Le gouvernement fédéral prend des mesures pour renforcer la sécurité nationale critique

Le gouvernement fédéral prend des mesures pour renforcer la sécurité nationale essentielle

Par Danny Bradbury • 23 juillet 2024

L'attaque du Colonial Pipeline en 2021 a marqué un tournant pour les infrastructures critiques aux États-Unis. Lorsqu'une attaque par ransomware contre le réseau administratif d'un opérateur de pipeline s'est métastasée en une flambée des prix de l'essence sur la côte Est ; vous feriez mieux de croire que les décideurs politiques regardaient. La course était lancée pour protéger les infrastructures nationales critiques (CNI), l’épine dorsale des services des secteurs privé et public qui assurent le fonctionnement du pays.

Le gouvernement a décidé de renforcer la protection au niveau fédéral, ce qui a conduit à une stratégie comprenant des mises à jour réglementaires, l'activation complète des autorisations inutilisées et des mécanismes volontaires pour aider à renforcer le CNI contre les attaques. Par exemple, le Département de la Sécurité intérieure (DHS) directives publiées pour renforcer la sécurité des pipelines. La loi sur l'investissement dans les infrastructures et l'emploi de novembre 2021 a prévu un financement substantiel pour les projets CNI au niveau local. Le Loi de 2022 sur le signalement des cyberincidents pour les infrastructures critiques (CIRCIA)a rendu obligatoire le signalement des incidents par le CNI.

En avril 2024, près de trois ans après l’attaque coloniale, le président Biden a donné suite à de tels efforts avec le Mémorandum sur la sécurité nationale (NSM-22) sur la sécurité et la résilience des infrastructures critiques, qui expose plus en détail les plans de l'administration pour protéger la CNI. Ce document remplace son prédécesseur, la directive politique présidentielle de l'ère Obama sur la sécurité et la résilience des infrastructures critiques (PD-21). Cependant, il conserve de nombreux concepts du PPD-21, notamment la désignation de 16 secteurs d'infrastructures nationales critiques allant des produits chimiques aux barrages et aux services financiers.

Le NSM-22 impose des exigences minimales en matière de sécurité et de résilience dans tous les secteurs d’infrastructures critiques. Il place le Département de la sécurité intérieure (DHS) aux commandes pour diriger les efforts du gouvernement visant à protéger le CNI, en nommant son Agence de cybersécurité et de sécurité des infrastructures (CISA) coordonnateur national pour la sécurité et la résilience. Dans le cadre de cette stratégie, le secrétaire à la Sécurité intérieure doit soumettre au président un plan national biennal de gestion des risques.

Les orientations de juin représentent le plan de l'EDS pour ce premier cycle biennal. Le secrétaire à la Sécurité intérieure, Alejandro N. Mayorkas, a présenté les orientations stratégiques et les priorités nationales pour les deux prochaines années en matière de sécurité et de résilience des infrastructures critiques.

Les nouvelles orientations se concentrent sur cinq domaines clés, dont seuls certains ont été mentionnés de manière tangentielle dans le NSM-22 :

Faire face aux cybermenaces et autres menaces posées par la République populaire de Chine

Gérer les risques et les opportunités présentés par l’intelligence artificielle et d’autres technologies émergentes

Identifier et atténuer les vulnérabilités de la chaîne d’approvisionnement

Intégrer les risques climatiques dans les efforts de résilience du secteur

Répondre à la dépendance croissante des infrastructures critiques vis-à-vis des systèmes et des actifs spatiaux

Ces domaines correspondent aux préoccupations croissantes concernant les menaces pesant sur le CNI au sein du gouvernement fédéral. Par exemple, en janvier, le directeur du FBI Christopher Wray a témoigné de Le Comité spécial de la Chambre des représentants sur le Parti communiste chinois a déclaré que la Chine se positionnait pour « faire des ravages » au sein du CNI américain.

Les lignes directrices du DHS adoptent une approche collaborative. Le DHS fait appel aux agences responsables de ces secteurs pour aider à prendre des mesures de protection dans ces zones. Cela impliquera également des agences fédérales, des propriétaires et des exploitants d’infrastructures critiques, ainsi que d’autres parties prenantes du gouvernement et du secteur privé.

