La Maison Blanche a publié une Stratégie nationale de cybersécurité appelant à une réglementation complète des services vitaux de la nation. Cette stratégie s'appuie sur une reconnaissance croissante du fait que l'économie américaine ne peut plus compter sur des mesures volontaires de cybersécurité. qui n'ont pas réussi à empêcher les énormes pertes économiques causées par la recrudescence des attaques de ransomware.
Le rapport fournit une feuille de route sur la façon dont les États-Unis vont se défendre contre le nombre croissant de menaces en ligne.
“La cybersécurité est essentielle au fonctionnement de base de notre économie, au fonctionnement de nos infrastructures essentielles, à la force de notre démocratie et de nos institutions démocratiques, à la confidentialité de nos données et de nos communications, et à notre défense nationale”, écrit le président Joe Biden dans l'introduction de la stratégie.
Le document de 38 pages décrit comment les mesures volontaires de cybersécurité en place aujourd'hui ont produit des “résultats inadéquats et incohérents” et appelle à une réglementation plus forte pour protéger les “infrastructures critiques”. La Maison Blanche affirme également que des “résultats inadéquats et incohérents” ont été obtenus dans les infrastructures critiques comme les pipelines d'énergie, les entreprises alimentaires, les écoles et les hôpitaux. Le document fait suite à des cyberincidents majeurs, notamment une attaque massive de ransomware chez le plus grand fournisseur de viande et de nombreuses autres attaques de ransomware.
Cette nouvelle stratégie est dirigée par le Bureau du directeur national du cyberespace à la Maison-Blanche, désigne la Chine, la Russie, l'Iran et la Corée du Nord pour leurs cyber tactiques agressives faisant preuve d'un “mépris imprudent pour l'état de droit” et élève les attaques de ransomware, comme celle de 2021. Cyberattaque liée à la Russie contre le pipeline Colonial.
“Pour le gouvernement, nous avons le devoir envers le peuple américain de doubler les outils que seul le gouvernement peut manier, y compris les autorités policières et militaires, pour perturber les cyberactivités malveillantes et poursuivre leurs auteurs”, a déclaré le Directeur national intérimaire du cyberespace. Kemba Walden a déclaré aux journalistes.
Les auteurs du rapport semblent douter que le système de justice pénale américain soit capable de relever le défi seul et il est probable que le gouvernement utilisera ses autres pouvoirs, notamment les sanctions, pour se défendre contre les cybercriminels étrangers. “Nous voulons réduire la surface de la terre sur laquelle les gens peuvent mener des cyberactivités malveillantes en toute impunité, pour faire pression sur eux et rendre leur vie un peu moins agréable… si un criminel est contraint de vivre en Russie et ne peut pas quitter les frontières, alors peut-être que cela pourrait créer un peu d'effet dissuasif”, a déclaré un haut fonctionnaire.
Selon la stratégie de la Maison Blanche, c'est la Chine qui “présente désormais la menace la plus large, la plus active et la plus persistante pour les réseaux du gouvernement et du secteur privé et qui est le seul pays à avoir à la fois l'intention de remodeler l'ordre international et, de plus en plus, la puissance économique, diplomatique, militaire et technologique pour le faire.”
Les capacités cybernétiques croissantes de la Chine ont suscité des inquiétudes croissantes concernant les attaques contre les télécommunications américaines, la pollution massive des cours d'eau américains et le ciblage du réseau électrique américain. “Les attaques contre nos infrastructures essentielles dans l'éventualité d'une invasion chinoise de Taïwan n'est malheureusement pas farfelue”, a récemment déclaré Jen Easterly, directrice du CISA.
La nouvelle feuille de route sur la cybersécurité a pour but de déplacer la charge du risque cybernétique au-delà des consommateurs et de faire en sorte que “les entreprises ne soient pas piégées dans une compétition pour sous-dépenser leurs pairs en matière de cybersécurité”. Le gouvernement américain a déjà lancé des mandats de cybersécurité destinés à protéger les oléoducs et les gazoducs, et à renforcer les secteurs ferroviaire et aérien.
