Blog

Que fait Biden pour sécuriser les chaînes d’approvisionnement et les infrastructures critiques américaines ?

Chaîne d’approvisionnement de Biden



Une attaque de ransomware qui a conduit à la fermeture du Colonial Pipeline, qui transporte la moitié du carburant de la côte est des États-Unis, a mis en lumière la faiblesse du pays en matière d’infrastructures critiques. Cet incident amène de nombreux Américains à se demander si leur carburant, leur eau et leur électricité sont à l’abri des cyberattaques. Les experts, bien des années avant cet événement, ont répondu à cette question à plusieurs reprises par un « non » catégorique.

Alors, quel est le rôle du gouvernement dans la sécurisation des infrastructures critiques, en particulier du président Joe Biden ? Quelles mesures peut-il et va-t-il prendre pour protéger les infrastructures critiques américaines ?



Jusqu’à présent, l’administration Biden a…

  • Publication d'un décret fixant les normes de sécurité logicielle de base pour les infrastructures critiques
  • Lancement d'un plan de 100 jours pour évaluer et traiter les risques de cybersécurité pour le système électrique américain
  • Lancement de trois programmes de recherche pour développer de nouvelles protections contre les menaces physiques et cybernétiques contre le secteur de l'énergie
  • A intenté une action en justice contre les pirates informatiques

Jusqu’à présent, les normes en matière de cybersécurité dans les infrastructures critiques ont été trop laxistes et ont été largement décidées par des sociétés de services publics privées. Les experts en cybersécurité évoquent depuis des années la nécessité d’améliorer la sécurité, mais leurs appels à l’action ont été largement ignorés.



Les actions de Biden suffiront-elles à inciter les entreprises d’infrastructures critiques à protéger leurs logiciels et leurs réseaux contre les attaques ? Nous discuterons de ses projets en détail.

Décret exécutif

celui de Biden décret crée des normes de sécurité pour les agences fédérales et les entrepreneurs qui développent des logiciels pour les infrastructures énergétiques critiques.

Des mesures de sécurité commeauthentification à deux facteurssera obligatoire pour accéder aux points de terminaison des infrastructures critiques via le Web. Les éditeurs de logiciels recevront uniquementaccéderaux systèmes d’infrastructure lorsque cela est jugé strictement nécessaire. Ces vendeursdes chaînes d'approvisionnementseront également soumis à un examen minutieux pour garantir qu’aucune attaque ne se propage dans la chaîne d’approvisionnement. N'importe lequelles vulnérabilités doivent être signalées.

L'ordonnance institue unpartage d'informationsystème qui permet à la NSA de partager des renseignements sur les menaces avec des entreprises privées, et vice versa. Il pourrait également lever les restrictions qui empêchent actuellement la NSA de surveiller les réseaux sur le sol américain.

Le décret met en œuvrepénalitéspour les fournisseurs qui ne se conforment pas, par exemple en interdisant la vente de leurs logiciels au gouvernement fédéral.

La commande crée unmanuel de jeu standardpour répondre aux cyberincidents. Même si seules les agences fédérales seront tenues de s’y conformer, les entreprises privées peuvent utiliser le manuel comme modèle.

Enfin, l'ordonnance établit uncomité d'examen des incidentspour enquêter sur les attaques majeures contre les infrastructures.

Les critiques soulignent que même si ces mesures pourraient contrecarrer des cyberattaques moins sophistiquées contre des systèmes mal sécurisés, elles ne feraient probablement pas grand-chose pour arrêter des adversaires plus avancés.

Forfait 100 jours

celui de Biden Forfait 100 jours se concentre principalement sur les entreprises d’électricité. L'initiative vise à améliorer la cybersécurité des systèmes de contrôle industriel (ICS) et de la chaîne d'approvisionnement du réseau électrique. Il s’agit d’un effort coordonné du ministère de l’Énergie, de l’industrie électrique et de la Cybersecurity and Infrastructure Security Agency (CISA).

L’objectif est de moderniser les défenses ICS contre les cyberattaques. Ça aussi:

  • Encourage les compagnies d’électricité à mettre en œuvre ou à améliorer les capacités de détection, d’atténuation et d’investigation
  • Comprend des étapes concrètes sur 100 jours permettant aux compagnies d'électricité de déployer des capacités de surveillance de la situation et de réponse en temps quasi réel dans les ICS critiques et leurs réseaux.
  • Renforce et améliore la posture de cybersécurité des réseaux informatiques des infrastructures critiques
  • Inclut un effort volontaire de l'industrie pour déployer des technologies visant à accroître la visibilité des menaces dans les systèmes ICS.

En outre, l'initiative sollicite l'avis d'experts du secteur sur la meilleure façon de sécuriser les systèmes ICS et la chaîne d'approvisionnement énergétique.

Programmes de recherche

Le ministère de l’Énergie, sous l’administration Biden, a lancé trois nouveaux programmes de recherche destiné à remédier aux « vulnérabilités potentielles de la sécurité de la chaîne d’approvisionnement mondiale, en protégeant les infrastructures critiques des interférences électromagnétiques et géomagnétiques et en créant un vivier de recherche et de talents pour la cybersécurité de nouvelle génération ».

  • Le premier programme utilise des analyses pour tester des outils tiers utilisés par les partenaires du secteur énergétique pour des questions de sécurité. Ces tests faciliteront l’identification et la résolution des vulnérabilités des systèmes de contrôle industriels avant que des acteurs malveillants ne puissent les exploiter.
  • Les impulsions électromagnétiques (EMP) et les perturbations géomagnétiques (GMD) peuvent ressembler à des attaques sorties de la science-fiction, mais c'est exactement le genre de menaces auxquelles s'attaque le deuxième programme de recherche. Neuf projets pilotes sont en cours, selon le DOE. Cette recherche contribuera à développer des méthodes pour protéger et atténuer les impacts sur les infrastructures énergétiques.
  • Le DOE prévoit de travailler avec des universités américaines pour développer de nouvelles technologies de cyberdéfense et favoriser la formation de la prochaine génération d’experts en cybersécurité dans le secteur de l’énergie. Au moment de la rédaction de cet article, de nouvelles opportunités de financement pour des partenariats université-industrie sont prévues dans les semaines à venir.

S'en prendre aux pirates

L’administration Biden engage des poursuites judiciaires contre les cybercriminels qu’elle peut identifier. Le ministère américain de la Justice inculpe régulièrement des pirates informatiques malveillants provenant d'autres pays, notamment de Russie, de Chine, d'Iran et de Corée du Nord.

Malheureusement, une petite fraction des cybercriminels sont réellement identifiés, et encore moins sont jugés aux États-Unis. Les États-Unis pourraient plutôt imposer des sanctions ou des restrictions en matière de visa de voyage, mais l’efficacité de ces actions est discutable.

L’administration Biden espère pousser les paradis des hackers comme la Russie à poursuivre les cybercriminels en justice, bien que cela semble peu probable étant donné le climat géopolitique actuel.

Enfin, l’administration Biden souhaite que les forces de l’ordre internationales tiennent les bourses de crypto-monnaie responsables du blanchiment d’argent et connaissent leurs lois sur les clients (KYC). Les cybercriminels, en particulier les pirates informatiques ransomwares, exigent souvent que leurs victimes soient payées en cryptomonnaie. La traçabilité des crypto-monnaies peut être difficile, voire impossible, sans l’aide des échanges de type bancaire qui facilitent l’échange de crypto-monnaies en monnaie fiduciaire.

Le principe est simple : si vous ne pouvez pas empêcher une attaque, empêchez au moins l’attaquant d’en récolter les bénéfices.

Les tribunaux semblent prêts à soutenir les efforts de Biden pour une meilleure surveillance et une meilleure réglementation des crypto-monnaies. Un tribunal californien a récemment ordonné un échange de crypto-monnaie Kraken va transmettre des informations sur les transactions importantes à l'IRS.

Les entreprises d’infrastructures critiques doivent être à bord

Les attaques contre les infrastructures critiques ont été assez rares jusqu'à présent, mais des incidents comme l'attaque du Colonial Pipeline et un attaque contre un système d'approvisionnement en eau en Floride montre à quel point ils pourraient être dévastateurs.

Les projets de Biden visant à protéger les infrastructures critiques sont un pas dans la bonne direction, mais ils ne constitueront en aucun cas une solution miracle. Il incombe encore largement aux entreprises privées de mettre en œuvre une bonne cybersécurité et une bonne sécurité opérationnelle. Beaucoup se demandent si les actions de Biden seront suffisantes face à une attaque coordonnée d’un État-nation.

Des solutions plus globales ont été proposées. Certains pensent que les États-Unis ont besoin d’un gouvernement à l’époque de la guerre froide. centres de commandement et de contrôle pour parer aux attaques entrantes. D'autres proposent une stratégie de cyberdéfense basée sur des représailles au lieu de la dissuasion .

Biden devra équilibrer les problèmes de surveillance, les coûts pour les entreprises et les charges de conformité avec les exigences nationales en matière de cybersécurité. Compte tenu des conséquences potentielles d’une autre attaque, nous nous attendons à ce que le président mette rapidement à exécution ses plans.

^