Le DHS crée un comité d'examen de la cybersécurité

Chaque fois qu'un accident majeur se produit aux États-Unis, le Conseil national de la sécurité des transports (NTSB) envoie une équipe non seulement pour enquêter sur ce qui s'est passé mais également pour mieux comprendre les circonstances du drame. Naturellement, l'objectif est de tirer des leçons des erreurs passées pour éviter que des accidents similaires se produisent.

Le département de la Sécurité intérieure des États-Unis (DHS) applique désormais ce modèle pour prévenir les incidents en matière de cybersécurité. L'agence a créé un Comité d'examen de la cybersécurité (CSRB), chargé d'examiner les principaux incidents en matière de cybersécurité et de formuler des recommandations. Le premier incident étudié par le CSRB est la vulnérabilité « zero-day » Log4jShell qui a été récemment découverte dans un logiciel de journalisation fréquemment utilisé dans les applications Java.

Le CSRB a pour objectif de fournir un forum de collaboration entre les dirigeants du secteur public et privé afin de formuler des recommandations stratégiques à l'intention du président et du secrétaire à la sécurité intérieure. Il est composé de 15 responsables de la cybersécurité issus du gouvernement et du secteur privé : Robert Silvers, sous-secrétaire à la politique du DHS, occupera le poste de président, et Heather Adkins, directrice principale de l'ingénierie de sécurité, assumera la fonction de vice-présidente.

L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) sera chargée de gérer, soutenir et financer le CSRB. Jen Easterly, directrice de la CISA, est chargée de nommer ses membres en consultation avec le sous-secrétaire à la politique du DHS, qui préside le conseil.

L'examen et l'évaluation, attendus pour cet été, des vulnérabilités associées à la bibliothèque logicielle Log4j, comprendront l'analyse de l'activité des menaces et les impacts connus ainsi que les mesures prises par le gouvernement et le secteur privé pour atténuer leur impact. Ils comprendront également des recommandations pour traiter les vulnérabilités et menaces actuelles ainsi que des recommandations visant à améliorer les pratiques et la politique en matière de cybersécurité et de réponse aux incidents.

Le CSRB prévoit également de communiquer une version publique du rapport avec les suppressions appropriées à des fins de confidentialité et de protection des informations confidentielles. Le CSRB ne dispose pas de pouvoirs réglementaires et n'est pas habilité à exercer une contrainte légale. Les réunions du conseil d'administration sont limitées aux membres, au personnel et aux experts invités à y participer. Dans la mesure du possible, tous les conseils, informations ou recommandations futurs communiqués par le CSRB seront rendus publics et comporteront tous les éléments appropriés, conformément aux lois applicables et à la nécessité de protéger les informations sensibles.

Reste à voir quelles répercussions auront ces initiatives. Chaque fois qu'il y a une faille de sécurité, le temps est un facteur essentiel. Heureusement, les entités désireuses de partager leur analyse de ces événements ne manquent pas. Cependant, le CSRB offre la possibilité de regrouper et de vérifier les données relatives aux incidents en matière de cybersécurité. Cependant, il reste primordial d'adopter une approche plus collaborative pour partager des informations sur la cybersécurité quasiment en temps réel. Le défi est toujours le même : les organisations sont réticentes à partager des informations qui pourraient leur nuire ou être exploitées à des fins malveillantes.

Néanmoins, force est de constater qu'il y aura bientôt plus de transparence en ce qui concerne les incidents en matière de cybersécurité. Ainsi, au nom du bien commun, les entreprises pourraient transmettre les informations dont elles disposent le plus tôt possible. Après tout, l'histoire a toujours démontré que ce qui est généralement considéré comme pire que l'incident en lui-même est la tentative ultérieure de dissimuler qui était au courant et à quel moment les personnes concernées ont été informées.