Le président Donald Trump jette discrètement les politiques de cybersécurité de Joe Biden et renonce aux nomenclatures de logiciels ainsi qu'à la mise en œuvre de la confiance zéro

Le président Donald Trump jette discrètement les politiques de cybersécurité de Joe Biden et renonce aux nomenclatures de logiciels ainsi qu'à la mise en œuvre de la confiance zéro

Le président Donald Trump jette discrètement les politiques de cybersécurité de Joe Biden et renonce aux nomenclatures de logiciels, à la mise en œuvre de la confiance zéro et aux exigences de cybersécurité des entreprises spatiales. Le décret fixe des délais stricts pour que les agences gouvernementales élaborent de nouvelles règles concernant les mesures de cybersécurité liées à l'informatique quantique et à l'intelligence artificielle.

Lors de sa prise de fonction, Donald Trump s'est attaqué aux contraintes pensant sur les entreprises qui développent l'IA. Le président américain a révoqué le décret pris par son prédécesseur Joe Biden pour atténuer les risques que l'IA fait peser sur les consommateurs, les travailleurs et la sécurité nationale. Le décret de Joe Biden exigeait notamment que les développeurs de technologies d'IA présentant des risques pour la sécurité nationale, l'économie ou la santé publique partagent les résultats des tests de sécurité avec le gouvernement américain, conformément à la loi sur la production de défense, avant que ces systèmes ne soient diffusés au public.

En outre, il a nommé Sean Cairncross au poste de directeur national de la cybersécurité. Cependant, selon les critiques, cette nomination reflète une tendance préoccupante sous l’administration Trump : la désignation de responsables ayant peu ou aucune expertise dans les domaines techniques qu’ils doivent superviser. Cette approche, déjà observée auparavant, continue de soulever des inquiétudes quant à son impact sur la sécurité nationale et la gestion des infrastructures stratégiques américaines.

Récemment, Donald Trump a signé un nouveau décret impactant la politique de cybersécurité américaine. Un décret par le président Donald Trump annule les règles relatives à l'acquisition de logiciels fédéraux et fixe des délais stricts pour que les agences gouvernementales élaborent de nouvelles règles concernant les mesures de cybersécurité liées à l'informatique quantique et à l'intelligence artificielle. La directive modifie les décrets sur la cybersécurité publiés précédemment par les anciens présidents Joe Biden et Barack Obama.


Ajustement des décrets de Joe Biden

Le décret de Biden, publié en janvier quelques jours avant qu'il ne quitte ses fonctions, comprenait des menaces de sanctions visant "toute personne" qui se livrait à diverses attaques contre des systèmes basés aux États-Unis - y compris ceux qui étaient accusés "d'altérer, de modifier ou de causer un détournement d'informations ... de saper les processus ou les institutions électorales".

L'administration Trump, dans le décret et dans un communiqué, a remplacé le terme "toute personne" par "toute personne étrangère" et a déclaré que son objectif était de limiter "l'application des cyber sanctions uniquement aux acteurs malveillants étrangers, en empêchant les abus contre les opposants politiques nationaux et en clarifiant que les sanctions ne s'appliquent pas aux activités liées aux élections."

Depuis leur entrée en fonction en janvier, les responsables de l'administration Trump ont critiqué à plusieurs reprises les agences américaines pour leurs tentatives passées de limiter ou d'arrêter les campagnes de désinformation russes et chinoises, affirmant que cet effort censurait également les voix conservatrices. Le communiqué de l'administration Trump affirme que la cybersécurité est "trop importante pour être réduite à un simple football politique", mais critique ensuite l'administration Biden pour avoir tenté de "glisser des questions problématiques et distrayantes dans la politique de cybersécurité"

Annulation des règles de sécurité des logiciels

Le décret supprime radicalement les règles de l'administration Biden qui stipulaient que les agences ne pouvaient utiliser que des logiciels provenant de fournisseurs attestant qu'ils utilisaient des pratiques de développement sécurisées. L'administration Trump a déclaré que ces règles "imposaient des processus de comptabilité des logiciels non éprouvés et lourds qui donnaient la priorité aux listes de contrôle de conformité plutôt qu'à de véritables investissements en matière de sécurité".

Les responsables de Trump ont déclaré que Joe Biden "microgère les décisions techniques en matière de cybersécurité, mieux gérées au niveau des départements et des agences, où les compromis budgétaires et les solutions innovantes peuvent être évalués et mis en œuvre de manière plus efficace."

Informatique quantique et IA

Le décret de Trump avertit que les ordinateurs quantiques seront bientôt capables de violer la plupart des systèmes numériques utilisés par le gouvernement américain et exige que l'Agence de cybersécurité et de sécurité des infrastructures (CISA) et l'Agence de sécurité nationale (NSA) "publient et mettent ensuite régulièrement à jour une liste de catégories de produits dans lesquelles les produits qui prennent en charge la cryptographie post-quantique (PQC) sont largement disponibles" d'ici le 1er décembre.

La même échéance est fixée pour que le directeur de la NSA publie des exigences pour que les agences mettent en œuvre la version 1.3 du protocole Transport Layer Security (TLS) ou une version ultérieure. TLS est un protocole de chiffrement qui permet une communication sécurisée sur un réseau informatique, généralement utilisé pour protéger des données sensibles. Les agences auront jusqu'au 2 janvier 2030 pour mettre en œuvre les exigences de la NSA en matière de sécurité quantique.

L'intelligence artificielle occupe une place importante dans le décret. D'ici au 1er novembre, le directeur du National Institute of Standards and Technology (NIST) doit collaborer avec d'autres hauts responsables gouvernementaux pour "intégrer la gestion des vulnérabilités et des compromissions des logiciels d'IA dans les processus existants de leurs agences respectives et dans les mécanismes de coordination interagences pour la gestion des vulnérabilités, notamment par le suivi des incidents, la réponse et le rapport, et par le partage d'indicateurs de compromission pour les systèmes d'IA".

Le 1er novembre est également la date limite fixée pour un certain nombre d'autres initiatives liées à l'IA, notamment le partage d'ensembles de données de recherche sur la cyberdéfense avec "la communauté de recherche universitaire au sens large". Plusieurs initiatives de l'ère Biden concernant l'utilisation de l'IA et au chiffrement post-quantique pour défendre les infrastructures critiques, les systèmes militaires et autres ont également été supprimées dans le décret de Trump.

Sécuriser les systèmes et appareils gouvernementaux

Plusieurs autres délais sont fixés pour que les agences fédérales reçoivent des lignes directrices en matière de cybersécurité ou des normes de sécurité à mettre en œuvre. Le Federal Acquisition Regulatory Council (FAR Council), qui coordonne la politique d'achat à l'échelle du gouvernement, doit exiger que tous les produits de l'internet des objets (IoT) achetés par les consommateurs portent la marque U.S. Cyber Trust Mark - une initiative clé de Joe Biden qui vérifie qu'un produit est conforme aux normes de cybersécurité créées par le NIST.

Le NIST a également reçu l'ordre de créer un consortium qui, d'ici au 1er août, élaborera des orientations sur la mise en œuvre de pratiques sécurisées en matière de développement, de sécurité et d'exploitation des logiciels. En septembre, le NIST devra mettre à jour les règles relatives à la manière dont les agences doivent déployer les correctifs et les mises à jour de manière sûre et fiable.

Le NIST sera chargé de mettre à jour le cadre de développement de logiciels sécurisés d'ici le 1er décembre afin qu'il comprenne "des pratiques, des procédures, des contrôles et des exemples de mise en œuvre concernant le développement et la livraison sécurisés et fiables de logiciels, ainsi que la sécurité des logiciels eux-mêmes".

Certaines directives sont plus vagues, ordonnant à l'Office of the National Cyber Director et à d'autres de procéder aux " révisions nécessaires" des règles du gouvernement fédéral susceptibles de "traiter les risques critiques et d'adapter les pratiques et les architectures modernes dans les systèmes d'information et les réseaux fédéraux". Dans un an, le NIST doit travailler avec la CISA et d'autres agences pour "établir un programme pilote d'une approche de règles en tant que code pour les versions lisibles par machine de la politique et des conseils"

Autres changements

Plusieurs parties du décret de Trump suppriment simplement des parties des directives originales de Biden publiées en janvier. La Maison Blanche a déclaré qu'elle modifiait "des éléments problématiques des décrets de l'ère Obama et Biden". L'administration Trump a supprimé une ligne qui ordonnait au secrétaire à la Défense et au secrétaire à la Sécurité intérieure d' "établir des procédures pour partager immédiatement des informations sur les menaces."

Le nouveau décret modifie également un paragraphe politique clé sur les cybermenaces du gouvernement chinois pour inclure que "des menaces significatives émanent également de la Russie, de l'Iran, de la Corée du Nord et d'autres qui sapent la cybersécurité des États-Unis." "Ces campagnes perturbent la fourniture de services essentiels dans tout le pays, coûtent des milliards de dollars et portent atteinte à la sécurité et à la vie privée des Américains", indiquent les versions Trump et Biden du décret.

Pour rappel, la Cybersecurity and Infrastructure Security Agency (CISA) est la principale force de cyberdéfense du gouvernement américain. Mais ce statut ne l'a pas protégé pour autant : la CISA a été ravagée par les mesures d'austérité de l'administration Trump. Ces mesures ont entraîné le démantèlement de l'expertise et du leadership de la CISA en matière de cybersécurité et d'IA. Un rapport révèle que la CISA a perdu presque tous ses hauts cadres. Plusieurs des principaux dirigeants des divisions opérationnelles de la CISA ont quitté ou quitteront bientôt l'agence. Certains programmes ont été mis en veille ou abandonnés, malgré l'accroissement des menaces cybernétiques.

Source : Décret de Donald Trump

Et vous ?

Pensez-vous que ce décret est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Le nouveau secrétaire à la défense de Trump ordonne au Cyber Command de mettre fin à toutes les opérations contre la Russie : "La Russie n'est plus une cybermenace significative pour les États-Unis"

Trump veut réduire le budget de l'agence américaine de cybersécurité CISA de 500 millions $ pour 2026. L'accusant de donner la priorité à la censure plutôt qu'à la cybersécurité et à la protection des élections

L'administration Trump renvoie des membres du comité d'examen de la cybersécurité qui enquêtaient sur le piratage de Salt Typhoon. Une décision « terriblement irréfléchie », selon un ancien membre