La CISA cherche à élargir sa mission dans un contexte de turbulences

La tourmente qui entoure la Cybersecurity and Infrastructure Security Agency (CISA) commence à avoir un impact significatif sur les équipes de cybersécurité qui, sans aucune protection en matière de responsabilité, sont, pour l'instant, moins enclines à partager des informations sur la manière dont les violations se sont produites.

Dans le même temps, l'agence signale également son intention de fournir directement une large gamme de services à long terme, plutôt que de continuer à dépendre d'un petit nombre de partenaires industriels.

Juste avant la fermeture du gouvernement fédéral, le Congrès américain n'a pas renouvelé la loi sur le partage des informations en matière de cybersécurité, principalement en raison des objections du sénateur Rand Paul (R-KY), qui craint que la législation initiale ne permette à l'agence d'outrepasser sa mission en enquêtant sur les campagnes de désinformation lors des deux dernières élections présidentielles. Au cœur de ce débat, il y a la crainte que, dans ses efforts pour protéger les infrastructures électorales critiques, la CISA se soit laissée entraîner dans un débat politique sur les limites perçues de la liberté d'expression.

Quelques jours plus tard, la fermeture du gouvernement américain, qui a entraîné des licenciements qui pourraient avoir un impact significatif sur la capacité de l'agence à fournir certains services, y compris les services fournis par la CISA à des organisations tierces. Avant ces compressions budgétaires, la Cybersecurity and Infrastructure Security Agency (CISA) avait également annulé un accord de coopération avec le Center for Internet sécurité (CIS) par le biais duquel un programme de Multi-State Information Sharing and Analysis Center (MS-ISAC) était géré. La CISA prévoit désormais de gérer elle-même le financement d'initiatives spécifiques, en plus de fournir gratuitement aux États et aux localités les outils qu'elle élabore.

Changement de priorité

Tous ces changements interviennent à un moment où la CISA fait également part de son intention de réorganiser le programme Common Vulnerabilities and Exposures (CVE), actuellement administré par Mitre Corp. Un document d'orientation stratégique de la CISA publié par cette dernière indique que l'agence est en train de revoir la manière dont les CVE sont numérotées et classées, ainsi que la manière dont les informations les concernant sont diffusées, dans le cadre d'une nouvelle approche axée sur la qualité.

Plus précisément, le document appelle à un engagement en faveur d'une gestion exempte de conflits et indépendante des fournisseurs, d'un large engagement multisectoriel, de processus transparents et d'une plus grande responsabilité. Cette dernière question suscite bien entendu un vif intérêt chez les professionnels de la cybersécurité, qui doivent régulièrement attendre que les développeurs élaborent et appliquent des correctifs aux applications. L'espoir est que si les organisations sont davantage tenues responsables de la fourniture de logiciels présentant des vulnérabilités connues exploitées par les cybercriminels, il pourrait y en avoir beaucoup moins.

Il faudra peut-être un certain temps avant que des changements concrets ne soient apportés, mais il est évident que la portée de la mission de la CISA est en train de changer. Des ressources sont clairement retirées de certaines initiatives en fonction des priorités fixées par l'administration Trump. Il est moins évident de savoir dans quelle mesure la CISA dispose des ressources nécessaires pour remplir son nouveau mandat, qui comprend la fourniture directe d'une gamme plus large de services.

Espérons que la CISA redeviendra le centre d'échange d'informations sur les menaces en toute sécurité tout en élargissant la portée des services qu'elle fournit. Le défi, comme toujours, est de réaliser ce mandat de manière à minimiser les interférences politiques.