Les cyberattaques sont devenues très sophistiquées ces dernières années, et leur nombre a également considérablement augmenté pendant cette période. Les États-Unis ont payé le prix fort l'année dernière avec le piratage de plusieurs entreprises et d'infrastructures clés du pays. Il y a notamment le piratage du serveur de messagerie Microsoft Exchange, de Colonial Pipeline, de l'éditeur de logiciels Kaseya, de la société de services financiers et de cryptomonnaies Robinhood, etc. Dans certains cas, les dirigeants ont choisi de payer une rançon de plusieurs millions de dollars. Cependant, ces incidents mettent parfois du temps avant d'être signalés.
Désormais, les États-Unis veulent réduire le temps dont disposent les entreprises pour signaler les cyberattaques et une loi en la matière vient d'être votée. Elle devrait être promulguée par le président américain Joe Biden dans les prochains jours. La nouvelle loi oblige les propriétaires et les exploitants d'infrastructures critiques à signaler un incident de cybersécurité "substantiel" à la CISA dans les 72 heures et un paiement d'une rançon après une attaque de ransomware dans les 24 heures. La disposition donne également à la CISA le pouvoir d'assigner à comparaître toute personne qui ne déclare pas les cyberattaques ou les paiements de ransomware.
Selon les experts, cette loi, incluse dans la "Consolidated Appropriations Act, 2022", est l'un des textes législatifs les plus importants de ces dix dernières années en matière de cybersécurité. En obligeant les propriétaires et les exploitants à signaler les cyberincidents importants et les attaques par ransomware à la CISA dans un délai de 72 heures, la loi apportera une plus grande visibilité au gouvernement fédéral, une interruption plus rapide des cybercampagnes malveillantes et une amélioration des informations et des renseignements sur les menaces transmis au secteur privé afin qu'il puisse se défendre contre de futures attaques.
Dans un communiqué, la directrice de la CISA, Jen Easterly, s'est félicitée de l'adoption de la législation et a déclaré que la nouvelle législation donnera à son agence de meilleures données et une meilleure visibilité pour l'aider à protéger les infrastructures critiques. « Ces informations combleront les lacunes critiques et nous permettront de déployer rapidement des ressources et de prêter assistance aux victimes d'attaques, d'analyser les rapports entrants dans tous les secteurs pour repérer les tendances et de partager rapidement ces informations avec les défenseurs des réseaux pour avertir d'autres victimes potentielles », a déclaré Easterly.
Bien que la pression en faveur d'une notification plus stricte des cyberincidents remonte à 2021, principalement en raison d'attaques contre des infrastructures critiques telles que les incidents de Colonial Pipeline et de SolarWinds, certains sénateurs ont invoqué le conflit actuel en Ukraine pour justifier la priorité accordée à l'adoption de la législation sur la cybersécurité. Il semble qu'il y ait au moins une certaine conviction dans les couloirs du Congrès que des cyberattaques du gouvernement russe pourraient être en cours. La loi sur le renforcement de la cybersécurité américaine combine le langage de trois projets de loi antérieurs qui préconisent une approche de la cybersécurité fondée sur le risque.
Le projet de loi bénéficie d'un soutien bipartisan au Sénat et à la Chambre des représentants et semble avoir de meilleures chances d'être adopté compte tenu des conditions géopolitiques actuelles ; une tentative précédente avait été sabordée par l'opposition du parti républicain il y a plusieurs mois. Selon les médias américains, en plus des nouvelles fenêtres de signalement des cyberincidents, le projet de loi créerait une mise à jour de la loi fédérale sur la gestion de la sécurité de l'information (FISMA) qui rationaliserait les processus impliquant les agences fédérales et les bureaux civils avec lesquels elles travaillent.
La FISMA a été créée en 2002 et mise à jour pour la dernière fois en 2014, avant la tendance des attaques de ransomware à grande échelle visant spécifiquement les infrastructures critiques, les hôpitaux et autres services vitaux (ainsi que les agences gouvernementales fédérales et locales). Le projet de loi fait de la CISA l'agence de coordination principale pour le signalement des cyberincidents et le déploiement de la sécurité dans l'ensemble du gouvernement fédéral, et crée un certain nombre de programmes destinés à améliorer la communication entre les agences. Le dernier élément important de la nouvelle loi sur la cybersécurité est le renforcement de FedRAMP.
Rappelons que le FedRAMP est le programme fédéral américain de gestion des risques et des autorisations. C'est un programme qui fournit une approche standardisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services cloud. Ces directives auront force de loi et seront applicables aux chaînes d'approvisionnement en logiciels des fournisseurs de services en nuage.
Source : Le Congrès américain
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la nouvelle loi des États-Unis sur le délai de signalement des cyberattaques ?
Voir aussi
Colonial Pipeline a payé une rançon de près de 5 millions de dollars à des pirates informatiques, pour recevoir un logiciel de déchiffrement qui n'aurait pas servi
Le fabricant d'ordinateurs Acer serait victime d'une attaque par rançongiciel, les cybercriminels réclament la somme record de 50 millions de dollars
Microsoft envisage un système de primes basé sur la blockchain pour attraper les pirates. Baptisé Argus, le système s'exécutera sur le réseau Ethereum
L'UE adopte la loi controversée imposant le retrait en une heure des contenus terroristes, alors que les critiques craignent que la loi impacte sur la liberté d'expression