L'incident impliquant le Colonial Pipeline fait suite à un piratage majeur survenu il y a quelques mois, qui a compromis le logiciel SolarWinds, permettant aux attaquants d'utiliser son code pour accéder aux réseaux de plusieurs agences gouvernementales américaines. Citant ces attaques et une autre qui visait les serveurs de messagerie Microsoft Exchange, l'annonce de l'administration Biden a mis en cause les défenses insuffisantes en matière de cybersécurité qui, selon elle, rendent vulnérables les secteurs public et privé.
Le décret de 34 pages intitulé "Executive Order on Improving the Nation's Cybersecurity" (décret sur l'amélioration de la cybersécurité de la nation) vise à moderniser les défenses de cybersécurité de l'infrastructure du gouvernement fédéral, à créer un guide normalisé de réponse aux incidents et à améliorer la communication entre les fournisseurs de services et les forces de l'ordre.
En résumé, le décret ordonnera au gouvernement d'effectuer les actions suivantes :
- exiger des fournisseurs de services IT (technologie de l'information) et OT (technologie opérationnelle), y compris les fournisseurs d'hébergement en cloud, qu'ils partagent les informations sur les menaces et les brèches de cybersécurité dont ils ont connaissance et qu'ils suppriment les problèmes contractuels qui empêchent le partage de ces informations ;
- moderniser les services informatiques du gouvernement fédéral, notamment en passant à une architecture de confiance zéro, en exigeant une authentification multifactorielle, le chiffrement des données au repos et en transit, et en élaborant des directives de sécurité strictes sur l'utilisation des services en cloud ;
- améliorer la sécurité de la chaîne d'approvisionnement en élaborant des lignes directrices, des outils et des meilleures pratiques pour vérifier et garantir que les logiciels essentiels ne sont pas altérés par des acteurs malveillants lors d'attaques de la chaîne d'approvisionnement. Dans le cadre de cette initiative, le gouvernement fédéral créera un programme de type "energy star" qui montrera que les logiciels ont été développés en toute sécurité ;
- créer un « comité d'examen de la cybersécurité » composé de membres du gouvernement fédéral et du secteur privé qui se réunira après un cyberincident important pour évaluer l'attaque, formuler des recommandations et partager les informations confidentielles pertinentes avec les forces de l'ordre ;
- créer un guide standardisé pour toutes les agences gouvernementales afin de répondre aux brèches et aux cyberattaques ;
- améliorer la détection et la correction des vulnérabilités et des brèches de cybersécurité sur les réseaux gouvernementaux en déployant une solution centralisée de détection et de réponse aux points d'extrémité et en partageant les informations intergouvernementales.
Ces initiatives seront menées dans des phases de roulement allant de 30 jours à compter de l'ordre exécutif, à 360 jours dans certains cas.
Élimination des cloisonnements d'informations
Le décret éliminera les barrières contractuelles actuelles qui interdisent aux agences fédérales et au secteur privé de partager les renseignements sur les menaces et autres informations liées à la cybersécurité. « Ces fournisseurs de services, y compris les fournisseurs de services en cloud, ont un accès unique et un aperçu des informations sur les cybermenaces et les incidents sur les systèmes d'information fédéraux. Dans le même temps, les conditions ou restrictions contractuelles actuelles peuvent limiter le partage de ces informations sur les menaces ou les incidents avec les départements et agences exécutifs ; agences qui sont chargées d'enquêter sur les cyberincidents ou d'y remédier », d’après le décret.
À l'avenir, toutes les clauses contractuelles exigeront des fournisseurs de services qu'ils collectent et conservent les données relatives à tout cyberincident et qu'ils partagent ces informations avec l'agence à laquelle ils sont affiliés.
Modernisation des technologies de l’information
Le décret prévoit un effort de modernisation à l'échelle du gouvernement pour adopter les meilleures pratiques en matière de sécurité tout en préservant la vie privée et les libertés civiles. Les changements comprennent la progression vers une architecture de confiance zéro ainsi que l'accélération du mouvement vers des services en cloud sécurisés, y compris de logiciel en tant que service, l'infrastructure en tant que service et la plateforme en tant que service.
