IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Joe Biden publie un décret visant à renforcer les défenses américaines en matière de cybersécurité
Après le piratage du Colonial Pipeline

Le , par Nancy Rey

10PARTAGES

18  0 
Le président Biden a signé mercredi un décret visant à moderniser les défenses du pays contre les cyberattaques et à donner plus rapidement accès aux informations nécessaires aux forces de l'ordre pour mener leurs enquêtes. Ce décret fait suite aux nombreuses cyberattaques qui ont visé des intérêts américains cette année, notamment les attaques de la chaîne d'approvisionnement de SolarWinds en décembre et l'attaque plus récente par le ransomware DarkSide contre le plus grand oléoduc de carburant américain, le Colonial Pipeline. « Ce décret apporte une contribution importante à la modernisation des défenses en matière de cybersécurité en protégeant les réseaux fédéraux, en améliorant le partage d'informations entre le gouvernement américain et le secteur privé sur les questions de cybercriminalité et en renforçant la capacité des États-Unis à répondre aux incidents lorsqu'ils se produisent », selon un communiqué de la Maison Blanche sur le décret. Ce décret, en effet, met l'accent sur les partenariats, la modernisation des technologies de l'information et la sécurité de la chaîne d'approvisionnement.

L'incident impliquant le Colonial Pipeline fait suite à un piratage majeur survenu il y a quelques mois, qui a compromis le logiciel SolarWinds, permettant aux attaquants d'utiliser son code pour accéder aux réseaux de plusieurs agences gouvernementales américaines. Citant ces attaques et une autre qui visait les serveurs de messagerie Microsoft Exchange, l'annonce de l'administration Biden a mis en cause les défenses insuffisantes en matière de cybersécurité qui, selon elle, rendent vulnérables les secteurs public et privé.

Le décret de 34 pages intitulé "Executive Order on Improving the Nation's Cybersecurity" (décret sur l'amélioration de la cybersécurité de la nation) vise à moderniser les défenses de cybersécurité de l'infrastructure du gouvernement fédéral, à créer un guide normalisé de réponse aux incidents et à améliorer la communication entre les fournisseurs de services et les forces de l'ordre.


En résumé, le décret ordonnera au gouvernement d'effectuer les actions suivantes :

  • exiger des fournisseurs de services IT (technologie de l'information) et OT (technologie opérationnelle), y compris les fournisseurs d'hébergement en cloud, qu'ils partagent les informations sur les menaces et les brèches de cybersécurité dont ils ont connaissance et qu'ils suppriment les problèmes contractuels qui empêchent le partage de ces informations ;
  • moderniser les services informatiques du gouvernement fédéral, notamment en passant à une architecture de confiance zéro, en exigeant une authentification multifactorielle, le chiffrement des données au repos et en transit, et en élaborant des directives de sécurité strictes sur l'utilisation des services en cloud ;
  • améliorer la sécurité de la chaîne d'approvisionnement en élaborant des lignes directrices, des outils et des meilleures pratiques pour vérifier et garantir que les logiciels essentiels ne sont pas altérés par des acteurs malveillants lors d'attaques de la chaîne d'approvisionnement. Dans le cadre de cette initiative, le gouvernement fédéral créera un programme de type "energy star" qui montrera que les logiciels ont été développés en toute sécurité ;
  • créer un « comité d'examen de la cybersécurité » composé de membres du gouvernement fédéral et du secteur privé qui se réunira après un cyberincident important pour évaluer l'attaque, formuler des recommandations et partager les informations confidentielles pertinentes avec les forces de l'ordre ;
  • créer un guide standardisé pour toutes les agences gouvernementales afin de répondre aux brèches et aux cyberattaques ;
  • améliorer la détection et la correction des vulnérabilités et des brèches de cybersécurité sur les réseaux gouvernementaux en déployant une solution centralisée de détection et de réponse aux points d'extrémité et en partageant les informations intergouvernementales.


Ces initiatives seront menées dans des phases de roulement allant de 30 jours à compter de l'ordre exécutif, à 360 jours dans certains cas.

Élimination des cloisonnements d'informations

Le décret éliminera les barrières contractuelles actuelles qui interdisent aux agences fédérales et au secteur privé de partager les renseignements sur les menaces et autres informations liées à la cybersécurité. « Ces fournisseurs de services, y compris les fournisseurs de services en cloud, ont un accès unique et un aperçu des informations sur les cybermenaces et les incidents sur les systèmes d'information fédéraux. Dans le même temps, les conditions ou restrictions contractuelles actuelles peuvent limiter le partage de ces informations sur les menaces ou les incidents avec les départements et agences exécutifs ; agences qui sont chargées d'enquêter sur les cyberincidents ou d'y remédier », d’après le décret.

À l'avenir, toutes les clauses contractuelles exigeront des fournisseurs de services qu'ils collectent et conservent les données relatives à tout cyberincident et qu'ils partagent ces informations avec l'agence à laquelle ils sont affiliés.

Modernisation des technologies de l’information

Le décret prévoit un effort de modernisation à l'échelle du gouvernement pour adopter les meilleures pratiques en matière de sécurité tout en préservant la vie privée et les libertés civiles. Les changements comprennent la progression vers une architecture de confiance zéro ainsi que l'accélération du mouvement vers des services en cloud sécurisés, y compris de logiciel en tant que service, l'infrastructure en tant que service et la plateforme en tant que service.

