Un plan de cybersécurité ambitieux et de grande envergure publié jeudi par la Maison Blanche appelle à renforcer les protections dans les secteurs critiques et à rendre les éditeurs de logiciels légalement responsables lorsque leurs produits ne répondent pas aux normes de base. Le document de stratégie promet d’utiliser « tous les instruments du pouvoir national » pour prévenir les cyberattaques.
L’administration démocrate a également déclaré qu’elle s’efforcerait « d’imposer des limites solides et claires » à la collecte de données du secteur privé, y compris la géolocalisation et les informations sur la santé.
« Nous avons encore un long chemin à parcourir avant que chaque Américain soit convaincu que le cyberespace est sûr pour lui », a déclaré jeudi le directeur national par intérim du cyber, Kemba Walden, lors d’un forum en ligne. «Nous nous attendons à ce que les districts scolaires affrontent les organisations criminelles transnationales en grande partie par eux-mêmes. Ce n’est pas seulement injuste. C’est inefficace.
La stratégie codifie en grande partie les travaux déjà en cours au cours des deux dernières années à la suite d’une série d’attaques de ransomwares très médiatisées sur des infrastructures critiques. Une attaque en 2021 contre un important pipeline de carburant qui a provoqué la panique à la pompe, entraînant une pénurie de carburant sur la côte Est, et d’autres attaques dommageables ont fait de la cybersécurité une priorité nationale. L’invasion de l’Ukraine par la Russie a aggravé ces inquiétudes.
Le document de 35 pages jette les bases d’une meilleure lutte contre les menaces croissantes contre les agences gouvernementales, l’industrie privée, les écoles, les hôpitaux et d’autres infrastructures vitales qui sont régulièrement violées. Au cours des dernières semaines, le FBI, US Marshals Service et Dish Network ont été parmi les victimes d’intrusion.
« La défense ne gagne guère. Toutes les quelques semaines, quelqu’un se fait terriblement pirater », a déclaré Edward Amoroso, PDG de la société de cybersécurité TAG Cyber.
Il a qualifié la stratégie de la Maison Blanche de largement ambitieuse. Ses initiatives les plus audacieuses – y compris des règles plus strictes en matière de signalement des violations et de responsabilité des logiciels – sont susceptibles de rencontrer la résistance des entreprises et des républicains au Congrès.
Brandon Valeriano, ancien conseiller principal de la Cyberspace Solarium Commission du gouvernement fédéral, a accepté.
« Il y a beaucoup à aimer ici. Il manque juste beaucoup de détails », a déclaré Valeriano, un distingué chercheur principal à la Marine Corps University. « Ils produisent un document qui parle beaucoup de réglementation à un moment où les États-Unis sont tout à fait contre la réglementation. »
La composante de collecte de données de la stratégie devrait également rencontrer des vents contraires au Congrès, bien que les sondages d’opinion indiquent que la plupart des Américains sont favorables à une législation fédérale sur la confidentialité des données.
Dans un nouveau rapport, la société de données technologiques Forrester Research a déclaré que les cyberattaques parrainées par l’État avaient augmenté de près de 100 % entre 2019 et 2022 et que leur nature avait changé, avec un pourcentage plus élevé désormais effectué pour la destruction de données et le vol financier. Les menaces proviennent principalement de l’étranger : des cybercriminels basés en Russie et des pirates informatiques soutenus par des États de Russie, de Chine, de Corée du Nord et d’Iran.
L’administration du président Biden a déjà imposé des réglementations en matière de cybersécurité à certains secteurs industriels critiques, tels que les services publics d’électricité, les gazoducs et les installations nucléaires. La stratégie appelle à les étendre à d’autres secteurs vitaux.
Dans une déclaration accompagnant le document, Biden déclare que son administration relève le « défi systémique qu’une trop grande partie de la responsabilité de la cybersécurité incombe aux utilisateurs individuels et aux petites organisations ». Cela impliquera de transférer la responsabilité légale aux fabricants de logiciels, en tenant les entreprises plutôt que les utilisateurs finaux responsables.
En tant que nation, « nous avons tendance à déléguer la responsabilité de la cybersécurité vers le bas. Nous demandons aux particuliers, aux petites entreprises et aux gouvernements locaux d’assumer un fardeau important pour nous défendre tous », a déclaré Walden.
La Maison Blanche veut responsabiliser davantage les éditeurs de logiciels.
« Trop de fournisseurs ignorent les meilleures pratiques en matière de développement sécurisé, proposent des produits avec des configurations par défaut non sécurisées ou des vulnérabilités connues, et intègrent des logiciels tiers de provenance non vérifiée ou inconnue », indique le document. Cela doit changer, ajoute-t-il, indiquant que la Maison Blanche travaillera avec le Congrès et le secteur privé sur une législation pour établir la responsabilité.
La directrice de la Cybersecurity and Infrastructure Security Agency, Jen Easterly, a fait une analogie dans un discours prononcé lundi à l’Université Carnegie Mellon devant l’industrie automobile avant que les défenseurs des consommateurs dirigés par Ralph Nader n’imposent des réformes de sécurité, y compris les ceintures de sécurité et les coussins gonflables : « Le fardeau de la sécurité ne doit jamais incomber uniquement au client. Les fabricants de technologies doivent s’approprier les résultats en matière de sécurité pour leurs clients. »
Mais Amoroso, le responsable de la cybersécurité, a qualifié cette comparaison d’égarée, car le logiciel est un animal différent, intrinsèquement complexe, les pirates trouvant constamment des moyens de le casser. L’initiative de responsabilité est susceptible d’être bloquée devant les tribunaux alors que l’industrie résiste, a-t-il déclaré. « Si vous êtes un avocat en cybersécurité, c’est une manne du ciel. »
Lorsqu’on lui a demandé s’il était juste de rendre les éditeurs de logiciels responsables devant les tribunaux des dommages causés par les cyberattaques, l’association professionnelle BSA – The Software Alliance a déclaré dans un communiqué: «La cybersécurité évolue constamment et inciter les entreprises à utiliser les meilleures pratiques en matière de conception et de développement de logiciels sécurisés serait profiter à l’ensemble de l’écosystème.
Le groupe, dont les membres comprennent Microsoft, Adobe, SAP, Oracle et Zoom, a ajouté : « Nous sommes impatients de travailler avec l’administration et le Congrès sur toute proposition de législation visant à promouvoir les meilleures pratiques ». Amoroso a déclaré qu’il aimait les aspects positifs de la stratégie tels que la sécurisation des technologies d’énergie propre et le renforcement de la main-d’œuvre en cybersécurité, actuellement à court de 700 000 travailleurs à l’échelle nationale.
Le document appelle également à des efforts plus agressifs pour prévenir les cyberattaques en s’appuyant sur des outils militaires, d’application de la loi et diplomatiques ainsi que sur l’aide du secteur privé. De telles opérations offensives, dit-il, doivent avoir lieu avec « une plus grande vitesse, échelle et fréquence ».
La perturbation de la cyberactivité hostile par la « défense en avant » est déjà en cours.
Le FBI et le US Cyber Command engagent désormais régulièrement des cybercriminels et des pirates informatiques soutenus par l’État dans le cyberespace, travaillant avec des partenaires étrangers pour contrecarrer les opérations de ransomware et l’ingérence électorale en 2018 et 2020. Le gouvernement a déjà considéré les ransomware comme une menace pour la sécurité nationale et le document indique qu’il le fera. continuer à utiliser des méthodes telles que « pirater les pirates » pour le combattre.
La journaliste AP Rebecca Santana a contribué à ce rapport.