Des responsables ont annoncé en avant-première que l'Agence de protection de l'environnement (EPA) prévoyait de publier une règle pour le secteur de l'eau. Une enquête menée en 2021 par le Conseil de coordination du secteur de l'eau auprès de 606 organisations de distribution d'eau potable et d'eaux usées a révélé que la moitié d'entre elles consacraient moins de 5 % de leur budget à la sécurité informatique. “Nous devons commencer à transférer la responsabilité sur les entités qui ne prennent pas de précautions raisonnables pour sécuriser leurs logiciels tout en reconnaissant que même les programmes de sécurité logicielle les plus avancés ne peuvent pas empêcher toutes les vulnérabilités”, peut-on lire dans la stratégie.
Le Congrès a déjà adopté des lois exigeant que les propriétaires et les exploitants d'infrastructures critiques rendent compte au gouvernement fédéral dans les 72 heures en cas de cyberattaque majeure. “Lorsque les départements et agences fédéraux présentent des lacunes dans les pouvoirs statutaires pour mettre en œuvre des exigences minimales en matière de cybersécurité ou atténuer les défaillances connexes du marché, l'administration travaillera avec le Congrès pour les combler”, selon la stratégie.
La nouvelle stratégie comporte cinq éléments
Défendre les infrastructures critiques : La stratégie fixera des exigences minimales en matière de cybersécurité pour les organisations de tous les secteurs d'infrastructures critiques, tout en cherchant à étendre la collaboration public-privé et à moderniser les réseaux fédéraux.
Cible et perturbe les acteurs de la menace : L'administration a promis d'utiliser “tous les instruments de la puissance nationale” pour cibler les acteurs malveillants, de faire appel à davantage d'expertise du secteur privé et de continuer à cibler les ransomwares “au pas de course avec nos partenaires internationaux”.
Utiliser les forces du marché pour améliorer la sécurité et la résilience : L'administration veut que l'on se concentre davantage sur la “promotion de la vie privée et de la sécurité des données personnelles” pour inciter les détenteurs de données à mieux les sécuriser, et elle veut que les développeurs commerciaux et les vendeurs de logiciels et de matériel soient responsables s'ils n'emploient pas des pratiques de développement de sécurité reconnues.
Investissez dans la résilience : La stratégie souligne la nécessité de réduire les vulnérabilités de la technologie fondamentale, de donner la priorité à la recherche et au développement de technologies émergentes telles que “le chiffrement post-quantique, les solutions d'identité numérique et l'infrastructure d'énergie propre”, et d'augmenter la taille de la cyber-force de la nation.
Renforcer les partenariats internationaux : Promouvoir le “comportement responsable des États” ainsi que la résilience de la cybersécurité et la sécurité de la chaîne d'approvisionnement des alliés reste un objectif, tout comme tenter d'imposer des coûts aux pays qui adoptent un “comportement irresponsable”, selon la stratégie.
Plus récemment, le service des maréchaux américains a subi une cyberattaque majeure. compromettant certaines de ses informations les plus sensibles, notamment des documents relatifs à l'application de la loi, ainsi que les informations personnelles des employés et des cibles d'enquête potentielles.
Directeur National Cyber Chris Inglis a démissionné de son poste le mois dernier, prenant sa retraite après presque deux ans à la tête de l'agence chargée de coordonner un patchwork d'agences et de bureaux chargés de protéger l'infrastructure critique de la nation. Le Président Biden n'a pas encore nommé son remplaçant.
La Maison Blanche : GovInfoSecurity : CBS : BankInfoSecurity : Forbes : CNBC :
Tu pourrais aussi lire :
La répression contre les criminels du ransomware:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports détaillés sur les directeurs, en t'inscrivant à l'abonnement. Abonnement Premium.
- Individuel 5 £ par mois ou 50 £ par an. S'inscrire
- Multi-utilisateur, entreprise & ; Comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & Accessible
