Les États-Unis fixent des objectifs de cybersécurité jusqu’en 2026

Les États-Unis fixent des objectifs de cybersécurité jusqu’en 2026

L’administration Biden a publié jeudi un plan étape par étape sur la manière dont elle entend mettre en œuvre sa stratégie nationale de cybersécurité jusqu’en 2026, y compris des délais courts pour mettre en œuvre certains éléments clés de la cyberpolitique.

La stratégie, publiée en mars, esquissait un liste exhaustive des priorités en matière de cybersécurité, couvrant les préoccupations nationales telles que la protection des infrastructures critiques jusqu’aux affaires internationales, dans laquelle il a proposé des efforts de collaboration pour lutter contre la cybercriminalité. Le plan de déploiement de jeudi indique quelle agence la Maison Blanche a chargée de diriger des tâches spécifiques et le délai dans lequel elles doivent être achevées.

“Si cette stratégie représente la vision du président pour l’avenir, alors ce plan de mise en œuvre est une feuille de route pour y arriver”, a déclaré Kemba Walden, le directeur national par intérim de la cybersécurité, lors d’un appel avec des journalistes mercredi.

Le plan englobe le secteur des entreprises, en plus des agences fédérales. Les 16 secteurs désignés comme infrastructures critiques par le gouvernement américain sont en grande partie exploités par le secteur privé dans des domaines tels que la santé, les services financiers, l’énergie et la fabrication.

Dans le même temps, les entreprises devront respecter les nouvelles normes établies par les agences fédérales. La Securities and Exchange Commission, par exemple, est préparer un ensemble de règles qui imposera des obligations de déclaration d’incidents aux sociétés cotées. Ces règles visent également à contrôler surveillance du risque cyber par le conseil d’administration. La Federal Trade Commission et la Food and Drug Administration veulent également montrer leurs muscles dans respect de la vie privée et sécurité des dispositifs médicaux.

Lire aussi  Série virale sur une théière chinoise s'échappant du British Museum pour devenir un film | Chine

Une préoccupation majeure pour les entreprises est le chevauchement potentiel et peut-être les règles contradictoires de la Maison Blanche et des régulateurs qui pourraient nécessiter des processus et des délais différents pour être satisfaits. L’Agence de la cybersécurité et de la sécurité des infrastructures doit publier règles finales pour les rapports d’incidents par les opérateurs d’infrastructures critiques d’ici fin 2025.

Par ailleurs, le ministère de la Justice travaille sur des propositions législatives de coopération transfrontalière pour perturber la cybercriminalité. Certaines propositions ont été envoyées au Congrès, a déclaré un haut responsable de l’administration lors de l’appel de mercredi.

D’autres parties du plan sont terminées ou presque, a déclaré Walden. Ils comprennent le développement d’un stratégie de cyber main-d’œuvre et des propositions législatives visant à conférer au comité d’examen de la cybersécurité une autorité légale pour enquêter sur des cyberattaques importantes, tous deux attendus ce trimestre. Le conseil est un projet fédéral qui comprend des participants du secteur privé.

“Je reconnais que nous sommes agressifs, mais je sais que nous sommes capables d’agir rapidement dans ce bureau”, a déclaré Walden.

Walden a déclaré qu’elle s’attend à ce que le secteur privé pèse sur l’élaboration des détails du plan. Par exemple, le bureau du directeur national de la cybersécurité prévoit une conférence pour le deuxième trimestre de 2024 sur l’élaboration d’un cadre de responsabilité logicielle. Le bureau de Walden veut tenir les fabricants de logiciels responsables des problèmes de sécurité de leurs produits, ce qui a a provoqué un malaise parmi les entreprises technologiques. La conférence réunira des personnes du monde universitaire et de la « société civile ».

Lire aussi  Les immeubles de bureaux du Sénat verrouillés suite à des informations sur le tireur

Le sénateur Angus King, à gauche, et le représentant Mike Gallagher, autrefois coprésidents de la Cyberspace Solarium Commission, aujourd’hui dissoute.


Photo:

Tom Williams/Zuma Press

Le bureau du directeur national de la cybersécurité prévoit également de créer un groupe de travail sur la sécurité des logiciels open source d’ici le début de l’année prochaine, conçu pour « élever la base de sécurité » de ce secteur. La divulgation d’un vulnérabilité dans le programme open-source Log4jqui est largement utilisé dans les logiciels commerciaux, a incité une bousculade pour corriger la faille pendant les vacances de Noël 2021 et a aiguisé l’attention du gouvernement sur la question de la sécurité open source.

Selon Suzie Squier, présidente du Retail and Hospitality Information Sharing and Analysis Center, une organisation à but non lucratif qui aide les entreprises du secteur à échanger des informations sur les cybermenaces, une pression du gouvernement pour que les entreprises technologiques créent des produits plus sécurisés contribuera à freiner les cyberattaques de la chaîne d’approvisionnement.

Les principales attaques de la chaîne d’approvisionnement, telles que la compromis récent de plusieurs services de partage de fichiers, commencent souvent par exploiter les failles du logiciel. Squier a déclaré que l’industrie soutenait les plans visant à améliorer la sécurité des logiciels, en partie pour éviter les précipitations stressantes pour faire face aux vulnérabilités à l’avenir.

“Tout ce que nous pouvons faire, nous n’avons pas tous affaire à Log4j”, a-t-elle déclaré.

Le plan du gouvernement est ambitieux et renforcera les cyber-orientations que les agences publiques fournissent aux entreprises, a déclaré Steven Silberstein, directeur général du Financial Services Information Sharing and Analysis Center.

Le représentant Mike Gallagher (R., Wis.) et le sénateur Angus King (I., Maine), qui ont coprésidé l’influente, aujourd’hui dissoute, Cyberspace Solarium Commission qui contribué à remodeler la cyberpolitique américaineont déclaré qu’ils aimeraient voir un plan de mise en œuvre annuel et des délais stricts.

“S’il y a quelque chose que nous avons appris sur le gouvernement au cours des 20 dernières années, c’est que” l’exécution est aussi importante que la vision “et que les plans stratégiques relatifs à la cybersécurité qui ne sont pas correctement mis en œuvre sont voués à l’échec”, ont déclaré les deux législateurs. dit dans un communiqué commun.

Walden a déclaré que le plan est conçu pour évoluer et que des itérations annuelles seront publiées.

Écrivez à James Rundle à [email protected] et Catherine Stupp à [email protected]

Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Recent News

Editor's Pick