Après plusieurs mois de discussions « entre plus de 20 agences gouvernementales » et des consultations avec « les entreprises du secteur privé », la Maison Blanche a dévoilé hier sa stratégie nationale de cybersécurité. Plusieurs points sont à retenir, notamment un rééquilibrage de la responsabilité du risque sur les éditeurs, mais aussi des exigences minimales obligatoires en termes de sécurité pour les secteurs critiques. En tout, la stratégie se décline autour de 5 piliers.

Renforcer la sécurité des activités critiques

Sur les acteurs d’infrastructures critiques, l’administration américaine veut intensifier la réglementation. « L'absence d'exigences obligatoires a entraîné des résultats inadéquats et incohérents », souligne le document. Il ajoute que « le marché actuel ne récompense pas suffisamment - et désavantage souvent - les propriétaires et exploitants d'infrastructures critiques qui investissent dans des mesures proactives pour prévenir ou atténuer les effets des cyberincidents ».

Le gouvernement fédéral va donc fixer des contraintes minimales de cybersécurité (y compris en légiférant si besoin) pour ces acteurs en basant notamment sur le cadre du NIST. Cette approche n’est pas sans rappelée celle adoptée en France il y a quelques années par la LPM (loi de programmation militaire) sur la sécurisation des OIV (opérateurs d’importante vitale) ou plus récemment l’évolution de la directive européenne NIS et les OSE (opérateurs de services essentiels).

La responsabilité des éditeurs à la barre

En début de semaine, la dirigeante du CISA, Jen Easterly avait préparé le terrain lors d’une conférence à l’université Carnegie Mellon en indiquant que « les fournisseurs de technologie doivent donner la priorité à la sécurité de leurs produits par rapport à d'autres incitations telles que le coût, les fonctionnalités et la rapidité de mise sur le marché ». Et de suggérer que « le gouvernement tienne les entreprises responsables de la vente de produits vulnérables que les criminels et les États-nations exploitent ensuite dans des cyberattaques ». Et c’est bien cette position que la stratégie nationale entérine.

« Trop de fournisseurs ignorent les meilleures pratiques en matière de développement sécurisé, livrent des produits avec des configurations par défaut non sécurisées ou des vulnérabilités connues, et intègrent des logiciels tiers de provenance inconnue ou non vérifiée », peut-on lire dans le document. L’administration propose donc de transférer la responsabilité des particuliers et entreprises vers les éditeurs. Pour atteindre cet objectif, l'administration travaillera avec le Congrès et le secteur privé pour créer un cadre de sphère de sécurité afin de protéger de toute responsabilité les entreprises qui développent et entretiennent leurs produits de manière sécurisée. Cette sphère de sécurité s'inspirera du cadre de développement de logiciels sécurisés du NIST et d'autres travaux. Par ailleurs, le gouvernement américain va encourager la divulgation coordonnée des vulnérabilités, faire progresser l’inventaire logiciels (SBOM, Software Bill of Materials) au sein des entreprises et mettra au point un processus d’identification et d’atténuation des risques dans les logiciels non supportés.

Investir dans la résilience et les compétences

Le 4ème pilier met l’accent sur les investissements du gouvernement fédéral dans différentes initiatives nationales, mais aussi dans la collaboration avec d’autres pays pour optimiser les technologies en cybersécurité. Cette partie de la stratégie met également en exergue les problèmes de compétences et de diversité parmi les professionnels de la sécurité. Les autorités veulent installer un programme dédié de formation et de recrutement dans ce domaine.

Toujours dans ce pilier, l’administration Biden s’engage dans un effort de « nettoyage » sur les problèmes qui affectent les technologies fondamentales de l’Internet. C’est le cas notamment de BGP, les requêtes non chiffrées des DNS et l’adoption trop lente d’IPv6. D'autres efforts s’orientent notamment vers des solutions robustes d'identité numérique.

Renforcer la collaboration public-privé

Le dernier pilier de la stratégie nationale vise à réunir les secteurs public et privé afin d'obtenir une meilleure visibilité de l'activité des adversaires. Les partenaires du secteur privé sont encouragés à travailler avec le gouvernement fédéral par l'intermédiaire d'une ou de plusieurs organisations à but non lucratif, telles que la National Cyber-Forensics and Training Alliance, et d'autres pour une collaboration opérationnelle.

Dans le même temps, l’administration veut collaborer avec les fournisseurs cloud et d’autres sociétés afin d'identifier plus rapidement les utilisations malveillantes des infrastructures basées aux États-Unis. Enfin, le gouvernement veut amplifier la lutte contre les ransomwares au niveau international.