L’administration Biden-Harris a présenté une nouvelle stratégie nationale de cybersécurité qui met l’accent sur le transfert des responsabilités en matière de cybersécurité des particuliers et petites entreprises vers les organisations les plus aptes à réduire les risques pour tous les citoyens.

En déplaçant la responsabilité des victimes de cybercrimes, le nouveau plan vise à renforcer les partenariats public-privé afin d’encourager les entreprises de sécurité à partager leurs connaissances sur les réseaux de cybercriminels.

« Dans cette décennie décisive, les États-Unis réimagineront le cyberespace comme un outil pour atteindre nos objectifs d’une manière qui reflète nos valeurs : sécurité économique et prospérité ; respect des droits de la personne et des libertés fondamentales ; confiance dans notre démocratie et nos institutions démocratiques ; et une société équitable et diversifiée », a déclaré la Maison-Blanche. « Pour réaliser cette vision, nous devons opérer des changements fondamentaux dans la manière dont les États-Unis attribuent les rôles, les responsabilités et les ressources dans le cyberespace. »

Deux piliers de la stratégie

Habituellement, le gouvernement fédéral incitait les entreprises à signaler volontairement les intrusions dans leurs systèmes et à actualiser régulièrement leurs programmes pour corriger les nouvelles vulnérabilités découvertes. Désormais, la stratégie indique que ces efforts de bonne foi sont insuffisants et que les entreprises devront respecter des normes minimales de cybersécurité.

La nouvelle stratégie nationale comporte deux grands piliers, qui représentent tous deux des changements transformationnels dans la façon dont les États-Unis opèrent dans le cyberespace.

Le premier pilier consiste à rééquilibrer la responsabilité de la défense du cyberespace en transférant le fardeau des particuliers, des petites entreprises et des administrations locales vers les entités de plus grande envergure disposant de plus de capacités.

Le deuxième est une révision des incitations afin d’encourager les investissements à long terme, en équilibrant la défense contre les menaces urgentes à court terme et la planification ainsi que l’investissement dans un avenir résilient.

Approche de la Stratégie nationale de cybersécurité

La stratégie nationale de cybersécurité vise à renforcer la collaboration autour de cinq catégories différentes, notamment :

1. Défendre les infrastructures essentielles, ce qui comprend l’élargissement des exigences minimales de cybersécurité dans les secteurs critiques, l’encouragement de la collaboration public-privé, la défense et la modernisation des réseaux fédéraux ainsi que la mise à jour de la politique fédérale d’intervention en cas d’incident.
2. Désarmer et démanteler les acteurs menaçants, avec l’utilisation stratégique de tous les outils du pouvoir national pour perturber les adversaires, l’implication du secteur privé dans les activités de perturbation via des mécanismes évolutifs et la lutte contre la menace des rançongiciels en collaboration étroite avec les partenaires internationaux.
3. Façonner les forces du marché pour favoriser la sécurité et la résilience, ce qui inclut la promotion de la confidentialité et la sécurité des données personnelles, le transfert de la responsabilité pour les produits et services logiciels afin de promouvoir les bonnes pratiques de développement sécuritaire et la garantie que les programmes de subventions fédérales encouragent l’investissement dans de nouvelles infrastructures sûres et résilientes.
4. Investir dans un avenir résilient, notamment en réduisant les vulnérabilités techniques systémiques à travers l’écosystème numérique, en privilégiant la R et D en cybersécurité pour les technologies de nouvelle génération et en développant une main-d’œuvre nationale en cybersécurité qualifiée et diversifiée.
5. Forger des partenariats internationaux pour poursuivre des objectifs communs, incluant la mobilisation des coalitions internationales pour contrer les menaces, le renforcement de la capacité des partenaires à se défendre et la collaboration avec les alliés pour garantir des chaînes d’approvisionnement mondiales sûres, fiables et dignes de confiance pour les produits et services technologiques d’information, de communication et d’opérations.

Impact sur le secteur privé

Il est important de noter que cette nouvelle stratégie cybersécurité constitue un document d’orientation et non un décret présidentiel. Si la stratégie se concrétise en nouveaux règlements et lois, elle obligerait les entreprises à mettre en place des exigences minimales en matière de cybersécurité pour les infrastructures essentielles.

Cela pourrait potentiellement imposer une responsabilité aux entreprises qui ne sécurisent pas leur code conformément à ces règlements.

En outre, la stratégie met l’accent sur la priorisation de la R et D en cybersécurité pour les technologies de prochaine génération, telles que l’infonuagique et les technologies d’énergie propre. Toutefois, certains experts croient que les technologies émergentes mettront à l’épreuve la viabilité même de la stratégie.

Ari Jacoby, un dirigeant technologique spécialisé dans l’utilisation de l’IA pour lutter contre la fraude, a déclaré à ABC News que les mêmes avantages perçus dans les outils d’IA sont aussi vulnérables à des usages malveillants. L’accès public à l’information liée au génie logiciel pourrait permettre aux pirates d’utiliser des chatbots pour générer ou améliorer du code informatique malveillant. L’autre facette de cette réalité est que l’IA est conçue pour être agile et tenir compte des nouveaux développements dans le paysage mouvant de la cybersécurité.

En entrevue avec le New York Times, la directrice nationale de la cybersécurité Kemba Walden a souligné l’importance des fournisseurs de l’infonuagique et leur rôle dans la sécurisation des données. La stratégie dans son ensemble reconnaît que le secteur privé constitue une dépendance critique pour la sécurité nationale.