Le décret exige également un accès centralisé et rationalisé aux données relatives à la cybersécurité afin d'alimenter les analyses permettant d'identifier et de gérer les risques liés à la cybersécurité et d'investir à la fois dans la technologie et le personnel pour atteindre ces objectifs de modernisation. Le décret demande à tous les chefs d'agence de commencer à atteindre ces objectifs dans les 60 jours et de fournir un rapport d'avancement au directeur de l'Office of Management and Budget.

Tim Wade, directeur technique de l'équipe CTO de la société de sécurité Vectra et ancien officier de l'armée de l'air américaine, note que l'administration Biden n'a pas seulement abordé la sécurité avec ce décret, mais qu'elle a également mis l'accent sur la confidentialité des données. « La protection de la vie privée est en soi une forme de sécurité ; une sécurité contre l'érosion des possibilités pour un individu de jouir de l'équité, de la liberté et de l'égalité devant la loi et notre société en général. Alors que nous allons de l'avant vers le partenariat si nécessaire entre les secteurs fédéral et privé, nous ferons bien de nous rappeler que la préservation de la vie privée des individus fait partie de nos principales poursuites », explique Wade.

La sécurité de la chaîne d'approvisionnement

Le décret note que les logiciels commerciaux utilisés par les agences fédérales manquent souvent de transparence et ne peuvent résister à une attaque ou à un contrôle adéquat pour empêcher les acteurs malveillants d'y accéder. « Il existe un besoin pressant de mettre en œuvre des mécanismes plus rigoureux et plus prévisibles pour garantir que les produits fonctionnent en toute sécurité, et comme prévu », indique le décret.

Selon les experts, il est essentiel de remédier aux failles de la chaîne d'approvisionnement en matière de sécurité pour comprendre et prévenir une autre attaque telle que celle qui a visé SolarWinds. « Ce décret met à juste titre l'accent sur l'amélioration de la sécurité de la chaîne d'approvisionnement des logiciels, sur la suppression des obstacles à l'accès aux informations sur les menaces pour les prestataires du gouvernement, sur la normalisation des procédures de réponse aux incidents et sur la modernisation de la cybersécurité fédérale », déclare Steve Grobman, directeur technique de la société de sécurité McAfee.

Dans les 30 jours suivant la signature du décret, le secrétaire au commerce (agissant par l'intermédiaire du directeur de l'Institut national des sciences et de la technologie) doit solliciter la contribution des agences fédérales, du secteur privé et du monde universitaire. Le gouvernement utilisera ensuite ces informations pour élaborer des lignes directrices et des critères permettant d'évaluer la sécurité des logiciels et les meilleures pratiques que les développeurs de logiciels doivent utiliser.

Soutien du domaine cybernétique

Certains élus et dirigeants du secteur privé ont chaleureusement accueilli le décret, mais ils font remarquer que la signature de la directive n'est que le début du processus nécessaire pour sauvegarder l'infrastructure numérique de la nation. « Ce décret est un bon premier pas, mais les décrets ne peuvent pas tout faire. Le Congrès va devoir s'engager et faire davantage pour remédier à nos cybervulnérabilités, et je suis impatient de travailler avec l'administration et mes collègues des deux côtés de l'allée pour combler ces lacunes », a déclaré le sénateur Mark Warner, président de la commission du renseignement du Sénat américain.

Kelly Bissell, directeur général senior d'Accenture Security, note : « aujourd'hui, avec ce décret, nous nous engageons sur une nouvelle voie - une voie où les gouvernements et les entreprises peuvent prendre des décisions plus rapides et plus éclairées concernant les menaces émergentes, devenir plus cohérents, acheter des produits plus sûrs - et être plus cyberrésistant. Demain, le travail difficile commencera ».

Source : Décret

Et vous ?

Que pensez-vous de mesures préconisées par ce décret ?
À votre avis ces mesures seront-elles efficaces pour renforcer les défenses américaines en matière de cybersécurité ?

Voir aussi :

Le président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées

France : les sénateurs ont adopté la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public, bientôt un cyberscore ?

USA : le plan de modernisation des technologies de l'information du gouvernement pousse à l'adoption du cloud et au renforcement de la cybersécurité

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de marsupial
Expert éminent https://www.developpez.com
Le 13/05/2021 à 12:32
améliorer la communication entre les fournisseurs de services et les forces de l'ordre.
Et c'est pour quand dans le sens inverse ? Communication des zero-day de la NSA.

(e) Nothing in this order confers authority to interfere with or to direct a criminal or national security investigation, arrest, search, seizure, or disruption operation or to alter a legal restriction that requires an agency to protect information learned in the course of a criminal or national security investigation.
Apparemment, c'est pas demain la veille...

le chiffrement des données au repos et en transit
Un changement de politique sur le chiffrement ?

Alors que nous allons de l'avant vers le partenariat si nécessaire entre les secteurs fédéral et privé, nous ferons bien de nous rappeler que la préservation de la vie privée des individus fait partie de nos principales poursuites », explique Wade.
Cela implique-t-il des mesures contre les fuites des réseaux dits sociaux ?

Within 30 days of the date of this order, the Secretary of Homeland Security acting through the Director of CISA shall provide to the Director of OMB recommendations on options for implementing an EDR initiative, centrally located to support host-level visibility, attribution, and response regarding FCEB Information Systems.
Une détection holistique peut-être ?
1  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 13/05/2021 à 11:43
Les décrets ne font effectivement pas tout. C'est sur le.terrain qu'on pourra jauger l'efficacité des dites mesures
0  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 05/07/2021 à 8:31
Depuis lors où en est on?
0  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 06/07/2021 à 16:32
Depuis, ils en sont à ne plus savoir où donner de la tête avec le ransomware REvil qui attaque par chaîne d'approvisionnement : tous ne seront pas aidés
0  0