Ce que vous devez savoir sur le plan de mise en œuvre de la nouvelle stratégie nationale de cybersécurité

C'est un fait que les ransomwares et les brèches sont devenus un phénomène quotidien dans le paysage complexe de la cybersécurité d'aujourd'hui.

En mars 2023, l'administration Biden a publié sa très attendue stratégie nationale de cybersécurité. Tout en proposant une vision forte pour renforcer la cyber-résilience de la nation, j'ai écrit pour The Hill à quel point j'étais déçu par le manque d'impact immédiat et de responsabilité du plan, en particulier ses perspectives sur dix ans. Le gouvernement fédéral doit mettre le pied sur l'accélérateur pour lutter plus rapidement contre les ransomwares et les failles de sécurité.

Reconnaissant l'importance de fournir des stratégies pratiques de cybersécurité aux agences gouvernementales, le président Biden a récemment dévoilé le nouveau plan de mise en œuvre de la stratégie nationale de cybersécurité (National Cybersecurity Strategy Implementation Plan - NCSIP). Le plan offre aux agences une feuille de route pour modifier la manière dont elles répartissent les rôles, les responsabilités et les ressources en matière de cybersécurité.

Voici ce que vous devez savoir sur le nouveau plan.

Les 5 piliers stratégiques du NCSIP

Le plan s'articule autour de cinq piliers, chacun comprenant des initiatives spécifiques en matière de cybersécurité. J'ai décrit et résumé ces piliers et leurs initiatives ci-dessous.

• Premier pilier : Défendre les infrastructures critiques - Ce pilier vise à établir des exigences en matière de cybersécurité qui garantissent la sécurité nationale et la sécurité publique, en soulignant l'importance d'intensifier la collaboration entre les secteurs public et privé. Il vise à intégrer les centres fédéraux de cybersécurité afin d'améliorer la coordination et le partage d'informations. En outre, elle vise à mettre à jour les plans et les processus fédéraux de réponse aux incidents tout en modernisant les défenses fédérales en matière de cybersécurité afin de rester à la pointe de l'évolution des menaces.

• Deuxième pilier : Perturber et démanteler les acteurs de la menace - Ce pilier vise à intégrer les efforts fédéraux pour perturber les activités cybercriminelles et renforcer la collaboration entre les secteurs public et privé afin de gêner les adversaires. Ce pilier souligne l'importance d'un partage rapide et étendu des renseignements et de la notification des victimes de cyberattaques. Il vise également à empêcher l'utilisation abusive des infrastructures basées aux États-Unis et à lutter contre la cybercriminalité, en ciblant en particulier les attaques par ransomware.
• Troisième pilier : Façonner les forces du marché pour favoriser la sécurité et la résilience - Ce pilier vise à favoriser le développement de dispositifs sécurisés pour l'internet des objets (IdO), en soulignant la nécessité de transférer la responsabilité des produits et services logiciels non sécurisés afin d'encourager la responsabilisation des fabricants et des fournisseurs. Elle propose d'utiliser des subventions et des incitations fédérales pour donner la priorité aux mesures de sécurité. En outre, il suggère de tirer parti des marchés publics fédéraux pour améliorer la responsabilité et promouvoir les pratiques en matière de cybersécurité. Il est également question d'explorer la possibilité d'une assurance cybernétique fédérale, qui apporterait un soutien en cas d'incident cybernétique majeur.
• Quatrième pilier : Investir dans un avenir résilient - Ce pilier comprend des efforts visant à renforcer les éléments fondamentaux de l'internet, en commençant par mettre l'accent sur la revitalisation de la recherche et du développement au niveau fédéral dans le domaine de la cybersécurité. Il souligne également l'importance de se préparer aux défis d'un avenir post-quantique et de garantir la sécurité du secteur de l'énergie propre. En outre, il met l'accent sur l'élaboration d'une stratégie nationale visant à renforcer les effectifs dans le domaine de la cybersécurité, compte tenu de l'importance de ces effectifs pour faire face aux menaces futures.
• Cinquième pilier : Forger des partenariats internationaux pour poursuivre des objectifs communs - Ce pilier implique la création de coalitions internationales pour faire face aux menaces qui pèsent sur notre écosystème numérique. Il s'agit de renforcer les capacités des partenaires internationaux et d'accroître la capacité des États-Unis à soutenir les alliés et les partenaires. Elle vise également à établir des coalitions qui renforcent les normes mondiales de comportement responsable des États dans le cyberespace. En outre, ce pilier souligne la nécessité de sécuriser les chaînes d'approvisionnement mondiales pour les produits et services liés aux technologies de l'information, de la communication et des opérations.

