Le décret Trump pourrait créer de nouveaux défis en matière de sécurité

Le gouvernement des États-Unis exerce aujourd'hui une telle influence sur la cybersécurité que même le plus petit changement de politique peut désormais avoir un impact profond. Un décret exécutif émis par le président Trump ne fait pas exception, surtout lorsqu'il concerne des règles exigeant que les agences fédérales commencent à tester des technologies d'authentification résistantes au hameçonnage et l'adoption des identités numériques ainsi que du chiffrement post-quantique (PQC).

Plus précisément, l'administration annule un décret précédent émis par l'ancien président Joe Biden qui appelait à une adoption plus agressive de technologies d'authentification et d'identités numériques plus robustes pour améliorer la cybersécurité et réduire la fraude. Cependant, l'administration Trump, compte tenu de l'accent mis actuellement sur l'application des politiques d'immigration, craint que les identités numériques puissent être utilisées par des étrangers en situation irrégulière pour accéder à des prestations auxquelles ils n'ont pas droit.

Le deuxième changement majeur a éliminé un ordre de Biden qui exigeait que les agences fédérales commencent à utiliser un chiffrement résistant au quantum « dès que possible », en plus d'exiger des fournisseurs qu'ils utilisent la PQC lorsque c'est technologiquement possible. L'administration Trump a également supprimé les instructions pour que les départements d'État et du Commerce encouragent les principaux alliés étrangers et les industries d'outre-mer à adopter les algorithmes de calcul post-quantique définis par le National Institute of Standards and Technology (NIST).

Un troisième changement concerne la sécurité des chaînes d'approvisionnement en logiciels. Auparavant, tout fournisseur vendant des logiciels au gouvernement fédéral devait attester de la sécurité du logiciel en soumettant une documentation prouvant qu'il suivait les meilleures pratiques DevSecOps. Désormais, le gouvernement américain, via le NIST, ne fournira que des conseils, au lieu de demander aux fournisseurs de fournir un véritable rapport.

De plus, les dispositions qui obligeaient l'Agence de cybersécurité et de sécurité des infrastructures (CISA) à vérifier les attestations fournies par les fournisseurs, obligeaient le Bureau du directeur national de la cybersécurité (ONCD) à publier les résultats de ces évaluations et encourageaient l'ONCD à renvoyer les entreprises dont les attestations échouent au ministère de la Justice « pour qu'il prenne les mesures appropriées » ont été supprimées.

L'administration Trump a également supprimé les règles qui obligeaient le NIST à publier des directives identifiant les pratiques minimales de cybersécurité sur la base d'un examen des normes acceptées à l'échelle mondiale qui obligeaient les fournisseurs à suivre ces pratiques.

La fiche d'information fournie par l'administration Trump indiquait que le précédent décret de Biden imposait « des processus de comptabilité logicielle non éprouvés et fastidieux qui privilégiaient les listes de contrôle de conformité au détriment des véritables investissements en matière de sécurité » et microgérait « les décisions techniques en matière de cybersécurité mieux gérées au niveau du département et de l'agence, où les compromis budgétaires et les solutions innovantes peuvent être évalués et mis en œuvre de manière plus efficace ».

L'administration Trump réduit également le champ d'application d'un précédent décret relatif à la sécurité de l'intelligence artificielle (IA). Le décret de Trump exige désormais que les agences fédérales suivent les vulnérabilités des systèmes IA, les intègrent dans les pipelines de réponse aux incidents et limitent le partage des données à ce qui est faisable dans le respect des contraintes de sécurité et de confidentialité. Auparavant, les agences fédérales partageaient ces informations avec d'autres pays alliés aux États-Unis.

L'administration Trump modifie un décret antérieur émis par le président Obama il y a près de dix ans. Désormais, les sanctions ne peuvent être appliquées à aucune activité liée aux élections et uniquement aux acteurs malveillants étrangers afin d'empêcher toute utilisation abusive contre les opposants politiques nationaux.

Enfin, le décret exécutif a également supprimé des passages d'un précédent décret exécutif qui chargeait l'Office of Management and Budget (OMB) de conseiller les agences sur la gestion des risques liés à la concentration des fournisseurs de technologies de l'information.

Quelle que soit l'orientation politique des professionnels de la cybersécurité, tout le monde s'accorde à dire que le gouvernement fédéral des États-Unis est un exemple à suivre. Ainsi, les changements qui reposent davantage sur des suggestions plutôt que sur des exigences rendront la mise en œuvre et le maintien de la cybersécurité d'autant plus difficiles.