Le décret exige également un accès centralisé et rationalisé aux données relatives à la cybersécurité afin d'alimenter les analyses permettant d'identifier et de gérer les risques liés à la cybersécurité et d'investir à la fois dans la technologie et le personnel pour atteindre ces objectifs de modernisation. Le décret demande à tous les chefs d'agence de commencer à atteindre ces objectifs dans les 60 jours et de fournir un rapport d'avancement au directeur de l'Office of Management and Budget.
Tim Wade, directeur technique de l'équipe CTO de la société de sécurité Vectra et ancien officier de l'armée de l'air américaine, note que l'administration Biden n'a pas seulement abordé la sécurité avec ce décret, mais qu'elle a également mis l'accent sur la confidentialité des données. « La protection de la vie privée est en soi une forme de sécurité ; une sécurité contre l'érosion des possibilités pour un individu de jouir de l'équité, de la liberté et de l'égalité devant la loi et notre société en général. Alors que nous allons de l'avant vers le partenariat si nécessaire entre les secteurs fédéral et privé, nous ferons bien de nous rappeler que la préservation de la vie privée des individus fait partie de nos principales poursuites », explique Wade.
La sécurité de la chaîne d'approvisionnement
Le décret note que les logiciels commerciaux utilisés par les agences fédérales manquent souvent de transparence et ne peuvent résister à une attaque ou à un contrôle adéquat pour empêcher les acteurs malveillants d'y accéder. « Il existe un besoin pressant de mettre en œuvre des mécanismes plus rigoureux et plus prévisibles pour garantir que les produits fonctionnent en toute sécurité, et comme prévu », indique le décret.
Selon les experts, il est essentiel de remédier aux failles de la chaîne d'approvisionnement en matière de sécurité pour comprendre et prévenir une autre attaque telle que celle qui a visé SolarWinds. « Ce décret met à juste titre l'accent sur l'amélioration de la sécurité de la chaîne d'approvisionnement des logiciels, sur la suppression des obstacles à l'accès aux informations sur les menaces pour les prestataires du gouvernement, sur la normalisation des procédures de réponse aux incidents et sur la modernisation de la cybersécurité fédérale », déclare Steve Grobman, directeur technique de la société de sécurité McAfee.
Dans les 30 jours suivant la signature du décret, le secrétaire au commerce (agissant par l'intermédiaire du directeur de l'Institut national des sciences et de la technologie) doit solliciter la contribution des agences fédérales, du secteur privé et du monde universitaire. Le gouvernement utilisera ensuite ces informations pour élaborer des lignes directrices et des critères permettant d'évaluer la sécurité des logiciels et les meilleures pratiques que les développeurs de logiciels doivent utiliser.
Soutien du domaine cybernétique
Certains élus et dirigeants du secteur privé ont chaleureusement accueilli le décret, mais ils font remarquer que la signature de la directive n'est que le début du processus nécessaire pour sauvegarder l'infrastructure numérique de la nation. « Ce décret est un bon premier pas, mais les décrets ne peuvent pas tout faire. Le Congrès va devoir s'engager et faire davantage pour remédier à nos cybervulnérabilités, et je suis impatient de travailler avec l'administration et mes collègues des deux côtés de l'allée pour combler ces lacunes », a déclaré le sénateur Mark Warner, président de la commission du renseignement du Sénat américain.
Kelly Bissell, directeur général senior d'Accenture Security, note : « aujourd'hui, avec ce décret, nous nous engageons sur une nouvelle voie - une voie où les gouvernements et les entreprises peuvent prendre des décisions plus rapides et plus éclairées concernant les menaces émergentes, devenir plus cohérents, acheter des produits plus sûrs - et être plus cyberrésistant. Demain, le travail difficile commencera ».
Source : Décret
Et vous ?
Que pensez-vous de mesures préconisées par ce décret ?
À votre avis ces mesures seront-elles efficaces pour renforcer les défenses américaines en matière de cybersécurité ?
Voir aussi :
Le président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
France : les sénateurs ont adopté la proposition de loi visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public, bientôt un cyberscore ?
USA : le plan de modernisation des technologies de l'information du gouvernement pousse à l'adoption du cloud et au renforcement de la cybersécurité