La Maison-Blanche partage les détails de sa stratégie de cybersécurité

La Maison-Blanche a désormais signalé sans équivoque son intention de tirer parti du poids combiné des agences fédérales et de la législation à venir pour obliger autant d’entreprises que possible à améliorer leur cybersécurité.

Le plan de mise en œuvre décrit par l’administration Biden demandera aux régulateurs de plusieurs secteurs d’expliquer comment ils utiliseront leur autorité existante pour établir des exigences de cybersécurité, le but étant d’atténuer les risques, d’identifier les lacunes et de créer des propositions pour les résoudre. De plus, l’administration travaillera avec le Congrès américain pour faire adopter des lois visant à combler les lacunes actuelles qui pourraient exister dans le pouvoir législatif.

Compte tenu du climat politique actuel, cela risque d’être plus facile à dire qu’à faire, mais les deux principaux partis politiques reconnaissent que la cybersécurité est désormais un problème majeur de sécurité nationale, au même titre que toute autre initiative d’investissement dans la défense. Il est tout simplement impossible de défendre les intérêts nationaux si les moyens par lesquels l’intérêt national est garanti se retrouvent paralysés par une cyberattaque.

Cette approche de la cybersécurité risque d’avoir des implications profondes pour les professionnels du secteur. Il y a encore beaucoup de détails à régler, mais l’époque où les investissements dans la cybersécurité étaient réduits au strict minimum est maintenant quasi révolue. Les entreprises seront tenues responsables non seulement de la protection des données qu’elles recueillent, mais également de la sécurité de toute application qu’elles créent ou déploient.

Point positif, le gouvernement fédéral américain va soutenir ces mandats par des initiatives d’éducation qui seront menées par des partenariats public-privé et qui rassembleront des fournisseurs de solutions technologiques, des universités, des entreprises de formation à la cybersécurité et la communauté des logiciels libres. L’objectif est de s’assurer que le matériel et les logiciels sont à la fois sécurisés dès la conception et sécurisés par le matériel.

Au total, le plan de mise en œuvre décrit 65 initiatives avec leurs propres échéances, qui couvrent tous les domaines : comment perturber les activités des adversaires ou encore comment gérer un incident de cybersécurité. En effet, chaque entreprise est désormais censée contribuer à l’effort de guerre cyber.

Évidemment, s’en sortir dans une guerre nécessite un aperçu des tactiques employées par votre ennemi. C’est un domaine particulièrement problématique, car de nombreuses entreprises rechignent à communiquer sur les violations qu’elles ont subies ou à fournir tout autre élément de renseignement qu’elles auraient pu recueillir. L’absence de renseignement partagé, cependant, ne fait que donner l’avantage aux adversaires, qui peuvent continuer à agir dans l’ombre.

En attendant, les organismes d’application de la loi américains tentent désormais de décourager ce comportement en tenant les professionnels de la cybersécurité qui travaillent pour les entreprises publiques plus responsables de leurs actes. Cependant, ces efforts peuvent simplement pousser les meilleurs profils à chercher un emploi dans le privé.

Quel que soit le type d’entreprise pour lequel les professionnels de la cybersécurité travaillent, il semble que tous les aspects de la cybersécurité sont désormais étudiés de près. La plupart de ces mesures seront les bienvenues. En effet, plus les cadres dirigeants s’intéressent à la cybersécurité plus les investissements seront faciles à justifier. L’inconvénient bien sûr, est que de plus en plus de mesures sont actuellement créées par des personnes qui n’ont pas saisi toutes les nuances et les compétences devant être maîtrisées lorsque l’on souhaite élaborer une bonne stratégie de cybersécurité.