La stratégie nationale de cybersécurité de l'administration Biden, attendue depuis longtemps, a été publiée. Elle définit la stratégie, les objectifs et le plan de mise en œuvre d'une approche solide et collaborative visant à sécuriser notre paysage numérique mondial. Afin d'atténuer les risques sans cesse croissants dans les secteurs public et privé, la Maison Blanche place la cybersécurité au cœur du fonctionnement de notre économie et de la force de notre démocratie.
Le monde numérique est devenu de plus en plus complexe et central dans notre société globale. Et si l'omniprésence de l'internet a transformé le monde de façon positive à l'infini, elle a également ouvert les portes à des activités criminelles mondiales aux conséquences considérables.
Comme le déclare M. Biden dans l'introduction du document, "Comme je l'ai souvent dit, notre monde se trouve à un point d'inflexion. Cela inclut notre monde numérique. Les mesures que nous prenons et les choix que nous faisons détermineront l'orientation de notre monde pour les décennies à venir. Les gens et la technologie sont de plus en plus liés, ce qui permet à l'humanité de donner le meilleur et le pire d'elle-même".
La cybersécurité est un pilier essentiel pour l'avenir de notre économie
Si la stratégie publiée entre dans les détails au fil de ses 39 pages, le message principal est clair : "La cybersécurité est essentielle au fonctionnement de base de notre économie, à l'exploitation de nos infrastructures critiques, à la force de notre démocratie, à la confidentialité de nos données et à notre défense nationale". La sophistication des acteurs de la menace d'aujourd'hui continue de s'accélérer rapidement, ce qui constitue une menace importante pour notre sécurité personnelle et nationale. Cette menace est encore aggravée par la complexité de la scène mondiale et perpétuée par des États autocratiques qui utilisent agressivement des capacités cybernétiques avancées pour mettre hors service des infrastructures et des systèmes essentiels, tant dans le secteur public que dans le secteur privé.
Il est devenu urgent de s'attaquer à ces problèmes et l'administration Biden appelle les secteurs public et privé à donner la priorité aux initiatives en matière de cybersécurité et à accélérer l'adoption des meilleures pratiques.
En tant que principal fournisseur de données de renseignement sur Internet pour les secteurs public et privé, Censys, nous constatons de première main, grâce à nos clients et à notre propre chasse aux menaces, que le paysage de la cybersécurité évolue rapidement et que les acteurs malveillants adaptent leurs tactiques à des rythmes alarmants. Et malheureusement, la plupart des organisations n'ont pas de visibilité sur les vulnérabilités critiques.
Comme le déclare M. Biden, "nous devons réorienter les incitations pour favoriser les investissements à long terme dans la cybersécurité. Nous devons défendre le système dont nous disposons aujourd'hui, tout en investissant et en construisant un futur système numérique beaucoup plus résistant". En d'autres termes, c'est maintenant qu'il faut investir dans des initiatives de cybersécurité.
Pour définir sa stratégie, l'administration Biden a mis en avant cinq piliers stratégiques, que nous aborderons ci-dessous.
Pilier 1 : Défendre les infrastructures critiques
Les infrastructures critiques sont les actifs, les systèmes et les réseaux (physiques et virtuels) qui sont essentiels au bon fonctionnement de l'économie et à la sécurité nationale. Et comme ces réseaux vitaux relèvent à la fois du secteur public et du secteur privé, nous devons collaborer pour veiller à ce qu'ils soient sécurisés et protégés contre les acteurs malveillants.
Le document indique que "la défense des infrastructures critiques contre les activités adverses et d'autres menaces nécessite un modèle de cyberdéfense qui émule la structure distribuée de l'internet. La combinaison de la collaboration organisationnelle et de la connectivité technologique créera un "réseau de réseaux" fondé sur la confiance, qui permettra d'acquérir une connaissance de la situation et de mener une action collective".
Afin de favoriser la collaboration nécessaire à la protection et à la défense de ces réseaux, les organisations doivent s'appuyer sur des solutions technologiques pour coordonner les efforts, accroître la visibilité des vulnérabilités et accélérer la réponse aux incidents.
Pilier 2 : Perturber et démanteler les acteurs de la menace
Les acteurs malveillants, dont beaucoup opèrent en dehors des États-Unis, constituent une menace massive pour la sécurité nationale. En exploitant des vulnérabilités, ces attaques ont causé des milliards de dollars de dégâts, perturbé nos infrastructures critiques et attaqué des entreprises et des particuliers.
Il a été prouvé que la collaboration entre les organisations fédérales et non fédérales a permis de contrecarrer et de punir les cybercriminels et les acteurs parrainés par l'État. Aujourd'hui, nous devons redoubler d'efforts dans le cadre de cette stratégie de partage des renseignements entre les secteurs public et privé. Il est primordial que le secteur public bénéficie de l'innovation, de l'envergure et des capacités que le secteur privé a développées.
Et parce que la technologie est le tissu conjonctif, l'administration Biden précise que "tous les fournisseurs de services [technologiques] doivent faire des efforts raisonnables pour sécuriser l'utilisation de leur infrastructure contre les abus ou les comportements criminels". Les mesures de cybersécurité ne peuvent pas être prises après coup, elles doivent être une priorité et ces organisations doivent rendre des comptes.
