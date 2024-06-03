En mars 2023, l'administration américaine a publié le premier plan de mise en œuvre de la Stratégie nationale de cybersécurité (NCSIP). Il s’agit d’un plan d’action gouvernemental composé de 27 objectifs stratégiques donnant la priorité aux initiatives critiques visant à protéger la sécurité nationale contre les cybermenaces en cours.
Récemment, 31 initiatives ont été ajoutées à ce plan, et plusieurs agences fédérales ont été identifiées pour diriger ces efforts à l’avenir.
Le NCSIP décrit plusieurs actions de mise en oeuvre critiques pour améliorer la posture nationale des États-Unis en matière de cybersécurité. Cet effort implique une collaboration avec divers secteurs et agences afin de réglementer et d'appliquer de nouvelles normes en matière de bonnes pratiques de cybersécurité, tout en soutenant le développement de technologies plus sûres.
Les cinq piliers fondamentaux établis par le NCSIP se concentrent sur les domaines suivants :
La dernière version du plan, publiée le 7 mai 2024, introduit 31 initiatives supplémentaires qui ont été incluses et regroupées dans les cinq piliers principaux.
Voici quelques-uns des ajouts les plus récents :
De nouvelles initiatives ont été prises pour promouvoir de meilleures pratiques en matière de cybersécurité dans tout un ensemble de secteurs, notamment la santé et les services de distribution d'eau et d'assainissement.
Dans le secteur de la santé, la Maison-Blanche travaillera avec le National Institute of Standards and Technology (NIST) pour créer une stratégie à l’échelle du Ministère de la santé et des services sociaux (HHS) afin d’imposer une plus grande responsabilité dans ce domaine.
Dans le secteur des services d’approvisionnement en eau et de l’assainissement, le Ministère américain de l’agriculture travaillera avec l’Environmental Protection Agency (EPA) pour promouvoir l’assistance technique, la formation et l’éducation en matière de cybersécurité.
Le deuxième pilier du NCSIP, axé sur « la perturbation et le démantèlement des réseaux des acteurs de la menace », a fait l'objet de plusieurs ajouts concernant la collaboration visant à réduire l'impact et la probabilité de campagnes de cyberattaques de grande envergure.
Les délais de mise en œuvre ont été précisés pour la Stratégie initiale de cybersécurité du Ministère de la Défense de 2023, qui a été mise en place l’année dernière, et un nouvel accent a été mis sur la collaboration avec les entités du secteur privé pour améliorer la rapidité et la fonctionnalité des efforts de cybersécurité.
Un autre volet du NCSIP vise à responsabiliser davantage les marques numériques influentes afin qu'elles créent des produits plus sûrs. La dernière version du plan ajoute une nouvelle initiative permettant au Ministère des affaires étrangères de travailler avec le groupe de travail sur les ransomwares, le Ministère de la justice et d’autres partenaires inter-agences américains afin d’empêcher les auteurs d’attaques par ransomware de se trouver en sécurité dans les pays étrangers.
Il est également prévu de mettre à jour la Stratégie nationale de recherche sur la protection de la vie privée en collaboration avec le Bureau des politiques scientifiques et technologiques (OSTP) afin de protéger la confidentialité des données des individus lorsque des données personnelles sont stockées et consultées à des fins d'analyse de données à grande échelle.
L’un des piliers essentiels du NCIPS est de sécuriser les technologies et les infrastructures de nouvelle génération en réalisant des investissements plus intelligents dans la formation et la prise en charge en matière de cybersécurité.
Le nouveau plan introduit la Stratégie nationale en matière de personnel et de formation dans le domaine de la cybernétique et prévoit de rendre compte des progrès accomplis au cours de l'année prochaine. Cette stratégie est conçue pour contribuer à l'élaboration d'un protocole visant à améliorer les personnels dans le domaine de la cybersécurité et à faciliter l'accès des travailleurs à ce secteur.
De nombreuses autres initiatives ont été ajoutées à cette dernière version du NCSIP. Bien que les délais pour chaque initiative varient, la plupart ont des délais s’étendant jusqu’à l’exercice 2025, l’exécution de certaines initiatives étant prévue d’ici la fin de cette année.
Le NCIPS est conçu pour être un plan dynamique qui doit être mis à jour chaque année. La version 2 de ce plan représente la première mise à jour annuelle et ne devrait pas surprendre les entreprises.
Les entreprises du secteur privé devraient s'attendre à des efforts accrus de collaboration avec les agences gouvernementales à mesure que ces nouvelles initiatives se déploient et devraient se tenir informées à l'approche des échéances fixées pour les objectifs critiques.
Bien que bon nombre des nouvelles initiatives aient un impact sur des secteurs spécifiques, elles pourront également avoir des répercussions sur l’ensemble du secteur, ce qui obligera toutes les entreprises du secteur privé à s’adapter rapidement aux nouvelles normes mises en place, avec les conseils des agences et des experts du secteur.