Récemment, le gouvernement Accountability Office des États-Unis a publié une mise à jour sur l'avancement de la cybersécurité du décret 14028, Améliorer la cybersécurité de la nation.
En 2021, la Maison-Blanche a identifié 55 exigences de leadership et de supervision à respecter pour améliorer la cybersécurité des systèmes informatiques fédéraux, tous les systèmes devant respecter ou dépasser la norme définie. Le décret (14028) sur l’amélioration de la cybersécurité de la nation précise les motifs de l’exigence, indiquant que « la prévention, la détection, l’évaluation et la résolution des cyberincidents sont une priorité absolue et essentielles à la sécurité nationale et économique ».
De plus, le décret indique qu'il est essentiel de mener à bien ces projets car le gouvernement doit montrer l'exemple afin d'encourager le secteur privé à réduire également le risque de violations de la cybersécurité et d'attaques.
L'EO a désigné les agences responsables de la mise en œuvre des exigences : l'Agence de cybersécurité et de sécurité des infrastructures (CISA) du Département de la Sécurité intérieure, le National Institute of Standards and Technology (NIST) et l'Office of Management and Budget (OMB).
Les principales exigences de cette commande portaient sur les solutions de cybersécurité, notamment :
La mise à jour d’avril 2024 a indiqué que les trois agences responsables avaient rempli 49 des exigences. L'exigence relative à la normalisation du protocole de réponse aux vulnérabilités et aux incidents en matière de cybersécurité a été jugée sans objet. De plus, les agences ont partiellement rempli les cinq autres exigences.
Parmi les exigences clés, la modernisation de la cybersécurité gouvernementale fédérale est la seule entièrement satisfaite. Les efforts dans ce domaine comprenaient la mise en place ou le lancement de l’architecture sécurité Zero Trust pour les agences fédérales, la sécurisation des services cloud et la centralisation de l’accès aux données de cybersécurité.
Parmi les autres initiatives figuraient le traitement des données non classifiées, les progrès réalisés dans la mise en œuvre de l'authentification multifactorielle et du chiffrement , ainsi que l'élaboration d'une documentation de référence technique sur l'architecture de sécurité du cloud.
Tout en félicitant les agences pour leurs efforts en vue d'améliorer la cybersécurité au niveau fédéral, la conclusion souligne l'importance de satisfaire aux exigences restantes.
Les cinq exigences restantes sont les suivantes :
Bien que l'OMB ait partiellement intégré une analyse des coûts dans le processus budgétaire annuel, il n'a pas fourni d'éléments probants sur la mise en œuvre de toutes les exigences en matière de direction et de contrôle prévues par l'ordonnance.
Le CISA et l’OMB ont aidé le NIST à définir les critères et les directives relatifs aux mesures de sécurité logicielle du gouvernement fédéral. La CISA, l'OMB et le NIST ont également élaboré une définition de logiciels critiques et une liste préliminaire de catégories communes de logiciels conformes à cette définition. Cependant, le CISA n'a pas publié la liste des catégories de logiciels courants avant la date limite de septembre 2023.
La CISA n'a pas fourni de preuves des mesures prises pour améliorer les opérations par le biais de recommandations visant à améliorer les opérations futures. La mise à jour indique que cette étape est essentielle pour permettre au conseil d’administration de mener efficacement ses futures examens d’incidents.
Bien que l’OMB ait indiqué avoir intégré la détection et la réponse aux points d’arrivée (EDR) dans ses directives aux agences pour les soumissions budgétaires et inclus l’EDR dans la liste des indicateurs FISMA pour l’exercice 2023, l’agence n’a pas pu fournir de preuve de cette documentation. La mise à jour fait état des inquiétudes selon lesquelles, sans preuves, il est possible que les agences ne reçoivent pas un financement suffisant pour les initiatives EDR.
L'OMB a donné des conseils aux agences en matière de journalisation, notamment en ce qui concerne la conservation et la gestion des registres. Toutefois, l'OMB n'a pas démontré que les agences disposaient de Ressources suffisantes pour mettre en œuvre la journalisation, la conservation des journaux ou la gestion des registres.
La mise à jour contenait des recommandations d'action spécifiques pour les cinq exigences restantes à remplir d'ici le 31 décembre 2024.