Auteur
Brian Wright
Catégories
Gouvernement fédéral RUCKUSEn mars, l’administration Biden a publié la Stratégie nationale de cybersécurité (National Cybersecurity Strategy, NCS) « pour garantir tous les avantages d’un écosystème numérique sûr et sécurisé pour tous les Américains ». Selon l’administration, le cyberespace est un outil permettant d’atteindre un éventail d’objectifs ambitieux, notamment la prospérité économique, les droits de l’homme, la liberté, la démocratie et une société équitable et diversifiée. Selon la Maison-Blanche, il s’agit d’une vision fondée sur des « changements fondamentaux dans la façon dont les États-Unis allouent les rôles, les responsabilités et les ressources dans le cyberespace ».
Le NCS établit cinq principes ou piliers fondamentaux sur lesquels élaborer la stratégie pour atteindre ses objectifs :
- Défendre les infrastructures critiques
- Perturber et démanteler les acteurs de la menace
- Façonner les forces du marché pour stimuler la sécurité et la résilience
- Investir dans un avenir résilient
- Forger des partenariats internationaux pour atteindre des objectifs partagés
La stratégie de cybersécurité envisage en outre des changements de politique qui pourraient faire progresser ces objectifs. Notamment, la Maison Blanche a proposé de transférer la responsabilité de l’amélioration de la cybersécurité aux fournisseurs du secteur privé qui développent du matériel et des logiciels informatiques. De nombreux détails n’ont pas encore été définis.
Dans l’ensemble, le NCS est une étape forte et décisive dans la direction d’une amélioration de la cybersécurité. Le plan se concentre inébranlablement sur la « cybercyber » en matière de cybersécurité. Le document est rempli de références aux actifs numériques, aux logiciels, à Internet et à l’Internet des objets, aux capacités sans fil et aux actifs basés sur l’espace. Le NCS mentionne « cyber » presque 300 fois.
Besoin de se concentrer sur l’infrastructure physique
Les composantes physiques indispensables des réseaux et du cyberespace sont moins importantes dans le NCS. Je fais référence aux appareils électroniques : ordinateurs portables, téléphones portables, tablettes, commutateurs réseau, capteurs, infrastructure physique et terminaux des réseaux, virtuels et autres. Ces dispositifs permettent le routage, le transport et le stockage des données. Ils fournissent des interfaces permettant aux utilisateurs humains d’échanger des informations sur des réseaux mondiaux. Le terme « dispositif » apparaît six fois dans le NCS.
Cela ne suggère pas que la stratégie de cybersécurité néglige l’infrastructure physique. Ce n’est pas le cas. Cependant, le NCS présente une vision des réseaux et de la cybersécurité qui est biaisée vers le virtuel, ce qui n’est pas inhabituel dans les discussions sur la cybersécurité, à l’exclusion des appareils et composants électroniques et de l’importance de les sécuriser.
Nous mentionnons le déséquilibre en encourageant les efforts proportionnels tout en empruntant la voie vers une cybersécurité plus grande. Il y aura un calamar. Rappelons-nous que le cyberespace et le « monde virtuel » ne sont pas aussi virtuels que nous aimerions le croire. Le cloud est un ensemble d’immenses parcs de serveurs terrestres, et les câbles au fond des océans du monde transmettent plus de 95 % des données internationales. Ces câbles immergés sont hors du champ d’application du NCS, mais le point reste : la communication numérique est une proposition très physique, et les appareils électroniques de tous types doivent être sécurisés.
Établir un modèle Zero Trust
Bien que l’administration n’ait pas traité directement le problème d’infrastructure physique dans le NCS, elle a tenté de le faire dans les documents précédents. Notamment dans le décret exécutif (EO) 14028, « Améliorer la cybersécurité de la nation », qui appelle les agences à jeter les principes de sécurité périmétrique en faveur d’une architecture de cybersécurité Zero Trust sophistiquée. Conformément à l’EO, la Cybersecurity and Infrastructure Security Agency (CISA) a développé un modèle de maturité Zero Trust comprenant cinq principes de cybersécurité moderne : identité, appareils, réseau, données, applications et charges de travail. Le modèle de maturité s’aligne également sur la stratégie Zero Trust de l’Office of Management and Budget (OMB), une feuille de route pour la mise en œuvre de Zero Trust.
Le défi consistera à mettre en œuvre plusieurs plans qui se chevauchent de manière systématique, efficace et complète.
Le renforcement de la cybersécurité du pays est clairement une priorité de l’administration. De même, il est nécessaire de sécuriser tous les aspects de nos réseaux, y compris les appareils électroniques, jusqu’à la dernière tablette, le dernier capteur et le dernier commutateur réseau. Alors que nous progressons ensemble, agences gouvernementales et fournisseurs informatiques, nous devons être vigilants et minutieux.
Pour être vraiment en sécurité, nous ne devons pas laisser l’appareil éteint.
Vous voulez en savoir plus ? Découvrez comment les principales agences fédérales américaines mettent à niveau leur infrastructure physique, stimulent les efforts de cybersécurité et tirent parti d’analyses de pointe. Rejoignez l’auteur Brian Wright pour une webémission GovExec exclusive.
