La stratégie américaine de cybersécurité fait monter la barre contre les attaquants

Peu de temps après avoir publié notre avant-première de la stratégie nationale américaine de cybersécurité (NCS), le gouvernement a dévoilé le document final. Il contenait un langage plus fort que jamais, appelant les entreprises des États-Unis à renforcer leur cybersécurité et démontrait également une réflexion perspicace conçue pour résoudre certains problèmes de cybersécurité à long terme dans le pays et à l'étranger.

Un accent sur les infrastructures critiques

La stratégie aborde les défis de sécurité à travers cinq piliers, dont le premier est la défense des infrastructures critiques. Il faut adopter une approche de la carotte et du bâton pour relever ce défi. D’un côté, il prône une réglementation plus stricte qui rendra les entreprises plus responsables en matière de cybersécurité. Cependant, il reconnaît que certains secteurs manquent de ressources par rapport à d’autres et appelle les régulateurs à prendre en compte le niveau de ressources disponibles lors de l’élaboration de nouvelles règles en matière de cybersécurité.

Le document associe ce bâton réglementaire à des incitations pour de bonnes décisions à long terme en matière de cybersécurité. Ces incitations proviendront de mécanismes tels que la tarification et les structures fiscales, indique-t-il.

Tenir les fournisseurs et opérateurs de technologie responsables

Un autre pilier de la NCS, celui de façonner les forces du marché pour soutenir la cybersécurité, annonce également un changement d’orientation. Il transfère la responsabilité de ce qu’il appelle les acteurs les plus vulnérables de l’écosystème (utilisateurs de technologie) aux fournisseurs et opérateurs qui fournissent la technologie. Tenir ces derniers plus responsables est un principe fondamental de la Stratégie.

Ces opérateurs comprennent des fournisseurs de services cloud (CSP), qui jouent un rôle de plus en plus important dans l'écosystème technologique. La même semaine où le NCS a été abandonné, le directeur national de la cybersécurité par intérim, Kemba Walden appelé le cloud « trop gros pour échouer ». Les services cloud sont également suffisamment locaux pour que les attaquants puissent les exploiter. Les adversaires étrangers utilisent fréquemment leur infrastructure pour mener des attaques, ce qui rend difficile le géoblocage et d’autres mesures de protection.

Dans cette optique, la NCS appelle les CSP à assumer davantage de responsabilités dans l’évaluation et l’atténuation des risques pesant sur leurs systèmes. Il cite Executive Order 13984, « Prendre des mesures supplémentaires pour faire face à l'urgence nationale concernant d'importantes activités cybernétiques malveillantes ». Ce document de l’ère Trump appelait à une meilleure identification des clients parmi les CSP, mais n’a pas été appliqué jusqu’à présent.

Cette nouvelle focalisation sur la responsabilité s'étend à ceux qui manipulent les données et créent des logiciels pour les gérer. La Maison Blanche souhaite une législation qui « fixera des exigences nationales pour sécuriser les données personnelles conformément aux normes et directives élaborées par le NIST ». Il s’agit de l’indication la plus claire à ce jour du désir d’une législation fédérale solide sur la confidentialité et la sécurité des données protégeant les consommateurs plutôt que d’une mosaïque de lois au niveau des États.

Le NCS appelle également à une législation couvrant les éditeurs de logiciels, qui, selon lui, évite toute responsabilité pour les logiciels non sécurisés dans leurs accords de licence. Ces lois imposeraient la responsabilité aux éditeurs de logiciels qui ne se conforment pas aux normes de sécurité logicielle déjà établies par des organismes comme le NIST. Cependant, il y aurait un accord de sphère de sécurité pour ceux qui le feraient.

Passer à l'offensive

La défense des réseaux nationaux et des consommateurs constitue un volet de cette stratégie. Un autre pilier, Disrupt and Dismantle Threat Actors, recommande davantage d'agressivité dans la destruction des systèmes des attaquants.

Cette approche cible l’ensemble de l’écosystème criminel, et pas seulement les botnets des attaquants. Le gouvernement contrecarrera les attaquants de ransomwares en tentant de rendre leurs activités illicites moins rentables. Cela signifie continuer à cibler les bourses de cryptomonnaies sur lesquelles ils encaissent, par exemple. Le Trésor a déjà sanctionné plusieurs de ces systèmes, ce qui articule et renforce donc une tendance existante, comme beaucoup d’autres parties de la stratégie.

L'armée jouera un rôle plus important dans cette attaque contre les écosystèmes des attaquants, en créant une nouvelle stratégie visant à travailler plus étroitement avec les agences civiles pour cibler les acteurs malveillants. Les entreprises privées joueront également un rôle important. Le gouvernement a déjà travaillé avec des organisations comme Microsoft pour supprimer les réseaux malveillants. Pourtant, il augmente désormais la mise, en enrôlant ouvertement les entreprises dans sa campagne visant à éliminer les attaquants. Il leur conseille de former des « cellules agiles et temporaires » pour des opérations ciblées, travaillant via une série d’organisations centrales à but non lucratif axées sur la cybersécurité et représentant une interface avec le gouvernement fédéral.

Les mains à travers l’océan

Une partie de cette stratégie offensive implique une collaboration internationale, étant donné que de nombreux acteurs malveillants se trouvent à l’étranger. Le document consacre un pilier entier à cette stratégie, qui se poursuit. La Maison Blanche déjà formé la Counter-Ransomware Initiative (CRI) pour lutter contre les ransomwares en octobre 2021.

Le problème est que la Russie, qui est un refuge pour les groupes de ransomwares, n'est pas membre de cette initiative. C’est un pays, avec la Chine, la Corée du Nord et l’Iran, que la Stratégie qualifie de menace étrangère. Pour contrer ces adversaires dans le cyberespace, le NCS promet d’exercer une pression diplomatique internationale, en travaillant « avec nos alliés et partenaires pour associer les déclarations de condamnation à l’imposition de conséquences significatives ».

Réflexion à plus long terme

Plutôt qu’une réaction instinctive aux cybermenaces, la NCS contient une réflexion à plus long terme. Un exemple est la discussion sur un éventuel filet de sécurité en matière de cyberassurance pour couvrir le type de cyber-événement catastrophique proposé par le Forum économique mondial. dit arrive. Il s’agit d’une réaction aux tensions croissantes entre les assureurs et les clients concernant la hausse du coût des cyberincidents.

D’autres actions à plus long terme relèvent d’un pilier distinct appelé Investir dans un avenir résilient. Il s’agit notamment d’une nouvelle stratégie nationale en matière de cybersécurité et d’éducation pour compenser le manque de compétences en matière de cybersécurité aux États-Unis et d’une initiative visant à créer de meilleures solutions d’identité numérique, luttant ainsi contre la pandémie actuelle de vol d’identité. Ce pilier appelle également à sécuriser les chaînes d’approvisionnement numériques et à anticiper un monde post-quantique, en appelant à des solutions capables de connecter les données lorsque les ordinateurs quantiques menacent les méthodes cryptographiques existantes.

Ce document stratégique constitue un effort louable pour réfléchir intelligemment aux problèmes d'aujourd'hui tout en gardant un œil attentif sur ceux de demain. Le problème, comme toujours, c'est l'exécution. Le pouvoir exécutif ne peut pas faire grand-chose à lui seul pour réaliser ces ambitions. Le NCS admet qu’il compte sur le pouvoir législatif pour faire adopter bon nombre de ces changements.