Le Programme de Subventions pour la Cybersécurité État et Local, qui arrive à expiration à la fin de ce mois, est en bonne voie pour être réautorisée, bien que la législation qui doit le faire ne contient pas encore de chiffres précis. Combien d’argent est nécessaire pour protéger l’infrastructure numérique des gouvernements locaux et d’État ?
Le projet de loi Protecting Information by Local Leaders for Agency Resilience, ou PILLAR, a été présenté mardi et a commencé à être examiné par les différentes commissions, suscitant des commentaires favorables des deux côtés de l’enceinte. Le député Andy Ogles, Républicain du Tennessee, qui a proposé le projet de loi, a affirmé qu’il souhaitait généralement que Washington “fasse moins”, mais qu’il reconnaissait qu’il ne fallait pas “laisser nos communautés et gouvernements locaux exposés”, de peur que cela n’entraîne des coûts encore plus élevés plus tard.
“Je ne pense pas qu’il existe un chiffre magique”, a déclaré Erik Avakian, ancien responsable de la sécurité de l’information en Pennsylvanie. “La plupart du temps, ces projets sont toujours sous-financés. Ils devraient vraiment demander aux États : ‘De quoi avez-vous besoin ?’”
Avakian, qui travaille maintenant comme conseiller exécutif en cybersécurité chez Info-Tech Research Group, a mentionné qu’un système de financement flexible serait judicieux compte tenu des évolutions possibles au cours de dix ans, rendant difficile la prévision des besoins de chacun.
“En Pennsylvanie, nous avons maximisé l’utilisation de ces fonds en mettant en place un service partagé pour la formation à la sécurité informatique,” se souvient Avakian des débuts de la subvention. “Nous avons augmenté notre nombre de licences de 80 000 à environ 250 000, ce qui a réduit le coût par licence.”
Il a ajouté que de nombreux responsables gouvernementaux considèrent le milliard de dollars alloué pour les quatre premières années du programme comme un “point de départ” à partir duquel construire. Cinq groupes industriels, dirigés par l’Alliance for Digital Innovation, ont suggéré mardi aux législateurs un montant de 4,5 milliards de dollars sur deux ans.
Cependant, dans sa forme actuelle, le projet de loi PILLAR réautoriserait les subventions pour une durée de dix ans, une période appréciée par la National Association of State Chief Information Officers (NASCIO), un groupe qui plaide en faveur de la réautorisation et de l’élargissement de ce programme. Alex Whitaker, directeur des affaires gouvernementales de NASCIO, a exprimé sa satisfaction concernant le fait que la réautorisation soit à l’ordre du jour, à cela s’ajoute une période de dix ans qu’il considère comme un avantage appréciable.
Utilisant la même formulation qu’Avakian, Whitaker a convenu que le montant initial de financement du programme n’a jamais été perçu par les responsables étatiques ou locaux comme particulièrement généreux.
“Nous avons toujours vu le SLCGP comme davantage un point de départ et nous devons continuellement étendre nos efforts, non seulement parce que les États et les gouvernements locaux le souhaitent, mais aussi parce que la menace augmente chaque année et que les attaques deviennent de plus en plus sophistiquées,” a-t-il déclaré.
Le projet de loi PILLAR exigerait des États qu’ils fournissent une participation financière équivalente à 60 %, ce que Whitaker qualifie de relativement élevé, mais qui présente au moins l’avantage de la constance. Dans le programme initial, la part requise par les gouvernements étatique et local augmentait chaque année, et certains gouvernements ont signalé des difficultés à trouver suffisamment de financement.
La réautorisation continuera également à obliger les États à affecter 80 % des fonds reçus à leurs gouvernements locaux, et permettra toujours aux États de fournir des services de sécurité en nature pour répondre à cette exigence.
“Nous pensons que c’est la manière la plus efficace de procéder, car si vous devez faire un chèque à chaque gouvernement local souhaitant postuler, cet argent ne suffira pas très longtemps,” a affirmé Whitaker. “De cette façon, les États disposent déjà de programmes existants pour les évaluations et l’authentification multifactorielle, par exemple ; vous pouvez utiliser cet argent pour renforcer ces programmes plutôt que de demander aux gouvernements locaux d’acheter de nouvelles technologies et de mettre en place leurs propres programmes.”
Pour les groupes de gouvernements qui se regroupent, la part financière est légèrement plus importante — 70 % — bien que personne interviewé pour cet article ne soit au courant d’un groupe d’États ayant collaboré sur des subventions au cours des quatre premières années du programme. Avakian a exprimé son souhait de voir les États établir des partenariats régionaux pour réaliser des économies sur les achats en gros, notant même que le regroupement des 50 États pourrait présenter des avantages, bien qu’il admette que cela serait probablement impossible Politique.
Une autre modification que le projet de loi PILLAR apporterait au programme de subventions en cybersécurité serait l’intégration de l’intelligence artificielle (IA). Le terme “intelligence artificielle” est mentionné 26 fois dans le texte du projet de loi. Avakian a souligné que l’IA est devenue un composant de plus en plus influent en cybersécurité, tant pour les attaquants que pour les défenseurs, ce qui pourrait expliquer son inclusion.
Travis Hall, directeur de l’engagement des États au Center for Democracy and Technology, a ajouté qu’il est simplement à la mode, notamment sous l’administration Trump et au sein du Parti Républicain, d’inclure des mentions de l’IA. La Maison Blanche n’a guère pu accorder davantage de gravité à cette technologie, affirmant en juillet dernier, avec la publication de son Plan d’Action sur l’IA, qu’elle allait de pair avec une “révolution industrielle, une révolution de l’information et un renouveau.”
Le Plan d’Action sur l’IA de Trump appelle la Commission fédérale des communications à évaluer si les lois étatiques sur l’IA interfèrent avec sa capacité d’opération, et demande à d’autres agences fédérales d’identifier les lois étatiques sur l’IA qui sont contraignantes pour l’industrie privée et de suspendre le financement jusqu’à ce que ces lois soient modifiées. Hall a suggéré que les nombreuses mentions de l’IA dans le projet de loi PILLAR visaient à servir de support au Plan d’Action sur l’IA, mais il favorise une explication plus simple, à savoir que l’IA est tout simplement à la mode. Après tout, Donald Trump n’a jamais été scrupuleux en matière de règles lorsqu’il s’agit de supprimer des programmes ou de ne pas accorder de financement aux initiatives qui ne lui plaisent pas.
Bon à savoir
- Le programme de subventions est conçu pour améliorer la cybersécurité des gouvernements locaux et d’État, face à une menace croissante.
- Le financement sous-estimé des initiatives de cybersécurité a conduit à un besoin pressant d’une meilleure allocation des ressources.
- La collaboration entre États pour des achats groupés pourrait réduire les coûts et améliorer l’efficacité des programmes de sécurité.
En somme, alors que la question du financement de la cybersécurité reste cruciale, la façon dont les États et les gouvernements locaux s’unissent pour partager des ressources et des expertises pourrait avoir un impact significatif sur l’efficacité de leurs défenses numériques. N’est-il pas temps d’envisager des solutions encore plus collaboratives afin de renforcer notre résilience face aux menaces en constante évolution ?