Le 16 janvier, l’administration Biden a publié l’Ordonnance Exécutive sur le Renforcement et la Promotion de l’Innovation dans la Cybersécurité Nationale. Dans un contexte de menaces croissantes, il est essentiel que le gouvernement américain prenne des mesures pour sécuriser davantage l’infrastructure numérique du pays. Cette ordonnance fait suite à des cyberattaques, telles que Salt Typhoon, menées par des groupes de menace basés en Chine et soutenus par la République Populaire de Chine, qui, la semaine dernière encore, a violé les systèmes du Département du Trésor américain.

L’Ordonnance vise à s’appuyer sur l’Ordonnance Exécutive 14028 de Joseph R. Biden et se concentre sur la capacité de la nation à faire face à des menaces clés et à se défendre contre les campagnes cybernétiques persistantes visant les États-Unis et leurs citoyens, tout en garantissant la sécurité des services et des capacités les plus cruciaux pour le domaine numérique.

À l’approche de la fin de l’administration Biden et alors que Donald J. Trump sera investi le 20 janvier, il est important de rappeler que la cybersécurité n’est pas une question partisane, mais un enjeu de sécurité nationale. Comme pendant le premier mandat de Trump, Tenable se tient prêt à collaborer avec l’équipe entrante pour évaluer et défendre les réseaux critiques du gouvernement et des entreprises afin de protéger les citoyens américains et d’assurer la résilience de notre infrastructure essentielle.

Bien que l’Ordonnance vise principalement les agences gouvernementales, bon nombre des principes qui la sous-tendent sont également pertinents pour les organisations du secteur privé cherchant à améliorer leur posture de sécurité. Elle comprend des recommandations sur la gestion des tiers, l’adoption de pratiques de sécurité éprouvées pour mieux identifier les menaces sur les réseaux et l’infrastructure cloud, ainsi que des conseils sur la sécurisation des communications numériques. Les mesures proposées touchent également à la lutte contre la cybercriminalité et à l’encouragement de la sécurité par le biais de l’intelligence artificielle (IA).

6 dispositions clés de l’Ordonnance Exécutive sur le Renforcement et la Promotion de l’Innovation dans la Cybersécurité Nationale

1. Operationalisation de la transparence et de la sécurité dans les chaînes d’approvisionnement en logiciels tiers

L’Ordonnance exige des agences fédérales qu’elles adoptent des pratiques de gestion des risques tiers plus rigoureuses afin d’assurer la sécurité des fournisseurs de logiciels opérant au sein du gouvernement fédéral. Cela inclut :

  • La soumission par les fournisseurs de logiciels d’attestations de développement sécurisé et d’artefacts de haut niveau pour valider ces attestations auprès de la Cybersecurity and Infrastructure Security Agency (CISA).
  • La création de directives et de pratiques de sécurité établies par l’Institut National des Normes et Technologies (NIST) pour une acquisition de logiciels sûre et sécurisée, qui seront incorporées dans le Cadre de Développement de Logiciels Sécurisés (SSDF) et, en fin de compte, dans le Mémo M-22-18 du Bureau de la Gestion et du Budget de la Maison Blanche.
  • La conformité des agences fédérales aux directives de la Publication Spéciale NIST 800-161 Révision 1 pour intégrer les programmes de gestion des risques liés à la chaîne d’approvisionnement en cybersécurité dans les activités de gestion des risques plus larges.
  • La CISA et l’Administration des Services Généraux publieront des recommandations sur la gestion des logiciels open source.

Comment se préparer : Commencez par dresser un inventaire de tous les fournisseurs tiers avec lesquels votre agence travaille. Quelle visibilité avez-vous sur le niveau de risque que ces fournisseurs représentent ? Leur logiciel est-il essentiel au fonctionnement de votre agence ? Peut-il accéder à des données sensibles, telles que des informations personnelles identifiables (PII) ? Offre-t-il une opportunité à un attaquant d’accéder ou de se déplacer latéralement dans votre infrastructure ?

