Nouvelle stratégie de cybersécurité publiée par l’administration Biden
Le gouvernement américain prévoit d’étendre les exigences minimales en matière de cybersécurité pour les secteurs critiques et d’être plus rapide et plus agressif dans la prévention des cyberattaques avant qu’elles ne se produisent, notamment en utilisant des outils militaires, répressifs et diplomatiques, selon un document stratégique de l’administration Biden publié jeudi.
L’administration démocrate a également l’intention de travailler avec le Congrès sur une législation qui imposerait une responsabilité légale aux fabricants de logiciels dont les produits ne respectent pas les garanties de base en matière de cybersécurité, ont indiqué les responsables.
La stratégie codifie en grande partie le travail qui a déjà été entrepris au cours des deux dernières années à la suite d’une série d’attaques de ransomware très médiatisées contre des infrastructures critiques. L’attaque d’un important oléoduc qui a semé la panique à la pompe et entraîné une pénurie de carburant sur la côte Est, ainsi que d’autres attaques, ont attiré l’attention sur la cybersécurité. Mais les responsables espèrent que la nouvelle stratégie jettera les bases de la lutte contre un cyberenvironnement de plus en plus difficile.
« Cette stratégie permettra aux États-Unis, à leurs alliés et à leurs partenaires de construire ensemble cet écosystème numérique, en le rendant plus facilement et plus intrinsèquement défendable, résilient et conforme à nos valeurs », indique le document.
L’administration du président Joe Biden a déjà pris des mesures pour imposer des réglementations en matière de cybersécurité à certains secteurs industriels critiques, tels que les services publics d’électricité et les installations nucléaires, et la stratégie préconise d’étendre les exigences minimales à d’autres secteurs vitaux.
Anne Neuberger, conseillère adjointe de l’administration en matière de sécurité nationale pour les technologies cybernétiques et émergentes, a déclaré lors d’une conférence téléphonique avec des journalistes qu’il était « essentiel que le peuple américain ait confiance dans la disponibilité et la résilience de nos infrastructures critiques et des services essentiels qu’elles fournissent. »
L’administration veut également transférer la responsabilité juridique aux fabricants de logiciels qui ne prennent pas les précautions de base pour produire une technologie sécurisée, en disant que les entreprises devraient être tenues responsables plutôt que les utilisateurs finaux.
Dans une déclaration accompagnant le document, M. Biden déclare que son administration s’attaque au « défi systémique selon lequel une trop grande part de la responsabilité de la cybersécurité incombe aux utilisateurs individuels et aux petites organisations ».
« En travaillant en partenariat avec l’industrie, la société civile et les gouvernements d’État, locaux, tribaux et territoriaux, nous rééquilibrerons la responsabilité de la cybersécurité pour qu’elle soit plus efficace et plus équitable », déclare M. Biden.
Le document stratégique appelle à des efforts plus agressifs pour contrecarrer les cyberattaques avant qu’elles ne se produisent en s’appuyant sur une série d’outils militaires, répressifs et diplomatiques ainsi que sur l’aide d’un secteur privé qui « a une visibilité croissante dans le secteur de l’adversaire ». Selon le document, ces opérations offensives doivent être menées « à une vitesse, une échelle et une fréquence accrues. »
« Notre objectif est de rendre les acteurs malveillants incapables de monter des campagnes cybernétiques soutenues qui menaceraient la sécurité nationale ou la sécurité publique des États-Unis », indique le document stratégique.
Dans le cadre de cette stratégie, les attaques par ransomware – dans lesquelles les pirates verrouillent les données d’une victime et exigent des frais importants pour les restituer – sont classées comme une menace pour la sécurité nationale plutôt que comme un défi criminel, ce qui signifie que le gouvernement continuera à utiliser des outils autres que les arrestations et les inculpations pour combattre le problème.