Dans un document, intitulé « Stratégie de Défense dans le Cyberespace », le Pentagone fait l'éloge des bonnes pratiques du secteur de l'industrie, notamment sa promotion d'une informatique sûre auprès des utilisateurs, sa manière « saine » de concevoir et de sécuriser les réseaux, et appelle clairement à s'inspirer des pratiques du secteur privé pour la sécurisation de ses réseaux. « Le ministère de la Défense va intégrer les objectifs de renouvellement continu en oeuvre dans le secteur privé, en vue de renforcer ses propres dispositifs informatiques et maintenir de bonnes pratiques dans le domaine de la cyber sécurité, » insiste ainsi le document. « Ces pratiques saines doivent être appliquées par tous, à tout moment. Car, c'est aussi important de mobiliser les individus pour qu'ils se protègent eux-mêmes, que de maintenir des logiciels de sécurité et des systèmes d'exploitation à jour. »

Cette initiative s'inspire de modalités en cours dans le secteur privé pour atteindre certains objectifs. Par exemple, le Ministère de la Défense américain invite les FAI à collaborer avec le gouvernement pour l'aider à atténuer les risques pouvant affecter les réseaux militaires. Il appelle à une coopération avec le secteur privé pour renforcer les chaînes d'approvisionnement et minimiser les risques que représentent certains produits et services achetés à des entreprises situées hors des États-Unis. Ou encore, à se protéger contre « les produits contrefaits qui présentent également un risque qu'il faut limiter, » comme l'indique le document du Departement of Defense (DoD) américain.

Raccourcir le déploiement des programmes

L'armée va notamment raccourcir le cycle de vie de ses infrastructures réseau, et se mettre au rythme des pratiques communément en cours dans le secteur privé - 12 à 36 mois, contre à sept ou huit ans actuellement. « Pour reproduire le dynamisme du secteur privé et mieux profiter, des concepts informatiques émergents, les processus d'acquisition du DoD en matière de technologie de l'information, adoptera cinq principes, » préconise le document. À savoir : faire correspondre le processus d'acquisition avec les cycles de développement de la technologie ; préférer le test et le développement par étape, plutôt que de déployer des systèmes monolithiques ; donner la priorité à la rapidité du déploiement plutôt qu'à une certaine personnalisation ; imposer différents niveaux de surveillance pour les systèmes critiques ; effectuer une évaluation approfondie de la sécurité de tous les nouveaux systèmes, notamment, ne laisser aucune porte dérobée ouverte, et n'activer aucun module en cours de test.

Mais le Pentagone ne se contente pas de se caler sur les pratiques des entreprises. Sa stratégie comporte quelques initiatives dont le secteur privé pourrait s'inspirer. Mais elles sont souvent trop vagues, et ne définissent pas de modalités suffisamment claires qui serviraient de base ou d'exemple. Le document évoque l'établissement d'une culture de la sécurité à travers la formation et demande des sanctions plus strictes pour les actions malveillantes ; ou encore, il préconise l'utilisation d'un cloud sécurisé, sans dire comment le DoD compte sécuriser ses ressources dans le cloud, un défi auquel sont confrontés en permanence les responsables de la sécurité dans les entreprises. Ou bien, développer des architectures plus sûres et instaurer plus de modalités dans le fonctionnement, d'autres pistes pour lesquelles le document ne donne pas davantage de détails.