Ce que je retiens du plan en tant que directeur technique fédéral

La principale conclusion à tirer du NCSIP est qu'il fournit aux agences des orientations indispensables pour améliorer leur cyber-résilience aujourd'hui et à l'avenir. Cette démarche reconnaît que les outils traditionnels de prévention et de détection ne suffisent pas pour lutter contre les cybermenaces complexes et en constante évolution d'aujourd'hui.  

Les failles sont inévitables. Les entreprises doivent donner la priorité aux stratégies proactives d'endiguement des brèches avec des technologies telles que la segmentation zéro confiance (ZTS) pour arrêter et contenir la propagation des brèches quand - et non pas si - elles se produisent, en veillant à ce que les opérations puissent se poursuivre sans entrave. En fait, les organisations qui utilisent Illumio ZTS ont constaté une réduction de 66 % de l'impact (ou du rayon d'action) d'une violation et ont économisé 3,8 millions de dollars en raison de la diminution des pannes et des temps d'arrêt.

Le plan assigne également à chaque agence des objectifs et des initiatives assortis d'échéances, leur donnant des indications sur la manière d'atteindre les objectifs clairs de la stratégie. Ces objectifs et initiatives témoignent également d'un sentiment d'urgence, ce qui est important car le rythme des technologies ne permet pas d'imaginer l'impact qu'elles auront sur la sécurité dans trois, cinq ou dix ans.  

Ce plan témoigne d'une compréhension des défis en termes de ressources et de budget auxquels les agences sont confrontées pour surmonter ces dangers. Bien que le NCSIP ne comprenne pas de financement direct, il s'aligne sur les priorités du budget cybernétique de l'administration afin de permettre aux agences d'atteindre leurs objectifs et de lutter contre les cyberattaques. Si les agences peuvent aligner leurs responsabilités budgétaires et leurs ressources sur ces initiatives, elles seront bien équipées pour renforcer leur cyber-résilience aujourd'hui et demain.

En particulier, les initiatives 3.5.1 et 3.5.2, qui s'appuient sur les marchés publics fédéraux pour améliorer l'obligation de rendre des comptes, constituent des avancées importantes pour les fonctions de réglementation en matière de cybersécurité. En s'appuyant sur le pouvoir du dollar, le gouvernement est en mesure de contraindre les entreprises à se conformer à la loi. Cela permet au gouvernement fédéral de mettre en œuvre sa nouvelle stratégie rapidement et sans avoir besoin d'une nouvelle législation.

Que manque-t-il ? Mécanismes de responsabilisation et initiatives audacieuses

Comme beaucoup d'autres plans gouvernementaux, le principal élément qui n'est pas inclus est un mécanisme de responsabilité. Pour réussir, ces plans doivent être assortis d'un moyen de mesurer et de responsabiliser les agences. Les agences doivent connaître les conséquences de la non-réalisation de ces objectifs.

Et il nous manque encore quelques grandes idées audacieuses qui changeraient vraiment la donne dans la lutte contre les ransomwares. Il pourrait s'agir d'interdire le paiement des ransomwares afin d'empêcher les cybercriminels de tirer profit de ces attaques. Le gouvernement pourrait également exiger que les organisations privées et gouvernementales informent publiquement leurs clients dans les 72 heures suivant une violation. Ce type d'initiatives aurait un impact immédiat sur l'arrêt des ransomwares et répondrait à l'urgence du problème dès maintenant, et non dans quelques années ou dans une décennie.

Le nouveau NCSIP marque une étape importante dans les efforts collectifs déployés par le gouvernement fédéral pour renforcer la cyber-résilience et lutter contre l'évolution des menaces. Le plan présente pour l'essentiel une orientation claire pour les agences gouvernementales. En adoptant des approches proactives de limitation des brèches et en s'alignant sur les initiatives du NCSIP, les organisations des secteurs public et privé peuvent naviguer dans le paysage complexe de la cybersécurité d'aujourd'hui et protéger efficacement leurs actifs critiques. Ensemble, nous pouvons construire un avenir numérique plus résistant et plus sûr.

Découvrez comment Illumio ZTS peut aider votre agence fédérale à mettre en œuvre les initiatives du NCSIP.

Contactez-nous dès aujourd'hui pour prendre contact avec l'un de nos experts en cybersécurité.

‍