Le gouvernement des États-Unis fait un bond significatif en avant dans le domaine de la cybersécurité. Le nouvel Ordre Exécutif sur le Renforcement et la Promotion de l’Innovation dans la Cybersécurité nationale appelle l’administration américaine à renforcer la sécurité de ses propres systèmes. De nouvelles exigences en matière d’acquisition de cybersécurité pour les entrepreneurs fédéraux auront un impact considérable en utilisant le pouvoir de l’achat pour stimuler la demande de bonnes pratiques en matière de cybersécurité.
Bien qu’il s’agisse d’une avancée majeure, cet ordre exécutif illustre également la concentration croissante que le gouvernement fédéral des États-Unis a accordée à la cybersécurité au fil de deux administrations. Depuis 2016, au moins dix ordres exécutifs liés à la cybersécurité ont été émis. Celui d’aujourd’hui s’appuie directement sur un ordre précédent de 2021, tout en se fondant également sur d’autres initiatives de manière moins explicite. Par exemple, un ordre de 2017 a incité à des efforts contre les botnets, favorisant ainsi la sensibilisation aux problèmes de sécurité du routage tant dans le secteur privé que public, ce qui a finalement conduit aux exigences de sécurité du routage observées dans l’ordre exécutif d’aujourd’hui.
La diversité des sujets abordés est impressionnante, trop variée pour être traitée dans un seul article, nous nous concentrerons donc sur quelques points qui nous enthousiasment particulièrement, à la Société Internet :
Sécurité du routage
L’ordre exécutif demande aux agences gouvernementales américaines de signer des contrats avec l’American Registry for Internet Numbers (ARIN) et d’établir des Autorisations d’Origine de Route (ROAs) en utilisant l’Infrastructure à Clé Publique de Ressources (RPKI). Les ROAs valident de manière cryptographique les annonces de routage, permettant ainsi aux autres opérateurs de réseau d’éviter des incidents de routage.
En mai 2024, nous avons souligné que “seulement environ 1% des routes des réseaux gérés par le gouvernement américain pouvaient être vérifiées avec RPKI”, donc ces nouvelles mesures constitueront une avancée considérable. De plus, l’ordre prévoit la création de nouvelles exigences en matière d’acquisition pour les entrepreneurs fédéraux, qui devront s’enregistrer pour les ROAs et mettre en œuvre la Validation d’Origine de Route (ROV), un système qui utilise les ROAs pour filtrer les annonces de routage invalides.
Grâce à notre soutien à l’initiative des Normes Mutuellement Acceptées pour la Sécurité du Routage (MANRS), nous avons œuvré à développer une sécurité de routage forte en tant que différenciateur concurrentiel, afin d’inciter l’industrie à s’attaquer à ce problème. Faire de la sécurité du routage une exigence d’acquisition constitue un coup de pouce important pour façonner la demande du marché.
Chiffrement de bout en bout
L’ordre exige un chiffrement fort pour les communications gouvernementales fédérales, y compris pour les systèmes de messagerie électronique, de voix et de vidéoconférence. Cela inclut l’utilisation du chiffrement de transport et du chiffrement de bout en bout par défaut lorsque cela est possible, tout en continuant à consigner et archiver les communications. L’ordre reconnaît également que le chiffrement fort est une pratique essentielle en matière de cybersécurité.
C’est une orientation bienvenue qui permettra de définir une base cruciale pour l’adoption du chiffrement par défaut, protégeant ainsi la confidentialité et la sécurité des communications gouvernementales, tout en les préservant des interceptions malveillantes.
Sécurité du système de noms de domaine
L’ordre rendra obligatoire le soutien et l’activation de protocoles de système de noms de domaine (DNS) chiffrés, non seulement pour les agences gouvernementales, mais aussi comme exigence d’acquisition pour tout produit agissant comme un résolveur DNS pour les agences fédérales. Le DNS sert de répertoire pour Internet, facilitant la navigation et permettant aux services en ligne de garantir une grande résilience.
En mettant en œuvre le DNS chiffré et en en faisant une exigence d’acquisition, le gouvernement américain protégera mieux la sécurité et la confidentialité de ses utilisateurs. Cela contribuera également à modeler le marché du DNS sécurisé, accroissant son utilisation dans le secteur privé.
Sécurité de la couche de transport
L’ordre exige des agences gouvernementales américaines qu’elles prennent en charge le protocole de sécurité de la couche de transport version 1.3 (TLS 1.3) ou une version successeur “dans les meilleurs délais”, mais au plus tard le 2 janvier 2030. Le TLS est une norme Internet, développée par l’Internet Engineering Task Force (IETF), qui permet de prévenir l’interception, la falsification et le détournement des messages dans diverses applications Internet.
Le TLS 1.3 aborde les problèmes connus des versions précédentes et améliore la sécurité ainsi que la performance. En s’engageant à mettre en œuvre le TLS 1.3, le gouvernement américain améliorera non seulement la sécurité de ses propres réseaux, mais enverra également un message de confiance en cette technologie. Montrer l’exemple peut encourager d’autres gouvernements et acteurs du secteur privé à adopter également le TLS 1.3.
La sécurité d’Internet repose sur l’action de nombreux acteurs faisant face aux défis qui les concernent le plus. Lorsqu’un grand acteur comme le gouvernement américain adopte des meilleures pratiques en matière de cybersécurité pour faire face aux défis qui se posent dans son propre secteur d’Internet, un effet d’entraînement positif se met en place, incitant à une adoption encore plus large parmi les parties prenantes.
L’ordre exécutif d’aujourd’hui sur la cybersécurité représente un moment clé, et la Société Internet est ravie de pouvoir servir de ressource au gouvernement américain lors de la mise en œuvre de cet ordre.
Pour en savoir plus sur les technologies qui permettent à Internet de croître et d’évoluer en toute sécurité, consultez le site Internet Society Pulse.
Image © Photo par Nils Huenerfuerst sur Unsplash.
Bon à savoir
- La mise en œuvre des mesures de cybersécurité peut contribuer à réduire les risques de cyberattaques ciblant les systèmes gouvernementaux.
- Le chiffrement par défaut est essentiel pour protéger l’intégrité et la confidentialité des communications sensibles.
- La sensibilisation à la sécurité du routage est cruciale pour maintenir la stabilité d’Internet face aux menaces croissantes.
Enfin, ces efforts soulignent l’importance d’une approche collective face aux défis de la cybersécurité. Chacun, du gouvernement aux entreprises privées, a un rôle à jouer pour créer un environnement Internet plus sûr et plus résilient. Comment cette dynamique se traduira-t-elle dans la pratique, et quels seront les impacts à long terme sur la sécurité globale des infrastructures critiques ?
Cet ordre exécutif marque un tournant important pour la cybersécurité. La sécurité renforcée et l’accent sur le chiffrement vont sûrement instaurer plus de confiance dans nos systèmes gouvernementaux.
C’est un pas important pour renforcer la sécurité d’Internet. Enfin, le gouvernement met en place des mesures qui protègent nos informations et notre vie privée.
Cette initiative résonne comme une mélodie promise, élevant la cybersécurité à une nouvelle dimension. Les mesures proposées semblent prometteuses pour un Internet plus sûr et inspirant.
L’ordre exécutif sur la cybersécurité est un pas en avant essentiel. Le chiffrement et la sécurité du routage renforceront la confiance dans nos infrastructures critiques.
Ce nouvel ordre exécutif est comme une toile où chaque couche de sécurité peint un tableau plus robuste de notre cybersécurité. Une vraie avancée, j’espère qu’elle inspirera d’autres à suivre le mouvement.
Cet ordre exécutif marque un tournant positif pour la cybersécurité. En exigeant des pratiques innovantes, il pourrait transformer la sécurité des communications gouvernementales et influencer le secteur privé.