurs de menaces les plus imposants et les plus sophistiqués. Cela pourrait entraîner une diminution de la présence du Ransomware-as-a-Service en tant que modèle d'entreprise.
  • Les auteurs de menaces prendront leur « retraite » après avoir gagné une quantité satisfaisante d'argent. C'est ce qu'ont fait les créateurs de GandCrab en 2019, bien qu'il existe des preuves montrant que certains des membres du groupe (et leur code) se sont associés à d'autres gangs.
  • Les gangs de ransomwares sophistiqués pourraient commencer à utiliser un modèle « pop-up », dans lequel ils lanceraient et arrêteraient leurs opérations avec une attaque ou un délai prédéterminé. Le Federal Bureau of Investigation (FBI) enquête actuellement sur plus de 100 groupes de ransomwares. Historiquement, plus de 1 000 groupes ont été identifiés. Ces chiffres vont certainement augmenter en raison de la multiplication des lois entrant en vigueur.

Les cybercriminels adorent les ransomwares, mais une augmentation des sanctions, des enquêtes coordonnées et des défenses renforcées bloquera certaines de ces attaques. Indépendamment des politiques fédérales ou étatiques, les entreprises et les particuliers doivent faire tout leur possible pour protéger leurs données et autres ressources. Même la meilleure des législations ne peut empêcher le vol de vos données, ni maintenir vos systèmes critiques en ligne pendant une attaque.

Remonter en haut de page
Tweeter
Partager
Partager