Ces mesures de protection n’abordent pas les menaces spécifiques provenant de technologies telles que l’IA. Ils reflètent plutôt ceux décrits dans le NSM-22 en vue d’activer les parties prenantes. La première consiste à renforcer la résilience en créant une infrastructure capable de se remettre rapidement des attaques. Cela reconnaît que le simple renforcement de l’infrastructure pour stopper les attaques ne suffit pas ; les opérateurs doivent partir du principe que certaines attaques réussiront.

Les mesures de résilience vous incluentcomprendre les dépendances du système et anticiper les effets en cascade potentiels des attaques. Les orientations appellent également à une analyse intersectorielle des faiblesses systémiques, soulignant qu’il existe des ressources clés dont dépendent de nombreux secteurs. L’énergie en est un excellent exemple, car elle répond aux besoins de tous les autres secteurs. Le NSM-22 avait déjà demandé à la CISA de créer une liste d’entités d’importance systémique – des dominos qui, s’ils étaient renversés, pourraient également en faire tomber d’autres.

L'agence de chaque secteur doit établir exigences de base obligatoires en matière de résilience, idéalement en utilisant les directives et normes gouvernementales existantes. C’est un point que le Center for Cybersecurity Policy and Law a souligné : « il reconnaît que les approches volontaires en matière de sécurité et de résilience n’ont pas été suffisamment efficaces et que des exigences minimales obligatoires sont nécessaires », déclare Ari Schwartz, coordinateur du CCPL.

Un défi majeur ici sera de faire respecter ces exigences dans l’ensemble du secteur public. Les orientations suggèrent que les agences utilisent une combinaison de pouvoirs d’octroi de subventions et de passation de marchés pour faire respecter ces mesures de base. Cela impliquera également de travailler avec les fournisseurs de services (le guide fait spécifiquement référence aux fournisseurs de cloud) pour garantir que leurs services sont sécurisés dès leur conception.

Les réactions d’au moins certains secteurs aux récentes mesures de protection du CNI ont été prudemment optimistes. Par exemple, lorsque la Maison Blanche a publié le NSM-22, l'Association of State Drinking Water Administrators (ASDWA)répondu: « Bien qu'il ne soit pas clair comment le nouveau NSM aura un impact direct sur les efforts en cours pour accroître la résilience dans le secteur de l'eau et des eaux usées, l'ASDWA continue de collaborer avec l'EPA et les partenaires du secteur pour soutenir les activités étatiques et fédérales visant à faire face à tous les risques, y compris les efforts les plus récents. créer un groupe de travail sur la cybersécurité pour l’eau afin de faire face aux cybermenaces croissantes qui pèsent sur le secteur.

Les directives du DHS n'ont pas ajouté grand-chose au mémorandum existant, si ce n'est la clarification de domaines d'intervention spécifiques qui ont été beaucoup discutés dans divers décrets et stratégies de cybersécurité. Cependant, ce n’est pas le seul document publié par la CISA sur la résilience des infrastructures. En mars 2024, il a publié un Cadre de planification de la résilience des infrastructures (IRPF) pour aider les parties prenantes à planifier une infrastructure plus robuste et plus résiliente aux attaques. Il a récemment publié un livre de jeu pour accompagner ce cadre. Des travaux de ce type visant à renforcer la résilience opérationnelle sont en cours et aboutiront à un plan national de protection des infrastructures d’ici 2025. Cela remplacera un plan de 2013 pour refléter les objectifs de résilience CNI actualisés du gouvernement. Il est bon de savoir que CISA a les yeux rivés sur le prix.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury

Le gouvernement fédéral prend des mesures pour renforcer la sécurité nationale essentielle

Danny Bradbury

Articles connexes

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

De la sécurité périmétrique à la sécurité de l'identité

La vie après l'échéance : transformer la conformité DORA en stabilité opérationnelle

Lire la suite de Danny Bradbury

De la sécurité périmétrique à la sécurité de l'identité

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée