CISA pour mesurer la progression de la sécurité

Version imprimable, PDF et e-mail

La Cybersecurity and Infrastructure Security Agency (CISA) s’est engagée à passer les trois prochaines années à mesurer la réussite des initiatives du gouvernement américain visant à protéger les infrastructures critiques publiques et privées contre les cyberattaques.

Eric Goldstein, directeur adjoint exécutif de la CISA pour la cybersécurité, a déclaré devant le comité de sécurité intérieure de la Chambre des représentants des États-Unis que ce que l'agence prévoyait de mesurer sera dévoilé le mois prochain.

Les professionnels de la cybersécurité essaient bien évidemment de quantifier la réussite de leurs efforts depuis des décennies, sans grand succès. L'approche adoptée par la CISA pour relever l'un des défis les plus difficiles qui soit dans le domaine de la cybersécurité suscitera donc sans aucun doute un grand intérêt. La plupart des professionnels de la cybersécurité le savent bien, prouver la valeur de leur travail est un défi. Les investissements dans la cybersécurité sont jugés rentables en l'absence de violation. En cas de violation, cependant, la valeur de ces investissements est remise en question, quel que soit le nombre d'attaques déjouées.

La manière exacte dont la CISA prévoit de collecter les données nécessaires est également un mystère. La plupart des infrastructures critiques que la CISA a pour mission d'aider à protéger sont gérées par des partenariats public-privé, qui ne sont pas toujours désireux de partager des informations avec des tiers, car ces derniers peuvent être contraints de partager publiquement ces données.

En fait, le niveau de transparence qui devrait être exigé en matière de cybersécurité fait maintenant l’objet d’un débat de plus en plus animé au Congrès. Le représentant du Rhode Island, Jim Langevin, a joint au National Defense Authorization Act 2023 une proposition d'amendement n° 554 qui obligerait le Département de la Sécurité intérieure (DHS) à désigner certains composants des infrastructures critiques comme entités d'importance systémique (SIE). À ce titre, les opérateurs desdites infrastructures seraient tenus de respecter des normes de cybersécurité spécifiques. La Chambre de commerce des États-Unis ainsi que 17 autres associations industrielles ont envoyé une lettre aux membres du Sénat pour s'opposer à cet amendement.  Plus précisément, la lettre affirme que l'amendement transformerait la relation entre la CISA et les opérateurs d'infrastructures critiques, passant d'un partenariat à une autre relation dans laquelle la CISA serait habilitée à imposer des exigences supplémentaires en matière de cybersécurité aux secteurs.

Indépendamment du degré de surveillance que la CISA pourrait assurer, la question restera toujours dans les détails à mesurer. La vérité, c'est qu'il est peut-être impossible de mesurer l'efficacité de la cybersécurité. En outre, il est clair qu'il faudrait davantage se préoccuper du fait que les données pourraient être partagées avec une agence fédérale tenue de faire des rapports au Congrès, lesquels sont susceptibles d'être lus de près par des acteurs malveillants du monde entier, ayant déjà montré un vif intérêt pour la compromission des infrastructures critiques. Selon toute probabilité, quel que soit le compromis trouvé, personne ne sera totalement satisfait. Les exigences convenues ne seront probablement pas assez strictes pour avoir un effet significatif. Ce qui risque d'arriver, c'est qu'un grand volume de données qui auraient pu rester dissimulées sera désormais partagé plus largement.

Comme Ronald Reagan l’a noté un jour, il n'y a pas plus dangereux que la phrase « Je fais partie du gouvernement et je suis là pour vous aider ». Loin d'affirmer que les agences gouvernementales fassent plus de mal que de bien de manière intentionnelle, la nature de leur fonctionnement ne conduit cependant pas toujours au meilleur résultat possible en matière de cybersécurité.

Remonter en haut de page
Tweeter
Partager
Partager