La responsabilité de la sécurité des infrastructures critiques évolue

La responsabilité de la sécurisation des infrastructures critiques est sur le point de changer à la suite de la signature d’un décret par le président Trump.

Le décret charge l’assistant du président pour les affaires de sécurité nationale (APNSA), poste actuellement occupé par Michael Waltz, d’examiner comment transférer davantage de responsabilités en matière de sécurisation des infrastructures critiques aux autorités étatiques et locales dans le cadre d’une stratégie officielle de résilience nationale qui sera définie dans les 90 jours suivant la signature du décret le 19 mars.

Dans les 180 jours suivant la signature du décret, l’APNSA, en coordination avec le directeur de l’Office of Science and Technology et d’autres responsables d’agences concernées, est également chargée d’examiner toutes les politiques d’infrastructures critiques et de recommander les révisions, révocations et remplacements nécessaires pour parvenir à une posture plus résiliente. Au cœur de cette transition se trouve l’adoption d’une approche davantage « axée sur le risque » par rapport à l’approche « tous risques » actuelle telle que décrite par le président. Plus précisément, le décret exclut toute politique actuelle relative à la « mauvaise information », à la « désinformation » ou à l’« information malveillante », ou encore à ce que l'on appelle l’« infrastructure cognitive ». Cette dernière expression inclut l’intelligence artificielle (IA), conformément aux décrets précédents visant à accélérer l’adoption de ces technologies en réduisant les réglementations.

Dans les 240 jours suivant la date du décret, l’APNSA, en coordination avec les responsables des agences concernées, est également chargée d’examiner toutes les politiques nationales de préparation et d’intervention, et de recommander les révisions, révocations et remplacements nécessaires pour reformuler le processus et les paramètres de la responsabilité fédérale dans le cadre de l’effort visant à s’éloigner de l’approche actuelle « tous risques ».

Enfin, dans les 240 jours suivant la signature du décret, l’APNSA, en coordination avec le directeur de l’Office of Management and Budget et les responsables des agences concernées, est chargée de coordonner l’élaboration d’un registre national des risques afin d’identifier, de formuler et de quantifier les risques pour l’infrastructure nationale des États-Unis, les systèmes connexes et leurs utilisateurs.

En effet, l’administration Trump a décidé, comme de nombreuses organisations l’ont déjà fait, de donner la priorité à certains risques de cybersécurité plutôt qu’à d’autres. Bien entendu, le débat reste vif sur ce qui constitue une menace pour les infrastructures critiques, mais aussi sur la nature des infrastructures pouvant être considérées comme critiques. Ce qui est sûr, c’est que de nombreux changements sont sur le point d’être mis en œuvre dans un laps de temps relativement court. La probabilité que des adversaires lancent pendant cette période des cyberattaques visant, par exemple, à paralyser des infrastructures critiques situées dans des agglomérations et des villes disposant de ressources financières limitées n’a jamais été aussi importante.

Les organisations doivent donc se préparer en conséquence. Alors qu’une cyberattaque peut être lancée directement contre une organisation, le rayon d’action d’une cyberattaque visant, par exemple, les lignes électriques, les réseaux d’eau ou un gazoduc peut avoir des répercussions sur l’ensemble d’une région pendant plusieurs semaines. Dans cette perspective, les organisations de toutes tailles seraient donc bien avisées de revoir leurs plans de reprise après sinistre. Après tout, étant donné la dépendance des organisations à l’égard d’un vaste éventail de systèmes interconnectés, la plupart des manuels qu’elles ont pu créer auparavant n’ont jamais été conçus pour faire face à une cyberattaque contre une infrastructure critique que la plupart des gouvernements locaux ne seront peut-être jamais vraiment préparés à gérer.