Depuis qu’il a pris ses fonctions de POTUS, Joe Biden a fait savoir qu’il allait prendre la cybercriminalité au sérieux. Ce n’est pas le cas que Biden est l’octogénaire le plus doué en technologie au monde. Au lieu de cela, il répond simplement aux défis de sécurité qui se sont développés sous sa surveillance, notamment une chaîne de des cyberattaques de de plus destructrices qui ont eu lieu au cours de sa première année en tant président. c’est nouveau stratégie de cybersécurité, qui a été publié jeudi sur le site Web de la Maison Blanche. Cette politique pourrait avoir des impacts majeurs sur les efforts du gouvernement pour dissuader les cybercriminels et , s’il est adopté efficacement, pourrait influencer considérablement de plusieurs domaines de l’industrie technologique, et pas simplement la sécurité.
Le complet rapport sur la stratégie du gouvernement compte 39 pages et des milliers de mots, mais j’ai travaillé dur et j’ai essayé de la résumer à seulement 1 500 mots. La stratégie de cybersécurité comporte cinq sections clés, ou « piliers ». Voici quelques-uns des points à retenir.
#1 : Protéger les « infrastructures critiques », c’est-à-dire s’assurer que les éléments vraiment importants ne sont pas piratés.
Les infrastructures critiques constituent un sujet assez important en matière de cybersécurité, c’est pourquoi il est logique que le premier pilier de la nouvelle stratégie de cybersécurité implique en adoptant des protections plus larges pour cela. « Nous donnerons au peuple américain confiance dans la disponibilité et la résilience de notre infrastructure critique et des ressources essentielles. “Les services qu’elle fournit”, indique la stratégie. Cela semble bien, mais vous vous demanderez peut-être ce qui est exactement qualifié d’infrastructure critique.
La réponse courte est : beaucoup de trucs.
En général, vous pouvez considérer les infrastructures critiques comme liées aux systèmes industriels qui fournissent des services à de grands groupes de personnes. Cela inclut des éléments comme les réseaux électriques, les oléoducs, les barrages, l’approvisionnement en eau local et régional, les centrales nucléaires, les FAI et les fournisseurs de haut débit, et bien plus encore. ces services sont contrôlés par des programmes connectés au Web, appelés SCADA, abréviation de systèmes de contrôle de supervision et d’acquisition de données. Lesdits systèmes sont des logiciels conçus pour permettre un accès et un contrôle à distance. Problème , il se trouve qu’ils sont aussi assez piratable. L’exemple le plus célèbre d’un système SCADA piraté est le Incident Stuxnet, dans lequel des cyber-opérateurs travaillant pour le compte des gouvernements américain et israélien ont utilisé un ver sophistiqué pour attaquer l’un des réacteurs iraniens. connectés à son programme d’armes nucléaires. Cependant, des cibles beaucoup plus petites et plus banales sont encore plus vulnérables à la pénétration et peuvent toujours provoquer pas mal de dégâts, si compromis.
Pour protéger tous ces éléments critiques, le gouvernement a suggéré un certain nombre d’initiatives différentes, dont la plus notable est probablement le développement de nouvelles réglementations fédérales pour imposer des exigences minimales de sécurité pour des secteurs particulièrement importants et des fournisseurs d’IC. Pourquoi le gouvernement est si déterminé à protéger les critiques L’infrastructure semble assez évidente. En plus d’être simplement une très bonne idée, l’administration de Biden ne veut clairement pas une répétition de ce que arrivé en 2021 lorsque le gang des ransomwares Côté obscur attaqué Pipeline colonial. Cette attaque, qui menacait les flux d’énergie vitale dans une grande partie du sud-est, était considérée comme l’une des pires cyberattaques contre des attaques critiques aux États-Unis. infrastructures à ce jour et n’était pas vraiment une solution facile pour le gouvernement, ni une bonne idée pour la nouvelle administration.
#2 : Les États-Unis continueront à botter les méchants pirates dans le cul
Une chose pour laquelle le gouvernement américain est généralement assez doué, c’est de botter le cul des gens et, dernièrement, il a eu des visées de coup de pied au cul. qualifié sur ceux qui vivent dans le monde souterrain du numérique. La stratégie publiée cette semaine souligne que, dans un avenir prévisible, l’Amérique va continuez à frapper les acteurs menaçants là où ça fait mal.
