En l’espace de quelques mois, les États-Unis ont été victimes de trois grandes attaques. Des hackers présumés russes se sont appuyés sur l’infrastructure de mise à jour de l’éditeur SolarWinds pour infecter des milliers d’organisations et pirater les agences fédérales. Puis, des hackers présumés chinois ont exploité des failles dans Microsoft Exchange pour voler des données dans des entreprises américaines. Enfin, des cybercriminels ont lancé un ransomware sur Colonial Pipeline, un important opérateur d’oléoducs, provoquant un chaos dans l’approvisionnement d’hydrocarbures dans l’Est et le Sud des États-Unis.
Pour parer ce genre d’attaques à l’avenir, le président Biden vient de signer un décret (Executive Order), dont le but est d’augmenter le niveau de cybersécurité des agences fédérales.
Sur le plan technique, celles-ci devront ainsi adopter l’authentification multifactorielle, généraliser le chiffrement des données et déployer des sondes de détection des menaces sur les postes terminaux. Elles devront également planifier la mise en place d’une architecture « zero trust », qui est diamétralement opposée au modèle classique périmétrique et qui remet en cause la confiance implicite accordée aux utilisateurs et aux services internes. C’est un changement en profondeur des systèmes d’information qui risque de les occuper pendant des années.
A découvrir aussi en vidéo :
Par ailleurs, ce décret veut intensifier l’échange d’informations entre les différentes parties prenantes. Ceux qui fournissent des logiciels ou des services aux agences fédérales seront contraints de déclarer les incidents de sécurité en moins de trois jours.
Les éditeurs devront par ailleurs être plus transparents sur la manière dont ils développent leurs logiciels, afin que l’on puisse connaître l’origine des différents modules et juger de leur qualité.
« Aujourd’hui, nous ne savons pas quels produits sont développés de façon sécurisée (…) Nous faisons confiance de manière aveugle aux fournisseurs, car nous n’avons aucun moyen de mesurer cette confiance », souligne Anne Neuberger, conseillère en sécurité nationale au sein de la Maison Blanche, à l’occasion de la conférence RSA 2021.
C’est pourquoi, de la même manière, le décret prévoit la mise en place d’un label de qualité pour les objets connectés.
Pour gagner en efficacité, l’échange d’informations sur les menaces est également décloisonné. Là encore, les fournisseurs de services seront mis à contribution pour alimenter ce flux d’informations. Quant à la gestion des incidents, elle sera homogénéisée à travers toutes les agences fédérales sur la base des standards du NIST.
« Cela permettra à tous de parler le même langage. Et le cas échéant, les experts de la réponse sur incident pourront intervenir partout de la même manière. C’est comme chez les pompiers, ils ont tous les mêmes procédures », nous explique un expert en cyberrésilience au sein d’une entreprise du CAC40, qui a préféré rester anonyme.
Enfin, les incidents seront passés au crible par un nouveau comité appelé Cybersecurity Safety Review Board qui réunira des acteurs de la puissance publique — CISA, Justice, Defense, NSA, FBI, OMB — et des entreprises privées. Le but de ce comité sera de rédiger des retours d’expérience pour éviter que les mêmes erreurs soient répétées sans cesse.
Une approche différente en France et en Europe
Ce nouveau texte va certainement contribuer à améliorer le niveau de sécurité aux États-Unis. Il est toutefois difficile de comparer cette nouvelle réglementation avec celle en vigueur en France et en Europe, où les structures et les organisations sont très différentes.
« La posture en matière de cybersécurité d’un pays dépend beaucoup de sa taille, de sa culture, de son organisation et de son exposition aux menaces », souligne notre expert en cyberrésilience.
La France, par exemple, a adopté une approche très centralisée où les infrastructures critiques sont identifiées et régulées par l’État sous la forme d’opérateur d’importance vitale (OIV), une notion introduite avec la loi de programmation militaire de 2013.
Il s’agit d’environ 300 organismes publics ou privés qui doivent respecter un cahier des charges assez draconien. En particulier, ils sont obligés d’utiliser des produits et des services qualifiés par l’ANSSI pour les systèmes d’information considérés d’importance vitale.
Un second quadrillage est venu s’ajouter en 2016 avec la directive européenne NIS, qui cherche à identifier dans chaque pays membre les opérateurs de services essentiels (OSE).
Ils seraient entre 700 en 900 en France et doivent, là encore, respecter tout en ensemble de contraintes et de règles. À première vue, tout cela semble plus cohérent et mieux construit que la réglementation américaine. Mais cela ne veut pas forcément dire que c’est plus efficace. Seul l’avenir nous le dira.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
