En matière de cybersécurité, l'administration Biden s'est engagée dans un vaste ensemble d'initiatives qui dépassent de loin celles de l'administration Trump - et même celles de l'administration Obama, qui a établi le précédent record en matière d'actions dans ce domaine. À la mi-octobre, la Maison-Blanche a publié une fiche d'information sur la « concentration incessante » de l'administration Biden-Harris sur l'amélioration de la cybersécurité de la nation pour vanter son impressionnant parcours.
Le document décrit les actions de l'administration depuis janvier 2020, date à laquelle le président Biden a pris la présidence au milieu des retombées des crises de sécurité de SolarWinds et de la chaîne d'approvisionnement autour de Microsoft Exchange. Comme l'explique la fiche d'information, le programme de cybersécurité de l'administration Biden s'est attaqué à un large éventail de défis nationaux et internationaux en matière de protection numérique. Et si le programme national de cybersécurité semble bien établi pour l'instant, les experts estiment que l'administration Biden peut encore faire plus sur la scène internationale.
Des mesures prises pour verrouiller les portes numériques
Dans sa fiche d'information, l'administration a déclaré qu'elle élaborait une approche globale pour « verrouiller nos portes numériques » et prendre des mesures énergiques pour renforcer et préserver la cybersécurité des États-Unis. Parmi les réalisations nationales citées, on note l'amélioration de la cybersécurité des infrastructures critiques, notamment « de multiples directives axées sur les performances de l'Administration de la sécurité des transports (TSA) visant à accroître la résilience en matière de cybersécurité pour les secteurs des pipelines et des chemins de fer, ainsi qu'une mesure sur les exigences cybernétiques pour le secteur de l'aviation ». La Maison Blanche liste également les objectifs de performance en matière de cybersécurité récemment publiés comme une mesure clé pour améliorer la sécurité des infrastructures critiques.
Il s’agit d’abord de « veiller à ce que les nouvelles infrastructures soient connectées et sûres grâce à une série d'efforts rendus possibles par la loi historique sur les infrastructures adoptée plus tôt cette année ». Dans un second temps, il faut « renforcer les exigences du gouvernement fédéral en matière de cybersécurité et placer la barre plus haut grâce au pouvoir d'achat du gouvernement », par le biais du vaste décret de M. Biden publié en mai 2021, qui exigeait que tous les systèmes du gouvernement fédéral adoptent des mesures de cybersécurité « percutantes », telles que l'authentification multifactorielle, créait une stratégie pour la mise en œuvre d'une architecture nationale de confiance zéro et exigeait des fonctions de sécurité dans tous les logiciels achetés par le gouvernement fédéral.
Renforcer la sensibilisation du public
L’administration Biden veut imposer des coûts et renforcer notre sécurité contre les pirates, y compris des sanctions contre ceux d'origine russe impliqués dans le piratage de SolarWinds et, bien que cela ne soit pas articulé dans la fiche d'information, sanctionner les échanges de crypto-monnaies pour couper les paiements de ransomware. Elle prévoit également de développer un label pour aider les Américains à savoir que leurs appareils sont sécurisés, y compris un label commun pour les produits qui répondent aux normes du gouvernement américain et sont testés par des entités contrôlées et approuvées. Le développement de la main-d'œuvre cybernétique de la nation est également à l’ordre du jour ainsi que le renforcement de l'éducation cyber, y compris un Sprint de 120 jours de formation dans ce domaine pour aider à palier la pénurie de talents.
Enfin, elle souhaite développer un chiffrement résistant à l'informatique quantique et prendre la tête de ce sujet grâce à quatre nouveaux algorithmes de cryptage qui feront partie de la norme cryptographique post-quantique du National Institute of Standards and Technology (NIST) et à un investissement accru en R&D dans la technologie quantique. Face à toutes ces mesures et à d'autres, telles que l'obligation de signaler les incidents et les paiements de ransomware, certains experts estiment qu'il est peut-être temps pour l'administration de faire une pause dans ses décrets et ses déclarations politiques afin de permettre à l'appareil fédéral de rattraper son retard. Bob Kolasky, vice-président senior pour les infrastructures critiques chez Exiger et ancien fonctionnaire du DHS, déclare : « Si j'étais l'administration, j'arrêterais de trouver d'autres bonnes idées et je prendrais les bonnes idées qu'elle a déjà trouvées pour m'assurer qu'elles sont effectivement mises en œuvre. Je pense qu'il y a un danger à essayer d'en faire trop, donc je ne pense pas que 2023 doive consister en plus de réglementation. Il faut accorder plus d'attention aux détails et obtenir un retour de l'industrie et des opérationnels pour s'assurer que les exigences mises en œuvre sont bien conçues ».
Les réalisations internationales mises en avant
En plus de la liste des réalisations nationales, la Maison Blanche met en avant plusieurs actions internationales. Il s'agit notamment de l'initiative mondiale de lutte contre les rançongiciels (International Counter Ransomware Initiative), qui a récemment tenu sa deuxième réunion, et de l'avancement des normes cybernétiques acceptées, comme elle l'a fait récemment en travaillant avec des partenaires internationaux pour dénoncer l'attaque contre-normative de l'Iran contre les systèmes du gouvernement albanais et imposer des coûts à Téhéran pour cet acte.
Le leadership américain en matière de cybersécurité face aux cybermenaces semble être une évolution bienvenue sur la scène mondiale. « La coordination au sein des États-Unis rend la coopération avec les nations partageant les mêmes idées plus facile et potentiellement plus efficace, une situation bienvenue pour les nations qui se retrouvent de plus en plus à jouer la cyberdéfense », explique Daniel Dobrygowski, responsable de la gouvernance et de la confiance au Centre pour la cybersécurité du Forum économique mondial.
« Les ransomwares transcendent les frontières internationales »
La participation des États-Unis à l'appel de Paris pour la confiance et la sécurité dans le cyberespace et leur engagement à co-développer des programmes de confiance numérique et des normes de cybersécurité dans le cadre du partenariat stratégique global entre les États-Unis et l'ANASE « montrent les débuts d'une stratégie réussie visant à créer des alliés sur les questions de cybersécurité internationale et de confiance numérique », déclare M. Dobrygowski. « Je pense que fondamentalement, le travail de l'administration Biden a été très bien accueilli », ajoute Lauren Van Wazer, vice-présidente, politique publique mondiale, chez Akamai et ancienne responsable de la cybersécurité à la Maison Blanche d'Obama.
« Dans le même temps, je ne pense pas que les pays restent les bras croisés et attendent et regardent. En particulier dans l'espace de signalement des cyber-incidents, vous avez beaucoup de pays qui ont adopté des réglementations » précise cette ancienne responsable de la cybersécurité. Les crimes tels que les ransomwares transcendent les frontières internationales, il est donc utile que les États-Unis jouent un rôle de premier plan, selon M. Kolasky. « Nous avons besoin d'un niveau de coordination et de collaboration en matière d'application de la loi sur le plan financier et d'application de la loi pour tenter de poursuivre les criminels responsables de ransomware », dit-il. Les États-Unis devraient alors « essayer d'établir une norme selon laquelle les pays seront punis s'ils sont perçus comme soutenant des bandes criminelles ou parrainant des bandes criminelles pour utiliser des ransomwares ».
Des mesures supplémentaires sont nécessaires sur la scène mondiale
Malgré ces réalisations, la Maison Blanche doit continuer à faire pression pour que de plus grandes avancées en matière de cybersécurité soient réalisées sur la scène internationale. Selon Lauren Van Wazer, une première étape essentielle consiste à harmoniser davantage la manière dont les partenaires internationaux abordent les politiques et les exigences en matière de cybersécurité, en commençant par le « fruit à portée de main » que constitue l'alignement des exigences en matière de réponse aux incidents de cybersécurité. « Si nous poussons les infrastructures critiques à être plus résilientes, sommes-nous en train d'adopter des normes dans l'UE qui ne correspondent pas exactement aux normes américaines ? » dit-elle. « Il y a juste une foule de domaines qui pourraient bénéficier de l'harmonisation des réglementations liées à la cybersécurité, tout, de la résilience aux réglementations sectorielles ».
Un autre domaine dans lequel les États-Unis pourraient faire preuve de leadership est la collaboration avec d'autres nations pour aider à résoudre la pénurie chronique de professionnels de l'infosécurité. « L'éducation a été perturbée dans le monde entier, ce qui signifie que moins de personnes obtiennent potentiellement toutes les qualifications dont elles ont besoin », commente Lauren Van Wazer, avant de conclure : « Je pense que les problèmes liés à la main-d'œuvre en matière de cybersécurité pourraient également être examinés dans une optique internationale. Et je pense qu'il est possible de faire davantage pour accroître le vivier de talents en matière de cybersécurité ».