En effet, l’administration Biden envisage un avenir dans lequel elle fera appel à « tous les instruments du pouvoir national » pour « rendre les cyberacteurs malveillants incapables de menacer la sécurité nationale ou la sécurité publique des États-Unis. ressources (c’est-à-dire la chasse aux cyber personnels dans des projets gouvernementaux comme le FBI Groupe de travail mixte national d’enquête sur la cybercriminalité) et les partenariats internationaux existants (comme le récemment lancé groupe de travail contre les ransomwares), pour continuer à carrer les cybercriminels. Dans le même temps, l’administration affirme également qu’elle veut accélérer les mesures préventives, comme partage d’information entre l’industrie technologique et le gouvernement, ainsi qu’une communication et une coordination plus larges entre les sphères publique et privée.
Cette guerre continue contre les cybercriminels est logique, pour un certain nombre de raisons différentes. Lorsque Biden a pris ses fonctions pour la première fois, le fléau des ransomwares était à sa hauteur. En particulièrement le 2021 attaque sur le pipeline colonial a été considéré à la fois comme un signal d’alarme et une urgence de sécurité nationale. Depuis lors, le gouvernement de Biden a réprimé l’industrie des ransomwares avec une vengeance. Cela comprend le développement d’un certain nombre de groupes de travail et de sommets internationaux pour aborder le problème, avec le lancement du nouveau Département de Justice des lignes directrices pour les enquêtes et les poursuites dans les cas de ransomware. Dans le même temps, une série d’opérations d’application de la loi, en grande partie dirigées par le NCIJTF, avoir cherché à perturber de larges pans de l’écosystème des ransomwares, y compris un récent et sophistiqué surveillance au sein du gang Hive, dont les activités ont été effectivement neutralisées en février.
Dans le nouveau rapport, le gouvernement fait savoir qu’il va continuer à faire des choses comme celle-ci et que son objectif ultime est pour littéralement « vaincre les ransomwares ». et ont ciblé qu’ils rendent les ransomwares plus rentables. En d’autres termes : regardez vivants les crétins du dark web, ils viennent pour vous !
#3 : S’assurer que l’industrie technologique donne la priorité à la sécurité
Une autre chose que la nouvelle cyberstratégie veut faire est de forcer les gens de la Silicon Valley à faire quelque chose qu’ils ne sont pas très bons. à : donner la priorité à la sécurité lors de la conception de leurs produits.
En effet, l’une des raisons pour lesquelles les entreprises sont autant piratées est que la plupart des logiciels modernes ne sont pas vraiment conçus dans un souci de sécurité. . Au lieu de cela, les développeurs ont souvent deux autres facteurs en tête de leur liste de priorités : le délai de mise sur le marché et l’expérience du consommateur. La sécurité, quant à elle, peut être à la fois long et coûteux. Il existe des exceptions à cette règle mais, dans l’essentiel, la sécurité est considéré un obstacle aux priorités fondamentales d’une entreprise (lancer un produit rapidement et gagner de l’argent).
Qu’est-ce que le gouvernement veut faire à ce sujet ? Eh bien, il y a quelques mesures différentes que l’administration Biden dit qu’elle aimerait à prendre pour encourager l’industrie technologique à faire un meilleur travail.
Utiliser les programmes de subventions fédéraux pour aider à stimuler les investissements dans de nouveaux produits de sécurité et pour encourager la recherche et le développement fédéraux dans les technologies de sécurité. idée intéressante, mais certainement plus une stratégie à long terme que une solution à court terme.
Le document indique qu’il souhaite également travailler de concert avec le Congrès et le secteur privé pour établir « la responsabilité pour les produits et services logiciels ». Cette impulsion devrait viser à « établir des normes de soin plus élevées pour les logiciels dans des scénarios spécifiques à haut risque. L’idée ici est de créer une structure d’incitation dans laquelle les entreprises d’une certaine taille et d’une certaine importance sont obligées de créer de meilleures protections de sécurité pour leurs produits ou d’ouvrir des risques eux-mêmes jusqu’aux risques juridiques.
Bizarrement, la stratégie indique également qu’elle souhaite étendre les protections de la vie privée afin de protéger contre les menaces de sécurité. Le document indique “ L’administration soutient des limites strictes et claires à la capacité de collecter, d’utiliser, de transférer et de conserver des données personnelles. Est-ce que si les entreprises conservent moins de données personnelles sur les utilisateurs du Web, il y a moins de risques de violations de données ? Cela semble être une idée intéressante, mais ce n’est pas clair comment et quand une telle tournure des événements pourrait avoir lieu.