2. Amélioration de la cybersécurité des systèmes fédéraux

Cette section de l’Ordonnance met l’accent sur l’adoption de pratiques de sécurité éprouvées afin de mieux identifier les menaces sur les réseaux et de renforcer la sécurité des systèmes cloud. Les points clés incluent :

  • Gestion des identités et des accès (IAM) : Les pratiques de gestion des identités et des accès sont essentielles et doivent être intégrées dans la stratégie de sécurité générale de l’agence.
  • Sécurité dans le cloud : Afin de sécuriser les données fédérales dans le cloud, l’Ordonnance exige que les fournisseurs de services cloud sur le marché FedRAMP produisent des lignes de base avec des spécifications et des recommandations pour les configurations d’agences de systèmes basés sur le cloud.
  • Sécurité dans l’espace : La sécurité des systèmes spatiaux doit être renforcée pour s’adapter à l’évolution des menaces. L’Ordonnance exige que les agences prennent des mesures pour vérifier en continu que les systèmes fédéraux dans l’espace possèdent les capacités de cybersécurité requises à travers des évaluations continues, des tests, des exercices et des simulations.

Comment se préparer : Auditez vos systèmes de gestion des identités et des accès. Prenez-vous en compte les privilèges des utilisateurs dans votre évaluation des risques ? Évaluez le niveau d’accès et de visibilité dont votre équipe de sécurité dispose sur votre infrastructure cloud. Votre agence dispose-t-elle de processus continus pour gérer les identités et les privilèges dans les environnements cloud ? À quel stade la sécurité est-elle intégrée dans vos déploiements cloud ? Cela devrait être pris en compte à chaque étape, depuis l’idéation jusqu’au développement et au déploiement des systèmes. Effectuez-vous un suivi continu des systèmes IAM, cloud et de l’espace (le cas échéant) ? De nombreux contrats tiers ont été signés avant les examens de gestion des risques de la chaîne d’approvisionnement. Vos contrats tiennent-ils compte des exigences en matière de sécurité ?

3. Sécurisation des communications fédérales

L’Ordonnance souligne l’importance de sécuriser nos réseaux de communication contre les cyberattaques et établit des directives et des procédures pour garantir la sécurité des communications fédérales. Les points clés incluent :

  • Une forte authentification des identités et un cryptage doivent être mis en œuvre.
  • Le cryptage du trafic DNS est crucial.
  • Les messages électroniques, ainsi que les communications modernes telles que la visioconférence et la messagerie instantanée, doivent être cryptés en transit et, lorsque cela est possible, utiliser le cryptage de bout en bout.
  • Les ordinateurs quantiques représentent un risque significatif pour la sécurité nationale. Les agences devraient exiger un cryptage post-quantique pour les catégories de produits applicables, tel que défini par la CISA.
  • Le gouvernement fédéral doit protéger et auditer l’accès aux clés cryptographiques avec des cycles de vie prolongés. Des directives seront élaborées par le NIST, et les exigences FedRAMP seront mises à jour pour incorporer ces directives.

Comment se préparer : Évaluez vos capacités d’authentification des identités et de cryptage pour toutes les formes de communication, du DNS aux systèmes d’e-mail. Suivez-vous les Directives sur l’Identité Numérique NIST SP 800-63 ? Existe-t-il des lacunes dans vos systèmes qui doivent être comblées ? Y a-t-il des catégories de produits dans vos systèmes qui nécessiteraient un cryptage post-quantique ? Les systèmes non conformes au quantique présenteront de plus en plus de risques à mesure que les technologies quantiques redéfiniront radicalement le cryptage.

4. Solutions pour lutter contre la cybercriminalité et la fraude

Avec la demande croissante de services numériques, il est essentiel que les agences adoptent des solutions de vérification d’identité numérique garantissant un accès sécurisé, améliorant l’accessibilité et prévenant la fraude. Cette section de l’Ordonnance encourage l’utilisation sécurisée et adéquate de documents d’identité numérique pour accéder à des programmes d’aide publique nécessitant une vérification d’identité. Elle précise que le NIST publiera des directives de mise en œuvre et que le Trésor développera un programme pilote pour informer les individus lorsque leurs informations d’identité sont utilisées pour demander un paiement d’un programme d’aide publique.

Comment se préparer : Évaluez votre stratégie de vérification d’identité numérique. Comment prévenez-vous la fraude d’identité numérique ? Quels indicateurs de performance clés (KPI) utilisez-vous pour suivre l’efficacité de votre programme ? Avez-vous envisagé une stratégie de vérification plus rigoureuse qui vérifie les identités en amont ? Utilisez-vous une approche holistique de vérification d’identité qui valide plusieurs aspects de l’identité d’une personne ?

5. Promotion de la sécurité grâce à l’intelligence artificielle (IA)

L’IA émerge comme un atout majeur dans la lutte continue pour la cybersécurité fédérale. Ainsi, l’Ordonnance appelle le gouvernement fédéral à accélérer le développement et le déploiement de l’IA, en particulier en ce qui concerne l’amélioration de la cybersécurité des infrastructures critiques. L’Ordonnance établit également un programme pilote sur l’utilisation de l’IA pour renforcer les défenses cybernétiques des infrastructures critiques et accélère la recherche à l’intersection de l’IA et de la cybersécurité.

Comment se préparer : Évaluez comment l’IA peut être intégrée dans votre stratégie de sécurité afin de réduire les risques. Disposez-vous de directives pour l’utilisation de l’IA dans votre agence ? Avez-vous testé des outils de sécurité basés sur l’IA ? Existe-t-il des moyens de tirer parti de l’IA pour alléger la charge de vos équipes de sécurité ?

6. Alignement de la politique à la pratique

Cette section de l’Ordonnance se concentre sur la modernisation de l’infrastructure informatique fédérale et des réseaux pour mieux se défendre contre les cyberattaques et réduire les risques cybernétiques. Elle met l’accent sur l’élaboration de directives pour aider les agences à partager et échanger des informations sur la cybersécurité, obtenir une visibilité à l’échelle de l’entreprise, et se préparer à être tenues responsables des programmes de cybersécurité à l’échelle de l’entreprise. Elle promeut également l’adoption de pratiques de cybersécurité évolutives, telles que la migration vers un modèle de zéro confiance, et assure que les agences peuvent identifier, évaluer et réagir aux risques liés à la concentration des fournisseurs informatiques.

Comment se préparer : Évaluez la visibilité dont vous disposez actuellement sur votre infrastructure informatique. Êtes-vous en mesure d’évaluer en permanence les vulnérabilités et les erreurs de configuration dans vos environnements sur site et cloud, avec le contexte d’identité et de privilèges d’accès afin d’avoir toujours une vue à jour de vos risques ? Disposez-vous d’un système pour générer rapidement des rapports que vous pouvez partager avec d’autres agences ?

“L’attaque Salt Typhoon et les violations du département du Trésor illustrent ce qui peut arriver lorsque des systèmes de cybersécurité obsolètes offrent des opportunités à des adversaires motivés et bien dotés. Ces attaques n’ont pas seulement sapé la confiance du public, elles ont aussi compromis notre défense nationale, perturbé des services essentiels et créé une tête de pont pour des adversaires comme la Chine pour perturber notre mode de vie. Cette ordonnance constitue un pas dans la bonne direction en mettant en œuvre des chaînes d’approvisionnement en logiciels tiers sécurisés et en améliorant la cybersécurité des systèmes fédéraux ainsi que des communications. Comme l’indiquent les nouvelles d’attaques récentes, ces types de mises à jour étaient depuis longtemps nécessaires.”Robert Huber, Directeur de la sécurité, Responsable de la recherche et Président du secteur public de Tenable

Conclusion

L’Ordonnance Exécutive sur le Renforcement et la Promotion de l’Innovation dans la Cybersécurité Nationale aborde certaines des préoccupations les plus pressantes en matière de cybersécurité, notamment la sécurité de la chaîne d’approvisionnement en logiciels, la nécessité d’améliorer la visibilité sur des systèmes tels que la gestion des identités et des accès et l’infrastructure cloud, le besoin de protéger les communications par un cryptage de bout en bout et le potentiel de l’IA pour soutenir les efforts de cybersécurité. Les dispositions qu’elle propose offrent un plan d’action en vue d’améliorer la cybersécurité pour les agences gouvernementales tout en fournissant des recommandations pertinentes pour les organisations du secteur privé cherchant à réduire les risques cybernétiques.

 

Bon à savoir

  • La cybersécurité est un domaine en constante évolution, et il est crucial pour les entreprises et les organisations gouvernementales de rester à jour sur les menaces émergentes.
  • Les outils d’intelligence artificielle trouvent progressivement leur place dans les stratégies de sécurité, offrant des approches innovantes face aux attaques cybernétiques.
  • La collaboration entre le secteur public et le secteur privé est essentielle pour renforcer la défense nationale contre les menaces cybernétiques.

En conclusion, face aux défis croissants de la cybersécurité, il est impératif que toutes les parties prenantes collaborent et s’adaptent aux nouvelles réglementations tout en veillant à ce que les mesures soient réellement efficaces. Comment les différents secteurs peuvent-ils travailler ensemble pour renforcer la sécurité numérique de notre société?




Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *