L'administration Biden-Harris a annoncé aujourd'hui une nouvelle stratégie nationale de cybersécurité radicale qui, entre autres, vise à établir une responsabilité significative pour les produits et services logiciels et établit des exigences minimales obligatoires en matière de cybersécurité dans le secteur des infrastructures critiques.
Une fois pleinement mise en œuvre, la stratégie renforcera également la capacité des entités fédérales et du secteur privé à perturber et à démanteler les opérations des acteurs menaçants et exigera de toutes les entités qui traitent des données sur les individus qu'elles accordent une plus grande attention à la manière dont elles protègent ces données.
L'un des principaux objectifs de la stratégie est que les régulateurs fédéraux recherchent des opportunités pour inciter toutes les parties prenantes à adopter de meilleures pratiques de sécurité via des structures fiscales et d'autres mécanismes.
Rééquilibrer la responsabilité de la cybersécurité
"[La stratégie] relève le défi systémique qu'une trop grande partie de la responsabilité de la cybersécurité incombe aux utilisateurs individuels et aux petits utilisateurs", a écrit le président Biden dans l'introduction de son nouveau plan. "En travaillant en partenariat avec l'industrie, la société civile et les gouvernements des États, locaux, tribaux et territoriaux, nous rééquilibrerons la responsabilité de la cybersécurité pour qu'elle soit plus efficace et équitable."
La stratégie de Biden vise à créer une collaboration et une dynamique autour de cinq domaines spécifiques : la protection des infrastructures critiques, la perturbation des opérations et des infrastructures des acteurs de la menace, la promotion d'une meilleure sécurité parmi les fournisseurs de logiciels et les organisations traitant des données individuelles, les investissements dans des technologies plus résilientes et la coopération internationale en matière de cybersécurité.
Parmi celles-ci, les initiatives proposées concernant la sécurité des infrastructures critiques et le transfert de responsabilité aux fournisseurs de logiciels et aux processeurs de données pourraient avoir l'impact le plus significatif.
La composante infrastructure critique de la stratégie de Biden comprend une proposition visant à étendre les exigences minimales de cybersécurité pour tous les opérateurs d'infrastructures critiques. Les réglementations seront basées sur les normes et les orientations existantes en matière de cybersécurité, telles que le cadre pour l'amélioration de la cybersécurité des infrastructures critiques du National Institute of Standards and Technology (NIST) et les objectifs de performance en matière de cybersécurité de la Cybersecurity and Infrastructure Security Agency (CISA).
Un accent sur la sécurité dès la conception
Les exigences seront basées sur les performances, adaptables à l'évolution des exigences et axées sur l'adoption de principes de sécurité dès la conception.
"Alors que les approches volontaires de la sécurité des infrastructures essentielles ont produit des améliorations significatives, l'absence d'exigences obligatoires a entraîné des résultats inadéquats et incohérents", indique le document de stratégie. La réglementation peut également uniformiser les règles du jeu dans les secteurs où les opérateurs sont en concurrence avec d'autres pour sous-investir dans la sécurité, car il n'y a vraiment aucune incitation à mettre en œuvre une meilleure sécurité. La stratégie offre aux opérateurs d'infrastructures critiques qui pourraient ne pas disposer des ressources financières et techniques nécessaires pour répondre aux nouvelles exigences, de nouvelles voies potentielles pour sécuriser ces ressources.
Joshua Corman, ancien stratège en chef de la CISA et actuel vice-président de la cybersécurité chez Claroty, affirme que le choix de l'administration Biden de faire de la sécurité des infrastructures critiques une priorité est important.
"La nation a connu des cyber-perturbations réussies dans les infrastructures critiques qui ont eu un impact significatif sur de nombreuses fonctions vitales, notamment l'accès à l'eau, à la nourriture, au carburant et aux soins aux patients, pour n'en nommer que quelques-unes", a déclaré Corman. "Ce sont des systèmes vitaux qui subissent de plus en plus de perturbations, et bon nombre des propriétaires et exploitants de cette infrastructure critique sont ce que j'appelle 'cible riche, cyber-pauvre'".
Ceux-ci sont souvent parmi les cibles les plus attrayantes pour les acteurs de la menace, mais disposent du moins de ressources pour se protéger, note-t-il.
Robert DuPree, responsable des affaires gouvernementales chez Telos, considère le soutien du Congrès comme la clé des plans de Biden pour renforcer la cybersécurité des infrastructures critiques.
"La volonté d'imposer des exigences obligatoires en matière de cybersécurité à d'autres secteurs d'infrastructures critiques nécessitera l'autorisation du Congrès dans certains cas, ce qui, dans l'environnement politique actuel, est au mieux long-métrage", a-t-il déclaré dans un communiqué. "La majorité de la Maison républicaine est philosophiquement opposée aux nouveaux mandats gouvernementaux et n'accordera probablement pas une telle autorité à l'administration Biden."
Tenir les fournisseurs responsables de la sécurité des logiciels
Dans ce qui est susceptible d'être controversé, la nouvelle stratégie nationale de cybersécurité de Biden met également l'accent sur la responsabilisation plus directe des éditeurs de logiciels pour la sécurité de leurs technologies. Le plan transfère spécifiquement la responsabilité des logiciels et services non sécurisés aux fournisseurs et loin des utilisateurs finaux qui supportent les conséquences des logiciels non sécurisés.
Dans le cadre de cet effort, l'administration de Biden travaillera avec le Congrès pour essayer d'adopter une législation qui empêcherait les fabricants de logiciels et les éditeurs puissants sur le marché de simplement décliner toute responsabilité par contrat. La stratégie offre une sphère de sécurité aux organisations avec des pratiques manifestement sécurisées pour le développement et la maintenance de logiciels.
"Trop de fournisseurs ignorent les meilleures pratiques en matière de développement sécurisé, proposent des produits avec des configurations par défaut non sécurisées ou des vulnérabilités connues", et avec des composants tiers non sécurisés, indique le document de stratégie.
En plus de transférer la responsabilité aux éditeurs de logiciels, la nouvelle stratégie appelle également à des exigences de sécurité minimales pour toutes les organisations traitant des données individuelles, en particulier des données de géolocalisation et de santé.
Le soutien du Congrès aux efforts visant à transférer la responsabilité aux éditeurs de logiciels s'est manifesté par à-coups depuis plus d'une décennie, déclare Brian Fox, CTO et co-fondateur de Sonatype. "En 2013, HR5793 — Loi sur la gestion et la transparence de la chaîne d'approvisionnement en ligne connu sous le nom de Royce Bill a lancé la conversation autour de l'introduction des nomenclatures logicielles (SBOM) », dit-il.
En fin de compte, cette proposition n'a pas avancé, mais l'obligation pour tous les fournisseurs de logiciels du gouvernement fédéral de produire des SBOM à la demande a fini par être incorporée dans un Décret exécutif de mai 2021 du président Biden, dit-il. « Plus récemment, nous avons vu le Loi de 2022 sur la sécurisation des logiciels open source faire son chemin à travers les comités. Il semble clair que le Congrès cherche un moyen de faire avancer l'industrie, et la stratégie présente de nouveaux éléments spécifiques à prendre en compte.
Carotte et bâton
Dans le cadre de l'effort visant à guider un meilleur comportement en matière de sécurité, le gouvernement fédéral utilisera son énorme pouvoir d'achat pour amener les fournisseurs de logiciels et de services à respecter contractuellement les exigences de sécurité minimales. Il utilisera des subventions et d'autres mécanismes - tels que des processus de tarification et des structures fiscales - pour inciter les organisations à investir davantage dans la cybersécurité.
Karen Walsh, experte en conformité en matière de cybersécurité chez Allegro Solutions, affirme que si le plan fonctionne comme prévu, il pourrait faire passer l'état d'esprit des entreprises d'une mentalité «la sécurité signifie des sanctions» à une mentalité «la sécurité signifie obtenir des récompenses».
"À bien des égards, cela ressemble à la façon dont le gouvernement offre déjà des incitations pour les initiatives d'énergie propre", déclare Walsh.
Se défendant
L'un des principaux objectifs de la nouvelle stratégie est de renforcer les capacités du secteur fédéral et du secteur privé à perturber les opérations et les infrastructures des acteurs menaçants. Les plans incluent le développement d'une capacité de perturbation pangouvernementale, des démantèlements plus coordonnés des infrastructures et des ressources criminelles, et la difficulté pour les acteurs de la menace d'utiliser l'infrastructure américaine pour les opérations de cyber-menace.
"Il est peu probable que le démantèlement des acteurs de la menace ait lieu à grande échelle", déclare Allie Mellen, analyste senior chez Forrester. "C'est similaire à l'idée de 'hack back' - hypothétiquement génial, mais difficile à exécuter."
Mellen considère que l'élargissement proposé de la réglementation sur les fournisseurs d'infrastructures critiques est de loin l'élément le plus important de la nouvelle stratégie.
"Non seulement il cherche à établir un ensemble d'exigences minimales en matière de cybersécurité, mais il commence également à lier les fournisseurs de technologie tels que les sociétés d'infrastructure en tant que service (IaaS) à ces exigences, élargissant ainsi sa portée", dit-elle.
Corman de Claroty dit que certaines des propositions de la nouvelle stratégie déclencheront probablement des conversations difficiles. Mais il est grand temps de les avoir, note-t-il.
"Les sujets les plus controversés, tels que la responsabilité des logiciels, seront certes plus difficiles à atteindre", note Corman. Mais l'effort est crucial, dit-il.
"Il existe un écart important entre l'état actuel et l'état souhaité pour la cyber-résilience des infrastructures critiques - nous avons besoin d'une réflexion audacieuse et d'une action audacieuse afin de réduire cet écart."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
- 2021
- 2022
- 7
- a
- capacité
- accès
- atteindre
- Agis
- Action
- acteurs
- ajout
- Supplémentaire
- adhérer
- administration
- adopter
- Adoption
- agence
- Tous
- déjà
- parmi
- analyste
- ainsi que
- et infrastructure
- annoncé
- approches
- domaines
- autour
- précaution
- attrayant
- autorité
- autorisation
- RETOUR
- basé
- Gardez
- car
- va
- LES MEILLEURS
- les meilleures pratiques
- Améliorée
- jusqu'à XNUMX fois
- biden
- Administration de Biden
- Projet de loi
- Billets
- goupille
- traversin
- Brian
- vaste
- construire
- Appelez-nous
- Appels
- capacités
- les soins
- cas
- chaîne
- challenge
- en changeant
- chef
- le choix
- énergie propre
- clair
- plus
- Co-fondateur
- collaboration
- Sociétés
- concurrence
- conformité
- composant
- composants électriques
- Congrès
- Congrès
- Conséquences
- considéré
- considère
- contrat
- controversé
- Conversation
- conversations
- coopération
- coordonné
- Entreprises
- pourriez
- Criminel
- critique
- Infrastructure critique
- crucial
- CTO
- Courant
- État actuel
- cyber
- Cybersécurité
- données
- décennie
- Réglage par défaut
- Demande
- voulu
- développement
- Développement
- difficile
- directement
- Perturber
- Perturbation
- perturbations
- document
- conduite
- Efficace
- effort
- efforts
- éléments
- l'accent
- énergie
- énorme
- entités
- Environment
- notamment
- établir
- exécuter
- exécutif
- existant
- Développer vous
- avec des données
- expert
- Déchu
- National
- Gouvernement fédéral
- régulateurs fédéraux
- few
- champ
- la traduction de documents financiers
- Focus
- nourriture
- Ancien
- Forrester
- Avant
- Framework
- De
- Carburant
- d’étiquettes électroniques entièrement
- fonctions
- écart
- obtenez
- Donner
- Objectifs
- aller
- Gouvernement
- Gouvernements
- subventions
- l'
- guide
- entaille
- manipuler
- Maniabilité
- Dur
- Santé
- Haute
- tenue
- Villa
- Comment
- HTTPS
- idée
- Impact
- impact
- Mettre en oeuvre
- mis en œuvre
- important
- imposer
- améliorations
- l'amélioration de
- in
- Motivation
- Incitations
- encourager
- comprendre
- inclut
- Y compris
- Incorporée
- de plus en plus
- individuel
- individus
- industrie
- Infrastructure
- les initiatives
- Institut
- International
- Découvrez le tout nouveau
- Introduction
- Investir
- Investissements
- IT
- ACTIVITES
- connu
- Peindre
- Lays
- Législation
- Niveau
- responsabilité
- Probable
- LINK
- locales
- Style
- recherchez-
- facile
- majeur
- Majorité
- a prendre une
- Fabrication
- gestion
- manager
- mandats
- obligatoire
- Fabricants
- de nombreuses
- Marché
- Matériel
- significative
- veux dire
- Découvrez
- pourrait
- minimum
- Élan
- PLUS
- (en fait, presque toutes)
- Bougez
- prénom
- nation
- Nationales
- Besoin
- Nouveauté
- nist
- Notes
- nombre
- nombreux
- objectif
- Offres Speciales
- ONE
- ouvert
- open source
- Opérations
- opérateurs
- Opportunités
- opposé
- de commander
- organisations
- Autre
- Autres
- propriétaires
- partie
- Partenariat
- patientforward
- Payer
- performant
- Place
- plan
- plans
- Platon
- Intelligence des données Platon
- PlatonDonnées
- jouer
- politique
- pauvres
- l'éventualité
- power
- pratiques
- président
- président biden
- empêcher
- principes
- priorité
- Privé
- secteur privé
- les process
- processeurs
- produire
- Produit
- Produits
- la promotion de
- proposition
- Devis
- proposé
- protéger
- protection
- fournisseurs
- fournit
- éditeurs
- achat
- Push
- Puts
- nous joindre
- rééquilibrer
- récemment
- Règlement
- règlements
- Régulateurs
- Républicain
- exigent
- exigence
- Exigences
- résilient
- Resources
- responsabilité
- responsables
- Programme de fidélité
- Rich
- des
- Sécurité
- Saïd
- dit
- Escaliers intérieurs
- secteur
- Secteurs
- sécurisé
- sécurisation
- sécurité
- Cherche
- semble
- supérieur
- service
- Services
- set
- Sets
- décalage
- DÉPLACEMENT
- Changements
- NAVIRE
- significative
- de façon significative
- similaires
- simplement
- petit
- Société
- Logiciels
- développement de logiciels
- Solutions
- quelques
- Identifier
- groupe de neurones
- spécifiquement
- parties prenantes
- Normes
- j'ai commencé
- départs
- Région
- Déclaration
- Stratège
- de Marketing
- Renforcer
- renforcement
- réussi
- tel
- souffrent
- fournisseurs
- la quantité
- chaîne d'approvisionnement
- gestion de la chaîne logistique
- Support
- systémique
- Système
- Prenez
- prend
- Target
- objectifs
- impôt
- Technique
- Les technologies
- Technologie
- la technologie
- La
- leur
- se
- des choses
- En pensant
- des tiers.
- menace
- acteurs de la menace
- Avec
- plus serré
- fiable
- à
- aujourd'hui
- trop
- Les sujets
- Transparence
- déclencher
- us
- utilisé
- utilisateurs
- Ve
- fournisseurs
- via
- Vice-président
- vues
- vital
- vulnérabilités
- Eau
- façons
- Quoi
- Qu’est ce qu'
- qui
- tout en
- WHO
- sera
- activités principales
- de travail
- vos contrats
- pourra
- zéphyrnet
