Un nouvel ordre exécutif sur la cybersécurité par l’administration Biden

Face aux menaces posées par des adversaires étrangers et des organisations criminelles, l’administration Biden a présenté un nouvel ordre exécutif ambitieux sur la cybersécurité. Signé le 16 janvier 2025, dans les derniers jours de son mandat, cet ordre, intitulé “Ordre Exécutif sur le Renforcement et la Promotion de l’Innovation dans la Cybersécurité de la Nation”, s’inscrit en continuité avec un précédent ordre de 2021 (E.O. 14028). Ce nouvel ordre introduit des objectifs plus ambitieux et impose de nouvelles exigences aux entrepreneurs gouvernementaux, développeurs de logiciels et fournisseurs de services cloud (CSP). Pour le secteur technologique, une des bonnes nouvelles réside dans l’encouragement pour les agences fédérales d’adopter l’identification numérique et d’intégrer des outils tels que l’intelligence artificielle (IA) et le chiffrement dans leur défense cybernétique.

Voici les principales dispositions de cet ordre, pertinentes pour les producteurs de logiciels et les CSP fournissant des services aux agences fédérales. Bien que cet ordre soit publié à la fin de l’administration actuelle, il existe des preuves solides que l’administration entrante est peu susceptible de rejeter en bloc les changements proposés.

Renforcement de la Sécurité de la Chaîne d’Approvisionnement Logiciel

Attestation et Artéfacts Logiciels

À partir de 2024, les développeurs de logiciels devront remplir un formulaire d’attestation de développement sécurisé pour vendre (ou permettre à d’autres de revendre) leurs produits logiciels au gouvernement fédéral. L’ordre renforce cette exigence et propose d’autres obligations pour garantir que les fournisseurs de logiciels adoptent des pratiques d’acquisition et de développement sécurisées, limitant ainsi les vulnérabilités et les menaces sur les systèmes gouvernementaux. Il souligne que, bien que ces fournisseurs s’engagent en matière de sécurité dans leurs contrats, ils “ne corrigent pas les vulnérabilités exploitables bien connues”, exposant ainsi le gouvernement à des risques de compromission.

Parmi les changements envisagés, on note une extension des exigences d’attestation de développement sécurisé, incluant l’obligation pour les producteurs de logiciels de fournir des artéfacts de validation de haut niveau avec leurs attestations exploitables. Ces informations devront être remit à l’Agence de Cybersécurité et de Sécurité des Infrastructures (CISA) via un répertoire centralisé pour les attestations et artéfacts logiciels.

Autres Pratiques d’Acquisition de Logiciels Sécurisés

L’ordre requiert également que la CISA mette à jour le formulaire d’attestation de développement logiciel selon des orientations à venir de l’Institut National des Standards et de la Technologie (NIST). NIST se voit chargé de fournir des directives sur la gestion des mises à jour de manière sécurisée, en plus de développer des pratiques pour un développement et une livraison sécurisés. Proposer une intégration de la cybersécurité dans le cycle de vie des acquisitions représente également une avancée majeure, avec une prise en compte des cyber-risques à chaque étape du processus d’achat.

Pratiques Cybernétiques Minimales pour Tous les Entrepreneurs Fédéraux

En reconnaissant que la gestion des risques cybernétiques est désormais une pratique quotidienne pour toutes les entreprises, l’ordre demande à NIST de fournir des recommandations sur les pratiques de cybersécurité courantes dans les 240 jours suivant sa signature. De plus, il impose que tous les entrepreneurs suivent des pratiques minimums de cybersécurité, ainsi que l’obligation pour les produits de l’internet des objets vendus au gouvernement de porter le label Cyber Trust des États-Unis.

Nouvelles Obligations pour les Fournisseurs de Services Autorisés FedRAMP

L’ordre indique aux responsables du Programme Fédéral de Gestion des Risques et d’Autorisation (FedRAMP) de développer des politiques qui motivent ou imposent aux CSP autorisés par FedRAMP de fournir des bases et recommandations pour le système cloud des agences. Cela comprend également la mise à jour des exigences de sécurité pour intégrer des lignes directrices sur la gestion sécurisée des clés cryptographiques.

Opportunités pour l’Industrie Technologique

Ce nouvel ordre souligne que le gouvernement fédéral doit adopter des pratiques commerciales éprouvées pour renforcer ses réseaux. Cela passe par l’intégration de solutions commerciales dans divers secteurs, très notamment en matière d’intelligence artificielle, de détection et de réponse aux menaces. En ce qui concerne l’IA, il est proposé de développer des programmes pilotes pour utiliser des modèles avancés dans le cadre de la défense cybernétique.

Provisions Diverses Remarquables

Enfin, ce nouvel ordre élargit la portée d’une directive de 2015, permettant la saisie d’actifs de personnes s’engageant dans des activités malveillantes. Ce point pourrait ouvrir de nouvelles perspectives pour les entrepreneurs.

Bon à savoir

  • L’ordre de 2025 fait suite à plusieurs initiatives précédentes visant à renforcer la cybersécurité au sein des agences gouvernementales.
  • Le respect des nouvelles exigences par les fournisseurs de logiciels pourrait avoir un impact significatif sur le marché des technologies de la sécurité.
  • La coordination entre différentes agences comme NIST et CISA pourrait faciliter l’implémentation des nouvelles normes de cybersécurité.

Penchons-nous donc sur ces bouleversements dans le domaine de la cybersécurité : seront-ils suffisants pour contrer les menaces grandissantes ? Les entreprises devront-elles adapter leur approche opérationnelle pour se conformer à ces exigences croissantes, tout en continuant à innover ? La discussion reste ouverte.




Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *