Les nouvelles en provenance du Département du Trésor ont assuré à certains membres du Capitole un début d’année 2025 peu réjouissant.

Dans une lettre datée du 30 décembre adressée au président et au membre le mieux placé du Comité sénatorial sur la Banque, le Logement et les Affaires urbaines, l’agence fédérale a rapporté avoir subi une violation de cybersécurité après que des pirates informatiques aient accédé à une clé de sécurité utilisée par un fournisseur tiers, BeyondTrust. Le Trésor a attribué cette attaque à un acteur chinois soutenu par l’État, indiquant que les hackers ont eu accès à des stations de travail d’utilisateurs et à des documents non classifiés.

Cette violation du Département du Trésor via un tiers n’est pas un incident isolé. « Beaucoup de ces types d’attaques proviennent de tiers, que ce soit un fournisseur d’un produit ou d’un service, ou un fournisseur de logiciels utilisés pour soutenir le réseau d’une agence ou d’une entreprise », a déclaré Peter Warmka, ancien agent de la CIA et fondateur du cabinet de conseil en sécurité The Counterintelligence Institute.

La fréquence des attaques ciblant les fournisseurs rend essentiel un contrôle fédéral rigoureux sur les pratiques de cybersécurité de ces derniers, mais le rythme lent des procédures réglementaires et la nature unique du contrat fédéral peuvent compliquer la tâche des agences face à des menaces en évolution rapide.

Les normes de cybersécurité pour les contractants fédéraux sont régies par diverses sources ; le Federal Acquisition Regulation (FAR) régit les contrats civils fédéraux et inclut des dispositions relatives à la cybersécurité et à la notification des incidents. Le Bureau de la gestion et du budget exige que tous les fournisseurs de cloud fédéraux obtiennent une certification de sécurité par le biais du programme FedRAMP, et l’Institut national des normes et de la technologie crée des normes intégrées aux processus d’approvisionnement fédéraux. D’autres exigences proviennent de la Loi de modernisation de la sécurité des informations fédérales de 2014.

Les réglementations FAR sont actuellement en cours de mise à jour, le Département de la Défense (DoD), l’Administration des services généraux et la NASA ayant conjointement soumis des règles proposées pour réguler la notification des incidents et le partage d’informations (FAR 2021-017) et standardiser les exigences de cybersécurité pour les systèmes d’information non classifiés (FAR 2021-019).

Cependant, le processus de modification de ces règles peut être long ; les deux propositions de modifications ont été introduites en octobre 2023 et n’ont pas encore été finalisées.

Le rythme lent de l’élaboration des règles fédérales nécessite souvent que les réglementations de passation des marchés définissent des principes directeurs pour les marchés au lieu d’exiger des spécifications précises.

« Elles sont exprimées de manière plus aspirante, en utilisant les meilleures pratiques ou certaines exigences, et ce type de contenu est mis à jour plus régulièrement », a expliqué Alexander Southwell, associé chez McDermott Will & Emery, à Legaltech News. « Le processus de publication de nouvelles règles d’approvisionnement et de mise à jour des directives pour les fournisseurs de sécurité et les contractants prend du temps. Mais je ne pense pas que cela empêche les fournisseurs de rester en phase et à jour. »

Cependant, les agences gouvernementales doivent jongler avec la nécessité de sécuriser les systèmes informatiques sans encourir de coûts excessifs ni limiter l’utilité des services publics.

« Le jeu n’en vaut pas la chandelle s’il n’y a pas de données sensibles en jeu, si vous souhaitez essayer un produit plus innovant », a déclaré Erez Liebermann, partenaire en litige chez Debevoise & Plimpton, co-président du groupe technologie du cabinet, et membre du groupe stratégie de données et de sécurité. Utiliser des normes moins strictes pour permettre à des fournisseurs plus petits ou innovants de participer « peut être acceptable si les données concernées ne sont pas aussi critiques. Si l’accès aux services ou aux systèmes n’est pas lié à des systèmes serveurs connectés à d’autres systèmes plus critiques, vous pourriez vouloir permettre cela. »

Les fournisseurs tiers sont souvent la voie d’accès la plus simple à un réseau sécurisé, car ces entreprises sont souvent relativement petites et mal dotées en ressources. « Ces tiers sont rarement aussi sophistiqués que les plus grandes entreprises qui peuvent investir temps et argent dans leur propre sécurité », a ajouté Liebermann.

Cependant, gérer des réseaux non classifiés sans recourir à ces fournisseurs est souvent impraticable. « Même des réseaux très sensibles doivent trouver un bon équilibre entre un contrôle strict sur le système et l’utilisation d’autres ressources, ce qui est une manière beaucoup plus efficace de procéder », a déclaré Southwell. « À un certain niveau, c’est simplement quelque chose qui se produit lorsque vous gérez des réseaux. »

Une formation adéquate et un suivi constant peuvent être tout aussi cruciaux que la gestion des risques liés aux fournisseurs dès le départ. « Ce qui est essentiel en matière de cybersécurité, c’est de créer cette prise de conscience au sein de ces organisations. Parce qu’il ne s’agit pas seulement de connaître la vulnérabilité technique qui peut exister dans un produit, mais aussi de créer cette prise de conscience afin que les gens sachent ce qu’il faut surveiller », a indiqué Warmka.

Cela est particulièrement crucial lorsque le personnel et les technologies changent fréquemment. « La personne qui a intégré cet accord n’est peut-être plus celle qui l’applique quotidiennement. Et peut-être que la personne qui l’applique fonctionne en pilotage automatique et n’est pas consciente de ce qui est réellement requis ou non », a noté Erik Weinick, partenaire chez Otterbourg et cofondateur du département de confidentialité et de cybersécurité du cabinet.

« Les meilleures pratiques évoluent au fil du temps, et vous ne voulez pas nécessairement renégocier un accord chaque fois qu’il y a un changement technologique, mais vous devez en avoir conscience. »

Étant donné la quasi-inévitabilité des violations, un rapport adéquat sur les incidents et des enquêtes de suivi sont essentiels. « Les obligations contractuelles concernant le reporting et la rapidité de ce dernier sont vraiment cruciales », a souligné Weinick. « Toutes les protections contractuelles du monde ne peuvent pas empêcher l’accès au système de votre partenaire, et cela peut avoir des répercussions sur votre propre système. »

Le rapport rapide de la violation chez BeyondTrust pourrait aussi bien être un signe que le Trésor fait un bon travail en matière de gestion de la cybersécurité des fournisseurs que le reflet d’un problème. « Cela pourrait illustrer un système qui fonctionne bien », a déclaré Southwell. « Ils ont identifié un problème. Ils ont alerté tout le monde. Ils ont réussi à le contenir avant que cela ne devienne un problème significatif. »

Bon à savoir

  • Les menaces de cybersécurité touchent souvent des entreprises tierces.
  • Les ajustements réglementaires prennent du temps, ce qui peut affecter la rapidité de réponse aux nouvelles menaces.
  • Le fournisseur idéal doit être capable de se conformer aux normes de sécurité tout en offrant des solutions innovantes.

En conclusion, l’équilibre entre sécurité, coût et innovation est un défi permanent pour les agences gouvernementales. Cela soulève une question essentielle : comment les organisations peuvent-elles améliorer leur cybersécurité tout en soutenant des écosystèmes d’innovation dynamique ?



  • Source image(s) : www.law.com
  • Source : https://www.law.com/legaltechnews/2025/01/08/following-treasury-hack-do-federal-cybersecurity-standards-need-an-update/


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *