1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Faits saillants de la Nouvelle Stratégie de cybersécurité des États-Unis

Faits saillants de la Nouvelle Stratégie de cybersécurité des États-Unis

L'administration Biden a publié aujourd'hui sa vision pour renforcer la posture collective de cybersécurité du pays, y compris des appels à une législation établissant la responsabilité pour les produits et services logiciels vendus sans grand respect pour la sécurité. La nouvelle stratégie nationale de cybersécurité de la Maison Blanche envisage également un rôle plus actif des fournisseurs de cloud computing et de l'armée américaine dans la perturbation de l'infrastructure cybercriminelle, et elle désigne la Chine comme la plus grande cybermenace pour les intérêts américains.

La stratégie indique que la Maison Blanche travaillera avec le Congrès et le secteur privé pour élaborer une législation qui empêcherait les entreprises de désavouer la responsabilité de la sécurité de leurs produits ou services logiciels.

Couplé à ce bâton serait une carotte: un “cadre de la sphère de sécurité” encore indéfini qui exposerait ce que ces entreprises pourraient faire pour démontrer qu'elles font de la cybersécurité une préoccupation centrale de leur conception et de leurs opérations.

"Une telle législation devrait empêcher les fabricants et les éditeurs de logiciels puissants sur le marché de se dégager totalement de toute responsabilité par contrat, et établir des normes de soin plus strictes pour les logiciels dans des scénarios spécifiques à haut risque”, explique la stratégie. "Pour commencer à définir des normes de soins pour le développement de logiciels sécurisés, l'Administration pilotera le développement d'un cadre de sphère de sécurité adaptable pour protéger des sociétés de responsabilité qui développent et maintiennent en toute sécurité leurs produits et services logiciels.”

Brian Renard, directeur de la technologie et fondateur de la société de sécurité de la chaîne d'approvisionnement logicielle Type Sonore, appelé la poussée de responsabilité logicielle un moment historique pour l'industrie.

” Les forces du marché conduisent à une course vers le bas dans certaines industries, tandis que le droit des contrats permet aux éditeurs de logiciels de toutes sortes de se protéger de toute responsabilité", a déclaré Fox. "Les réglementations pour d'autres industries ont subi une transformation similaire, et nous avons constaté un résultat positif — il y a maintenant une attente de diligence raisonnable appropriée et de responsabilité pour ceux qui ne se conforment pas. L'établissement du concept de sphère de sécurité permet à l'industrie de mûrir progressivement, en améliorant les meilleures pratiques de sécurité afin de conserver un bouclier de responsabilité, par opposition à l'appel à une réforme radicale et à des résultats irréalistes comme l'ont fait les tentatives réglementaires précédentes.”

LA MENACE LA PLUS ACTIVE ET PERSISTANTE

En 2012 (il y a environ trois cyber stratégies nationales), puis directeur de l'Agence de sécurité nationale des États-Unis (NSA) Keith Alexandre a fait la une des journaux lorsqu'il a fait remarquer que des années de campagnes réussies de cyberespionnage menées par des pirates informatiques parrainés par l'État chinois représentaient “le plus grand transfert de richesse de l'histoire.”

Le document publié aujourd'hui indique que la République populaire de Chine (RPC) “présente désormais la menace la plus large, la plus active et la plus persistante pour les réseaux gouvernementaux et du secteur privé”, et que la Chine est “le seul pays ayant à la fois l'intention de remodeler l'ordre international et, de plus en plus, la puissance économique, diplomatique, militaire et technologique pour le faire.”

Bon nombre des efforts du gouvernement américain pour restreindre les prouesses technologiques de la Chine impliquent des initiatives en cours comme le CHIPS Act, une nouvelle loi signée par le président Biden l'année dernière qui réserve plus de 50 milliards de dollars pour développer la fabrication et la recherche sur les semi-conducteurs aux États-Unis et pour rendre les États-Unis moins dépendants des fournisseurs étrangers; le Initiative Nationale sur l'Intelligence Artificielle; et le Stratégie nationale pour sécuriser la 5G.

En tant que fabricant de la plupart des gadgets grand public avec une puce informatique à l'intérieur, la Chine est également à l'origine d'un nombre incroyable d'appareils Internet des objets (IoT) à faible coût qui sont non seulement mal sécurisés, mais sont probablement décrits plus précisément comme insécurité par conception.

L'administration Biden a déclaré qu'elle poursuivrait ses plans précédemment annoncés développer un système d'étiquetage qui pourrait être appliqué à divers produits IoT et donnez aux consommateurs une idée de la sécurité des produits. Mais on ne sait toujours pas comment ces étiquettes pourraient s'appliquer aux produits fabriqués par des entreprises en dehors des États-Unis.

COMBATTRE LE MAL DANS LE NUAGE

On pourrait affirmer de manière convaincante que le monde a été témoin d'un autre transfert historique de richesses et de secrets commerciaux au cours de la dernière décennie — sous la forme d'attaques de rançongiciels et de rançons de données par des syndicats cybercriminels basés en Russie, ainsi que des opérations des agences de renseignement russes comme compromis sur les vents solaires à l'échelle du gouvernement américain.

Sur le front des ransomwares, la stratégie de la Maison Blanche semble se concentrer fortement sur le renforcement de la capacité de perturber l'infrastructure numérique utilisée par les adversaires qui menacent les cyber-intérêts vitaux des États-Unis. Le document pointe vers le retrait du botnet Emotet en 2021 — une machine de cybercriminalité qui a été fortement utilisée par plusieurs groupes de ransomwares russes-comme modèle pour cette activité, mais dit que ces opérations perturbatrices doivent se produire plus rapidement et plus souvent.

