Cybersécurité : les ressorts de la stratégie nationale américaine
Textes, organismes, technologies... Quels sont les leviers de la nouvelle stratégie nationale de cybersécurité américaine ?
Combien de temps faut-il pour décommissionner des systèmes incompatibles avec une architecture zero trust ? Le gouvernement fédéral américain entend se donner dix ans sur le périmètre de sa branche exécutive. Il en fait part dans la nouvelle stratégie nationale de cybersécurité.
En toile de fond, une autre stratégie, édictée début 2022 par le Bureau de la gestion et du budget... et précisément relative au zero-trust. Sa mise en oeuvre ne se fera pas sans une modernisation des SI des agences concernées.
L'administration américaine compte sur d'autres instruments pour accompagner sa stratégie nationale. La plupart ont été mis en place sous l'ère Biden. Parmi eux, il y a l'ordre exécutif 14028, de mai 2021.
Cette directive établit notamment un système de certification pour les objets connectés. En la matière, elle complète le texte référent qu'est l'IoT Cybersecurity Improvement Act, adopté en avril 2020.
L'EO 14028 touche aussi à la commande publique. Dans les grandes lignes, les dispositions qu'il contient à ce sujet visent à renforcer et à harmoniser les exigences de cybersécurité entre agences.
Le CSRB (Cyber Safety Review Board) est aussi un produit de l'EO 14028. Il associe 14 experts cyber du public et du privé pour analyser les incidents majeurs.
Cybersécurité : la question de la préférence nationale
Autres textes mentionnés à plusieurs reprises dans la stratégie nationale : le Bipartisan Infrastructure Act et le CHIPS and Science Act.
Le premier, adopté en 2021, établit une forme de préférence nationale pour les projets que l'État finance. Il ouvre par ailleurs la voie à des programmes de subvention... comme le CHIPS and Science Act.
Celui-ci, adopté en 2022, a aussi posé les jalons d'un fonds que pilote le département d'État. Son objectif : investir à l'étranger pour rééquilibrer la chaîne d'approvisionnement technologique, actuellement très dépendante de la Chine en premier lieu.
Le CHIPS and Science Act autorise également, entre autres, un programme R&D sur l'identité numérique. À sa tête, le NIST (National Institute of Standards and Technology).
Le NIST, carrefour stratégique
Cette organisation de standardisation est un pilier de la stratégie nationale cyber américaine. Au travers de deux frameworks en particulier. D'un côté, celui relatif à la sécurité des infrastructures critiques. De l'autre, celui qui concerne la sécurité des développements logiciels.
Sur le volet des infrastructures critiques, un autre framework, signé de la CISA (l'ANSSI américaine) fait référence : le Cybersecurity Performance Goals.
Des exigences sont déjà en place pour certains secteurs, dont le rail, l'aviation, les oléoducs, les gazoducs et la distribution d'eau. Le Gouvernement l'affirme : il n'hésitera pas à faire intervenir le Congrès pour étendre le périmètre. Et, si nécessaire, à jouer sur les mécanismes d'assurance et d'imposition.
Le NIST est aussi à la tête d'un programme destiné à développer l'expertise en cybersécurité. En l'occurrence, NICE (National Initiative for Cybersecurity Education). Parmi les autres initiatives dans le domaine, la stratégie nationale fait référence à NCAE-C (National Centers of Academic Excellence in Cybersecurity), que gère la NSA.
Ransomwares : la lutte s'organise
Sur la question des infrastructures, on aura relevé une autre directive : l'EO 13984, de janvier 2021. Le texte comprend des mesures à destination des fournisseurs IaaS. Le but : éviter un usage abusif des systèmes informatiques situés sur le territoire américain.
En matière de lutte contre la menace, il y a d'autres points focaux, comme la NCIJTF (National Cyber Investigative Task Force). Le FBI pilote ce centre interagences (forces de l'ordre, renseignement, défense) qui a notamment la mission de coordonner les actions offensives.
Le FBI emmène aussi, avec la CISA, une initiative plus spécifique : la JRTF (Joint Ransomware Task Force), établie l'an dernier. Elle s'assortit d'une démarche internationale : la CRI (Counter-Ransomware Initiative). Washington la pilote. Une trentaine de pays sont dans la boucle, dont la France.
À propos des ransomwares, le gouvernement fédéral ne se prive pas de glisser, dans la stratégie nationale, qu'il « déconseille fortement de payer les rançons ». « Le meilleur moyen de démotiver [les] groupes cybercriminels est de réduire leur profit potentiel », justifie-t-il.
Les yeux sur les éditeurs de logiciels
Dans le rôle de coordinateur, il y a aussi le JCDC (Joint Cyber Defense Collaborative) et le CTIIC (Cyber Threat Intelligence Integration Center). Le premier, rattaché à la CISA, fait le lien entre public et privé pour le renseignement sur les menaces. Le second coordonne la collecte et l'analyse de ces renseignements.
Dans l'esprit du JCDC, le gouvernement fédéral invite les acteurs du privé à s'associer en organisations à but non lucratif. Il donne un exemple : la NCFTA (National Cyber-Forensics and Training Alliance), qui a soufflé l'an dernier sa vingtième bougie.
Lire aussi : Où en est la Cyber " Made in France " ?
L'administration Biden en est consciente : auprès de ces acteurs, le laisser-faire ne suffit pas. Dans son collimateur, tout particulièrement, les éditeurs de logiciels. Et une perspective : légiférer pour empêcher les plus « gros » de s'exonérer contractuellement de toute responsabilité en cas de failles.
Sur ce point, la CCFI (Civil Cyber-Fraud Initiative) peut constituer un levier au niveau de la commande publique. Adoptée en 2021, elle permet d'engager la responsabilité civile de toute personne physique ou personne morale contractuelle qui ne respecte pas ses obligations en matière de cybersécurité.
Réseaux et cryptographie : une quête d'exemplarité
Le gouvernement fédéral compte donner lui-même l'exemple sur certains aspects. Notamment les fondations techniques de ses réseaux. Il entend, par exemple, généraliser l'IPv6 et le DNS chiffré. L'évolution de ses systèmes cryptographiques est aussi dans le viseur, à l'appui d'une note de 2022 posant les bases d'une transition progressive vers le post-quantique.
L'attention se porte aussi sur Open RAN. Le département de la Défense mène actuellement des expérimentations autour de ce concept axé sur la virtualisation et la désagrégation des réseaux télécoms. Elles doivent concourir au même objectif que le fonds « Public Wireless Supply Chain Innovation » porté par la NTIA (National Telecommunications and Information Administration) : diversifier la chaîne d'approvisionnement technologique. La stratégie nationale pour la sécurité de la 5G, adoptée en 2021, a déjà établi des lignes directrices centrées sur cette génération de réseaux cellulaires.
À consulter pour davantage de contexte :
Open RAN : un premier élan collaboratif en Europe
dappy, un projet français pour moderniser le DNS
Quels standards pour la cryptographie post-quantique ?
Zero-trust : comment Google est devenu une « entreprise modèle »
Cybersécurité : les outils open source que conseille l'ANSSI américaine
Sécurité de l'IoT : le Cyber Resilience Act érigé sur des fondations en construction
Semi-conducteurs : 5 chiffres pour contextualiser le projet de règlement européen
Photo d'illustration © Pixels Hunter - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité