Analyse de la stratégie nationale de cybersécurité de Biden

Déballage de la stratégie nationale de cybersécurité de Biden

Par Danny Bradbury • 2 mars 2023

Les enjeux de cybersécurité sont plus élevés que jamais. La société est si profondément connectée et dépendante de la technologie numérique qu’une attaque suffisamment grave pourrait paralyser des fonctions critiques. Le gouvernement américain est conscient de la menace et prépare ce qui promet d’être le document stratégique de cybersécurité le plus agressif jamais conçu. Appelée Stratégie nationale de cybersécurité (NCS), elle est encore secrète au moment de la rédaction de cet article, mais ceux qui l'ont vu promettent qu’il renforcera les capacités américaines en matière de cybersécurité. Voici ce que nous savons et à quoi nous attendre.

Une histoire de politique de cybersécurité douce

Jusqu’à l’administration actuelle, la Maison Blanche adoptait une approche relativement légère pour sécuriser les infrastructures nationales critiques (CNI). Cette catégorie d'infrastructures, considérée comme essentielle au fonctionnement de la société, est complète et comprend 16 secteurs allant de la nourriture à la finance.

Les efforts passés pour protéger le CNI ressemblent beaucoup à ce segment de l’économie lui-même : fragmentés et incohérents. Les administrations précédentes ont publié des lignes directrices volontaires en matière de cybersécurité pour les secteurs CNI, laissant aux régulateurs le soin d’élaborer et d’appliquer des contrôles de cybersécurité plus robustes.

Certains de ces contrôles ont été plus efficaces que d’autres et ont souvent été imposés au niveau des États. Par exemple, le Département des services financiers de New York (NYDFS) a publié la réglementation Part 500, entrée en vigueur en 2017, et a adopté une approche agressive en matière d'application de la cybersécurité. La SEC a également renforcé les contrôles de cybersécurité.

Pourtant, d’autres secteurs ont été moins agressifs. Les services municipaux de l’eau manquent souvent d’expertise en matière de cybersécurité. Les entreprises d’autres secteurs considérés comme faisant partie du CNI ont souvent des priorités concurrentes, comme le maintien de leurs performances financières trimestrielles.

Même avant l’attaque de ransomware de mai 2021 contre Colonial Pipeline qui a fait monter en flèche les prix de l’essence dans l’est des États-Unis, l’administration Biden avait déjà évolué vers une approche plus cohérente et plus pratique de la sécurité du CNI. En avril 2021, il a lancé une révision secteur par secteur et un durcissement du CNI avec un plan de 100 jours visant à accroître la sécurité parmi les populations. services publics d'électricité.

En juillet de la même année, le président a poursuivi en signant le mémorandum de sécurité nationale sur l'amélioration de la cybersécurité des systèmes de contrôle des infrastructures critiques, s'engageant à assurer la protection de la cybersécurité dans une gamme de secteurs du CNI. Le gouvernement émis des exigences substantielles en matière de cybersécurité pour les exploitants d’oléoducs et de gazoducs en mai et juillet, annoncé le Plan d’action pour le secteur de l’eau en janvier 2022, et a ciblé gravure et découpe secteur avec un plan différent en octobre dernier.

Ces mesures étaient plus agressives que les tentatives des administrations précédentes. Il a imposé des mesures obligatoires, telles que l'exigence de plans de réponse aux incidents. Le pouvoir exécutif a également travaillé avec le Congrès pour créer le Loi sur le signalement des incidents cybernétiques pour les infrastructures critiques, qui imposera à terme une fenêtre de notification de cyberattaque de 72 heures pour les opérateurs CNI.

Ceux qui ont vu le document stratégique pensent qu'il unifiera cette approche, en prenant de nouvelles mesures pour obliger les entreprises des secteurs CNI à renforcer leurs défenses. Le document appellera à transférer la responsabilité aux entreprises qui ne mettent pas en œuvre les mesures appropriées.

Plus de monsieur gentil

Le document stratégique ne se contente pas de perfectionner les mesures défensives ; il tourne également son attention vers l’extérieur. Il comprend des mesures explicites pour cibler les acteurs malveillants, disent ceux qui sont au courant.

Le gouvernement américain est devenu de plus en plus belliciste dans son ciblage des acteurs menaçants dans le cyberespace. L’administration Obama a gardé un contrôle strict sur les cyberactivités offensives, exigeant une autorisation présidentielle explicite pour s’en prendre aux ennemis des États-Unis en ligne. L’administration Trump a levé le pied sur le frein en 2018, émission Mémorandum présidentiel sur la sécurité nationale n° 13, qui a donné au Pentagone plus d'autonomie dans le lancement de cyberopérations offensives.

Dans un premier temps, la Maison Blanche Biden a étudié si elle devait abroger certaines mesures de Trump. Cependant, des rapports suggèrent que la stratégie nationale de cybersécurité les amènera encore plus loin.

« Notre objectif est de rendre les acteurs malveillants incapables de lancer des campagnes cybernétiques soutenues qui menaceraient la sécurité nationale ou la sécurité publique des États-Unis », indique le document dans une section de cinq pages intitulée « Perturber et démanteler les activités menaçantes ». Il indique également que le groupe de travail national conjoint d'enquête sur la cybersécurité du FBI travaillera avec d'autres agences pour interférer avec les réseaux des attaquants et, à terme, les détruire.

Appliquer ce qui s'en vient

Le gouvernement ferait également appel à des entreprises privées comme partenaires dans la lutte contre les attaquants, partageant avec elles des informations sur les schémas d'attaque. Ces partenariats, ainsi que les mesures d'application que nous verrons probablement dans le NCS, soulèvent une question : dans quelle mesure le pouvoir exécutif sera-t-il en mesure de faire respecter cela ?

Le document le plus novateur du gouvernement avant celui-ci, celui de mai 2021 Décret exécutif sur l'amélioration de la cybersécurité de la nation, avait une portée plus limitée car les décrets ne s’appliquaient qu’aux agences fédérales. Toute pression exercée sur le secteur privé était indirecte, via l'imposition de contrôles de cybersécurité dans les politiques fédérales d'approvisionnement qui exigeraient la conformité des fournisseurs.

Le nouveau document stratégique s’appliquera à un grand nombre d’entreprises privées traditionnellement prudentes à l’égard des réglementations gouvernementales en matière de cybersécurité. Par exemple, le partage d’informations a été un point controversé dans le passé. Les entreprises s’inquiètent de leur responsabilité juridique si elles divulguent au gouvernement l’étendue et la portée de leurs attaques.

Certains des secteurs inclus dans le CNI pourraient être juridiquement difficiles à réglementer pour la Maison Blanche. Il aura besoin de l’aide d’agences et d’un Congrès profondément divisé et dysfonctionnel, ce qui s’avérera problématique pour faire adopter des lois sensées. Nous en saurons plus lorsque le document tombera, ce qui devrait être très prochainement.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 5er Février 2026.

Pourquoi les régulateurs et les investisseurs attendent des entreprises qu'elles prennent en compte le triple risque (blog)

Pourquoi les organismes de réglementation et les investisseurs attendent des entreprises qu'elles prennent en compte un triple risque

Les organisations s'inquiètent des risques liés à la sécurité et à la confidentialité. Plus récemment, elles se sont intéressées aux risques liés à l'IA. Mais à quelle fréquence pensent-elles à tous les aspects…

Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury