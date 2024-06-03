Sécurité

La version 2 de la Stratégie nationale de cybersécurité et du plan de mise en œuvre a été publiée

3 drapeaux américains sur un bâtiment à Wall Street

En mars 2023, l'administration américaine a publié le premier plan de mise en œuvre de la Stratégie nationale de cybersécurité (NCSIP). Il s’agit d’un plan d’action gouvernemental composé de 27 objectifs stratégiques donnant la priorité aux initiatives critiques visant à protéger la sécurité nationale contre les cybermenaces en cours.

Récemment, 31 initiatives ont été ajoutées à ce plan, et plusieurs agences fédérales ont été identifiées pour diriger ces efforts à l’avenir.

Objectifs du plan de mise en œuvre de la Stratégie nationale de cybersécurité

Le NCSIP décrit plusieurs actions de mise en oeuvre critiques pour améliorer la posture nationale des États-Unis en matière de cybersécurité. Cet effort implique une collaboration avec divers secteurs et agences afin de réglementer et d'appliquer de nouvelles normes en matière de bonnes pratiques de cybersécurité, tout en soutenant le développement de technologies plus sûres.

Les cinq piliers fondamentaux établis par le NCSIP se concentrent sur les domaines suivants :

  1. Défendre les infrastructures critiques en établissant des cadres normalisés.
  2. Perturber les acteurs de la menace en travaillant avec des partenaires interagences et en proposant une législation pour régir les fournisseurs de cloud.
  3. Encourager des pratiques de développement logiciel plus sûres en explorant les cadres de responsabilité en matière logicielle.
  4. Adopter les bonnes pratiques en matière de sécurité des réseaux et promouvoir des langages de programmation sans risque pour la mémoire.
  5. Élargir les partenariats internationaux afin de mettre en place des mécanismes d'aide extérieure plus souples.

Que prévoit la nouvelle version du plan ?

La dernière version du plan, publiée le 7 mai 2024, introduit 31 initiatives supplémentaires qui ont été incluses et regroupées dans les cinq piliers principaux.

Voici quelques-uns des ajouts les plus récents :

Initiatives visant à améliorer la résilience des infrastructures critiques

De nouvelles initiatives ont été prises pour promouvoir de meilleures pratiques en matière de cybersécurité dans tout un ensemble de secteurs, notamment la santé et les services de distribution d'eau et d'assainissement.

Dans le secteur de la santé, la Maison-Blanche travaillera avec le National Institute of Standards and Technology (NIST) pour créer une stratégie à l’échelle du Ministère de la santé et des services sociaux (HHS) afin d’imposer une plus grande responsabilité dans ce domaine.

Dans le secteur des services d’approvisionnement en eau et de l’assainissement, le Ministère américain de l’agriculture travaillera avec l’Environmental Protection Agency (EPA) pour promouvoir l’assistance technique, la formation et l’éducation en matière de cybersécurité.

Mettre en place davantage de collaborations pour éviter des campagnes de cyberattaques à grande échelle

Le deuxième pilier du NCSIP, axé sur « la perturbation et le démantèlement des réseaux des acteurs de la menace », a fait l'objet de plusieurs ajouts concernant la collaboration visant à réduire l'impact et la probabilité de campagnes de cyberattaques de grande envergure.

Les délais de mise en œuvre ont été précisés pour la Stratégie initiale de cybersécurité du Ministère de la Défense de 2023, qui a été mise en place l’année dernière, et un nouvel accent a été mis sur la collaboration avec les entités du secteur privé pour améliorer la rapidité et la fonctionnalité des efforts de cybersécurité.

Garantir la fabrication de produits numériques plus sûrs

Un autre volet du NCSIP vise à responsabiliser davantage les marques numériques influentes afin qu'elles créent des produits plus sûrs. La dernière version du plan ajoute une nouvelle initiative permettant au Ministère des affaires étrangères de travailler avec le groupe de travail sur les ransomwares, le Ministère de la justice et d’autres partenaires inter-agences américains afin d’empêcher les auteurs d’attaques par ransomware de se trouver en sécurité dans les pays étrangers.

Il est également prévu de mettre à jour la Stratégie nationale de recherche sur la protection de la vie privée en collaboration avec le Bureau des politiques scientifiques et technologiques (OSTP) afin de protéger la confidentialité des données des individus lorsque des données personnelles sont stockées et consultées à des fins d'analyse de données à grande échelle.

Mise en œuvre de la stratégie nationale du personnel et de la formation en matière de cybersécurité

L’un des piliers essentiels du NCIPS est de sécuriser les technologies et les infrastructures de nouvelle génération en réalisant des investissements plus intelligents dans la formation et la prise en charge en matière de cybersécurité.

Le nouveau plan introduit la Stratégie nationale en matière de personnel et de formation dans le domaine de la cybernétique et prévoit de rendre compte des progrès accomplis au cours de l'année prochaine. Cette stratégie est conçue pour contribuer à l'élaboration d'un protocole visant à améliorer les personnels dans le domaine de la cybersécurité et à faciliter l'accès des travailleurs à ce secteur.

De nombreuses autres initiatives ont été ajoutées à cette dernière version du NCSIP. Bien que les délais pour chaque initiative varient, la plupart ont des délais s’étendant jusqu’à l’exercice 2025, l’exécution de certaines initiatives étant prévue d’ici la fin de cette année.

Quel sera l’impact de ces nouvelles initiatives sur le secteur privé ?

Le NCIPS est conçu pour être un plan dynamique qui doit être mis à jour chaque année. La version 2 de ce plan représente la première mise à jour annuelle et ne devrait pas surprendre les entreprises.

Les entreprises du secteur privé devraient s'attendre à des efforts accrus de collaboration avec les agences gouvernementales à mesure que ces nouvelles initiatives se déploient et devraient se tenir informées à l'approche des échéances fixées pour les objectifs critiques.

Bien que bon nombre des nouvelles initiatives aient un impact sur des secteurs spécifiques, elles pourront également avoir des répercussions sur l’ensemble du secteur, ce qui obligera toutes les entreprises du secteur privé à s’adapter rapidement aux nouvelles normes mises en place, avec les conseils des agences et des experts du secteur.