#4 : Reconnaître qu’Internet est tenu avec le Bubble Gum et le Baling Wire
Une autre crise majeure de cybersécurité qui s’est déroulée sous la direction de l’administration Biden a été la découverte du bug log4j. Une grave vulnérabilité d’exécution de code à distance dans une bibliothèque de logiciels open source omniprésente, l’épisode log4j a contribué à clarifier davantage auprès du gouvernement la périls de l’écosystème logiciel open source actuel et des menaces potentielles qu’il représente pour l’économie mondiale. Depuis la découverte du bug, le gouvernement a travaille avec la communauté open source et d’autres groupes d’intérêt sur Internet pour adopter de meilleures protections pour les chaînes d’approvisionnement de logiciels essentiels et le numérique au sens large écosystème. Les déficiences systémiques en matière de sécurité sont quelque chose qui doit être corrigé, affirme la nouvelle cyberstratégie. Le document écrit :
L’Internet est essentiel pour notre avenir, mais il conserve la structure fondamentale de son passé. De nombreux fondements techniques de l’écosystème numérique sont intrinsèquement vulnérable. Chaque fois que nous construisons quelque chose de nouveau sur cette fondation, nous ajoutons de nouvelles vulnérabilités et augmentons notre exposition collective aux risques. .Un tel effort de « nettoyage » visant à réduire le risque systémique nécessite l’identification des plus urgents de ces défis en matière de sécurité, ainsi que le développement de mesures efficaces. mesures de sécurité et collaboration étroite entre les secteurs public et privé pour réduire notre exposition aux risques…
En d’autres termes, le gouvernement reconnaît que notre monde numérique est, comme le dit le vieil adage, uni. »par du bulle gum et du fil de ballage. » Pour résoudre ce problème, la Maison Blanche déclare qu’elle prévoit d’investir une tonne d’argent dans un certain nombre de domaines différents dans un pays. efforts pour créer un écosystème plus sécurisé. Ils incluent …
Utiliser des partenariats avec le secteur privé pour réduire les « vulnérabilités techniques systémiques dans les fondements d’Internet et dans l’écosystème numérique ». comme les vulnérabilités du protocole Border Gateway, les requêtes du système de noms de domaine non chiffrées et d’autres failles de sécurité de longue date dans l’infrastructure Web de base.
Une recherche et un développement « revigorants » axés sur les capacités de cybersécurité de « nouvelle génération ». Quel genre de capacités ? Les noms des stratégies comme le chiffrement post-quantique, qui est censé être en mesure de se prémunir contre la menace actuellement hypothétique de l’informatique quantique.
Favoriser le développement d’une main-d’œuvre en cybersécurité plus large. Souvent un sujet problématique, les entreprises et les gouvernements peuvent parfois avoir des difficultés à trouver le talent adapté à l’homme leurs postes de combat ; le recrutement et la rétention des professionnels de la sécurité peuvent être difficiles, et un nombre choquant d’entreprises n’embauchent jamais de RSSI. Le gouvernement déclare qu’il veut dynamiser un certain nombre de programmes existants de développement du personnel en matière de cybersécurité, dans le but de stimuler une action plus large. recrutement.
#5 : Assurez-vous que le reste du monde est sur la même page à propos de botter les méchants pirates dans le cul
Enfin, le gouvernement veut s’assurer que tout le monde est sur la même longueur d’onde lorsqu’il s’agit de s’en prendre aux méchants. La Maison Blanche affirme qu’elle souhaite exploiter « les coalitions et les partenariats internationaux entre nations partageant les mêmes idées pour contrer les menaces qui pèsent sur notre écosystème numérique à travers préparation, réponse et imposition des coûts conjointes. » Dans l’ensemble, le gouvernement a déjà fait cela – et cela semble être né. quelques bons résultats.
Un sommet international sur le fléau des ransomwares a contribué à rassembler les pays autour de la nécessité de lutter contre les cyber-méchants et, avant la guerre En Ukraine, Biden a même rencontré le président russe Vladimir Poutine pour discuter d’une coopération élargie autour de la perturbation et de la poursuite des gangs de ransomwares – un grand nombre de dont on pense que le siège est en Russie. Davantage de sommets et de partenariats internationaux seront-ils utiles ? Cela ne peut certainement pas faire de mal.