Pilier 3 : Façonner les forces du marché pour favoriser la sécurité et la résilience
"Pour construire l'avenir sûr et résilient que nous souhaitons, nous devons modeler les forces du marché pour responsabiliser ceux qui, au sein de notre écosystème numérique, sont les mieux placés pour réduire les risques. Chaque entité - publique et privée - doit donner la priorité aux initiatives de cybersécurité afin de sécuriser notre économie numérique collective.
Même si l'incidence des cybermenaces s'accélère chaque jour, ces réalités n'ont manifestement pas suffi à inciter les organisations à mettre en œuvre la technologie et les processus nécessaires pour garantir la sécurité, et les répercussions de cette absence d'action sont évidentes.
Dans leur course à l'innovation et à l'accélération de la croissance, les entreprises s'appuient sur les fournisseurs de logiciels pour gagner en échelle et en efficacité. Malheureusement, de nombreux fournisseurs de logiciels n'investissent pas dans les meilleures pratiques de cybersécurité, laissant ainsi leurs clients vulnérables aux attaques. Le document indique que "la mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'écosystème numérique et laisse les citoyens américains supporter le coût final".
Pour réduire ce risque, l'administration Biden estime que la responsabilité doit être attribuée à ceux qui ne prennent pas les bonnes précautions pour sécuriser leurs logiciels. À l'avenir, aucune tolérance ne sera accordée aux organisations commerciales qui n'accordent pas la priorité à la cybersécurité.
L'administration prévoit de travailler en interne et avec le secteur privé pour élaborer une législation qui mette en œuvre cette responsabilité.
Pilier 4 : Investir dans un avenir résilient
L'administration Biden est convaincue que l'avenir de notre monde numérique dépend de la réalisation des bons investissements aujourd'hui. En se concentrant uniquement sur les investissements à court terme et en ne donnant pas la priorité à ce dont nous avons besoin en tant que nation collective, nous nous exposons à des échecs futurs. En se concentrant sur les initiatives en matière de cybersécurité, "les États-Unis conserveront leur rôle de premier plan en tant qu'innovateur mondial en matière de technologies et d'infrastructures sûres et résilientes".
Cela signifie que nous devons combler le fossé qui existe aujourd'hui en matière de cybersécurité, grâce à la technologie et au renforcement de la main-d'œuvre avec les compétences nécessaires pour développer nos compétences en matière de cybersécurité en tant que nation. Les organisations des secteurs privé et public ont d'énormes difficultés à pourvoir ces postes de sécurité essentiels, et le gouvernement redouble d'efforts en matière de stratégies pour combler ces lacunes.
Pour remédier à ce problème, l'administration mettra en œuvre une stratégie de formation et d'emploi dans le domaine de la sécurité nationale afin d'améliorer la formation des compétences pour les rôles essentiels.
Pilier 5 : Forger des partenariats internationaux qui poursuivent des objectifs communs
En raison de l'augmentation du nombre d'acteurs parrainés par des États, les initiatives en matière de cybersécurité doivent être mondiales. Les États-Unis collaboreront étroitement avec les acteurs de la sécurité nationale et les alliés pour faire avancer les intérêts communs en matière de sécurité.
Comme le souligne le document, "la plupart des cyberactivités malveillantes visant les États-Unis sont le fait d'acteurs situés dans des pays étrangers ou utilisant des infrastructures informatiques étrangères, nous devons renforcer les mécanismes dont nous disposons pour collaborer avec nos alliés et nos partenaires afin qu'aucun adversaire ne puisse se soustraire à l'État de droit".
Grâce à la mise en œuvre de technologies, à l'échange de bonnes pratiques en matière de sécurité et à la coordination des politiques et des réponses aux incidents, nous pouvons renforcer les capacités de cybersécurité dans le monde entier.
Alors, quelle est la prochaine étape ?
L'administration Biden est consciente qu'une mise en œuvre adéquate est la clé de la réalisation des objectifs décrits dans le présent document. En collaboration avec le NSC, l'OMB et l'ONCD, l'administration Biden élaborera des politiques et des plans de mise en œuvre dans les secteurs public et privé.
Bien que nous ne connaissions pas encore les politiques exactes et les exigences de mise en œuvre, il est clair que nous sommes en train de vivre un changement radical. La sécurité de notre monde numérique doit être une responsabilité partagée par tous les secteurs.
Comprendre chaquechose sur l'Internet
La clé d'une stratégie de cybersécurité efficace est l'accès aux données qui permettent aux organisations de disposer des informations essentielles dont elles ont besoin pour identifier, hiérarchiser et remédier aux menaces et expositions avancées. Cela signifie une visibilité sur les actifs connus et inconnus, les services vulnérables et les expositions critiques.
Censys s'associe aux secteurs public et privé pour fournir aux équipes de sécurité la carte la plus complète, la plus précise et la plus actualisée de l'internet, afin de défendre les surfaces d'attaque et d'éliminer les menaces en temps réel.