À cette fin, l'administration Biden a déclaré qu'elle augmenterait la capacité du Groupe de Travail Conjoint National sur les Enquêtes Cybernétiques (NCIJTF), la principale agence fédérale chargée de coordonner les enquêtes sur les cybermenaces entre les forces de l'ordre, la communauté du renseignement et le ministère de la Défense.

“Pour augmenter le volume et la rapidité de ces campagnes de perturbation intégrées, le gouvernement fédéral doit développer davantage les plateformes technologiques et organisationnelles qui permettent des opérations continues et coordonnées”, observe la stratégie. “La NCIJTF étendra sa capacité à coordonner les campagnes de démantèlement et de perturbation avec une rapidité, une ampleur et une fréquence accrues. De même, le DoD et la communauté du renseignement se sont engagés à mettre à profit toute leur gamme d'autorités complémentaires pour les campagnes de perturbation.”

La stratégie prévoit que le gouvernement américain travaillera plus étroitement avec le cloud et d'autres fournisseurs d'infrastructure Internet pour identifier rapidement l'utilisation malveillante de l'infrastructure basée aux États-Unis, partager les rapports d'utilisation malveillante avec le gouvernement et permettre aux victimes de signaler plus facilement les abus de ces systèmes.

"Compte tenu de l'intérêt de la communauté de la cybersécurité et des propriétaires et exploitants d'infrastructures numériques à poursuivre cette approche, nous devons maintenir et développer ce modèle afin que les opérations de perturbation collaboratives puissent être menées de manière continue”, soutient la stratégie. “La collaboration spécifique aux menaces devrait prendre la forme de cellules temporaires agiles, composées d'un petit nombre d'opérateurs de confiance, hébergées et soutenues par un hub pertinent. À l'aide de plateformes de collaboration virtuelles, les membres de la cellule partageraient des informations de manière bidirectionnelle et travailleraient rapidement pour perturber les adversaires.”

Mais là encore, il y a une approche de la carotte et du bâton: l'administration a déclaré qu'elle prenait des mesures pour mettre en œuvre Décret exécutif (EO) 13984 - publié par l'administration Trump en janvier 2021 — qui oblige les fournisseurs de cloud à vérifier l'identité des personnes étrangères utilisant leurs services.

"Tous les fournisseurs de services doivent faire des efforts raisonnables pour sécuriser l'utilisation de leur infrastructure contre les abus ou autres comportements criminels”, indique la stratégie. “L'administration accordera la priorité à l'adoption et à l'application d'une approche de la cybersécurité basée sur les risques parmi les fournisseurs d'infrastructure en tant que service qui traite des méthodes connues et des indicateurs d'activités malveillantes, y compris par la mise en œuvre de l'OE 13984.”

Ted Schlein, associé fondateur de la société de capital-risque en cybersécurité Entreprises Balistiques, a déclaré que la manière dont cela sera mis en œuvre déterminera si cela peut être efficace.

“Les adversaires savent que la NSA, qui est la partie élite de la cyberdéfense du pays, ne peut pas surveiller l'infrastructure basée aux États-Unis, ils utilisent donc simplement l'infrastructure cloud basée aux États-Unis pour perpétrer leurs attaques”, a déclaré Schlein. "Nous devons régler ce problème. Je pense qu'une partie de cette section est un peu pollyannaise, car elle suppose qu'un mauvais acteur désireux de faire une mauvaise chose s'identifiera lui-même, car la principale recommandation ici concerne KYC ("connaissez votre client").”

ASSURER LES ASSUREURS

Une section brève mais intéressante de la stratégie intitulée "Explorer un contexte fédéral de cyberassurance” envisage la responsabilité du gouvernement et sa réponse à un scénario trop important pour échouer ou à un "cyberincident catastrophique".”

” Nous explorerons comment le gouvernement peut stabiliser les marchés de l'assurance contre les risques catastrophiques afin de favoriser de meilleures pratiques en matière de cybersécurité et de fournir une certitude au marché lorsque des événements catastrophiques se produisent", indique la stratégie.

Lorsque l'administration Bush a publié la première stratégie nationale de cybersécurité des États-Unis il y a 20 ans après les attaques du 11 septembre, le terme populaire pour désigner ce même scénario était un "Pearl Harbor numérique", et on parlait alors beaucoup de comment le marché de la cyberassurance aiderait bientôt les entreprises à renforcer leurs pratiques en matière de cybersécurité.

À la suite d'innombrables intrusions de ransomwares, de nombreuses entreprises détiennent désormais une assurance cybersécurité pour aider à couvrir les coûts considérables liés à la réponse à de telles intrusions. Laissant de côté la question de savoir si la couverture d'assurance a aidé les entreprises à améliorer la sécurité, que se passe-t-il si chacune de ces entreprises doit faire une réclamation en même temps?

La notion d'incident numérique de Pearl Harbor a frappé de nombreux experts à l'époque comme une justification hyperbolique pour étendre les capacités de surveillance numérique du gouvernement et une surestimation des capacités de nos adversaires. Mais en 2003, la plupart des entreprises du monde n'hébergeaient pas l'intégralité de leurs activités dans le cloud.

Aujourd'hui, personne ne remet en question les capacités, les objectifs et les résultats de dizaines de cyberattaques au niveau des États-nations. Et de nos jours, un cyberincident catastrophique pourrait n'être guère plus qu'une panne prolongée et simultanée chez plusieurs fournisseurs de cloud.

La stratégie nationale complète de cybersécurité est disponible à l'adresse suivante le site de la Maison Blanche (PDF).



>>Plus