Évaluation du changement de cap de l'administration Trump en matière de politique de cybersécurité américaine

Les récentes décisions de l'exécutif et les restructurations des agences marquent un changement important dans la stratégie fédérale en matière de cybersécurité, soulevant des questions sur la résilience nationale et la préparation du secteur privé.

Il est rare de voir un gouvernement démanteler délibérément des avancées raisonnables réalisées par son prédécesseur, mais l'administration Trump réserve bien des surprises. Non seulement elle semble avoir freiné les activités dans plusieurs domaines de la cybersécurité au moment précis où elle devrait accélérer le mouvement, mais dans certains cas, elle fait tout son possible pour revenir en arrière.

Cela n'apparaît nulle part plus clairement que dans le dernier rapport de la Cyber ​​Solarium Commission (CSC) – ou plutôt de la CSC 2.0. La Commission a été initialement créée dans le cadre de la loi d'autorisation de la défense de 2019, afin de développer une approche stratégique des défenses contre les cyberattaques importantes contre les États-Unis. Après sa dissolution en 2021, elle a été ressuscitée en tant qu'organisation à but non lucratif au sein du Centre sur les innovations cybernétiques et technologiques (CCTI) de la Fondation pour la défense des démocraties (FDD).

Le cinquième rapport annuel du CSC révèle un net recul des États-Unis en matière de cybersécurité. L'année dernière, le rapport indiquait que 48 % des recommandations du CSC avaient été mises en œuvre. Cette année, ce taux a chuté de 48 % à 35 %. Près d'un quart des recommandations initialement prévues pour 2024 n'ont plus été pleinement appliquées suite aux réformes profondes entreprises par l'administration actuelle.

L'un des cinq domaines que le rapport recommande au pays d'aborder pour se remettre sur les rails est la crise des effectifs à la CISA. L'administration Trump a réduit les effectifs de la CISA d'un tiers en début d'année, les faisant passer de 3 300 à 2 200 personnes.

Avancer vite et casser des choses intentionnellement

L'administration Trump a mis en œuvre des changements si rapides qu'il est difficile de suivre le rythme, mais voici quelques points clés. Dès son investiture, l'équipe du président a mis fin à toutes les affiliations aux comités consultatifs du DHS, ce qui a de facto dissous le Conseil d'examen de la cybersécurité chargé d'enquêter sur les attaques Salt Typhoon.

Ensuite, Trump tiré Le chef du Cyber ​​Command américain, Timothy D. Haugh, a été limogé en avril suite aux pressions exercées par l'activiste d'extrême droite Laura Loomer.

Des changements encore plus importants sont survenus en juin avec le décret présidentiel de Trump intitulé « Maintien de certains efforts pour renforcer la cybersécurité nationale et modification des décrets présidentiels 13694 et 14144 », qui a annulé de nombreuses mesures de cybersécurité de l'ère Biden.

Ce décret a drastiquement affaibli les politiques de sécurité de l'IA, supprimé les exigences d'attestation de sécurité logicielle pour les fournisseurs de logiciels fédéraux (y compris la nomenclature des composants logiciels, ou SBOM), et freiné l'adoption de l'identité numérique pour l'accès aux prestations fédérales. Il a justifié cette dernière mesure en affirmant qu'elle « risquait d'entraîner des abus généralisés en permettant aux immigrants illégaux d'accéder indûment aux prestations sociales ».

La cyberdiplomatie (un pilier stratégique essentiel de l'administration Biden) a également été durement touchée. En juillet, le Département d'État a de facto dissous le Bureau de la cyberdiplomatie (CDP), créé trois ans auparavant, en limogeant des membres clés de son personnel, dont cinq des huit personnes chargées des affaires bilatérales et régionales, et en réaffectant son directeur. Le CDP sera démantelé et ses différentes composantes transférées à d'autres services du Département d'État. Selon les rapports,Le nouveau gouvernement a également suspendu une loi de la FCC sur la sécurité de l'Internet des objets (IoT) qui devait entrer en vigueur en janvier 2025.

Trump a particulièrement drastiquement réduit les financements alloués à la gouvernance des élections et à la lutte contre la désinformation. Il a notamment supprimé les fonds destinés au Centre d'analyse et de partage d'informations sur l'infrastructure électorale (EI-ISAC), et un décret intitulé « Rétablir la liberté d'expression et mettre fin à la censure fédérale » a réduit les financements alloués à la recherche sur les ingérences étrangères malveillantes.

L'administration a également dissous le Groupe de travail du FBI sur l'influence étrangère et le Centre d'engagement mondial, qui se consacrait à la lutte contre les campagnes de désinformation anti-américaines. Elle interdit désormais aux États d'utiliser des fonds pour acquérir des services auprès du Centre d'analyse et de partage d'informations multi-États et a supprimé le financement de cette initiative au motif qu'elle censure la liberté d'expression.

La procureure générale Pam Bondi a également relégué au second plan l'application de la loi sur l'enregistrement des agents étrangers (FARA) et a démantelé le groupe de travail sur l'influence étrangère du ministère de la Justice ainsi que l'unité de lutte contre la criminalité des entreprises de la division de la sécurité nationale. Cela ouvre la voie à des opérations de piratage et de fuite de données menées par des étrangers, ainsi qu'à des fermes à trolls. Et le ministère de la Justice Projet KleptoCapture abandonné, une initiative de l'ère Biden visant à saisir les avoirs des oligarques russes susceptibles de servir à financer des campagnes d'influence étrangères.

Ces mesures ont réduit la capacité du gouvernement à aider les entreprises du secteur privé au moment où elles en ont le plus besoin. En avril, Checkpoint Software a été impliquée dans une affaire. record Une augmentation de 47 % des cyberattaques est prévue pour le premier trimestre 2025, avec une moyenne de 1 1,925 attaques hebdomadaires par organisation, ainsi qu'une hausse de 126 % des attaques par rançongiciel. (CrowdStrike) enregistré une augmentation allant jusqu'à 300 % des attaques chinoises contre des secteurs industriels ciblés.

La norme ISO 27001 comme référence en matière de résilience

La planification de la résilience est d'autant plus importante compte tenu du revirement du gouvernement sur certaines politiques de cybersécurité. L'absence de directives gouvernementales rend d'autant plus crucial le respect des normes établies par les entreprises.

Dans certains cas, cela signifiera respecter l'esprit de réglementations gouvernementales plus strictes qui ont été assouplies. Des normes telles que ISO 27001 sont également des outils précieux pour les entreprises souhaitant acquérir de solides bases en matière de bonnes pratiques de sécurité de l'information. En particulier, la norme ISO 27001:2022 définit : Annexe A 5.29 – Sécurité de l’information en cas de perturbation, pour garantir la sécurité de l’information en période de perturbation.

Pour que tout cela fonctionne, les dirigeants d'entreprise doivent adhérer pleinement au projet et assumer la responsabilité des mesures de sécurité de l'information. Il leur incombe de garantir une structure adéquate pour se préparer aux perturbations, y réagir et en atténuer les effets. Il n'est peut-être pas encore approprié d'affirmer que « personne ne viendra vous sauver », mais s'il y a jamais eu un moment plus propice pour lever le pont-levis, c'est bien maintenant.