Tribune Jean-Pierre Blum

Pour la Maison-Blanche, la stratégie fédérale de cybersécurité est une priorité nationale et le démontre

Publié le 13/04/2023

Le 2 mars 2023, l'administration Biden-Harris a publié la stratégie nationale de cybersécurité des États-Unis afin de garantir à tous les Américains les avantages d'un écosystème numérique sûr et sécurisé.

Au cours de cette décennie décisive, les États-Unis vont réimaginer le cyberespace comme un outil permettant d'atteindre nos objectifs d'une manière qui reflète nos valeurs : la sécurité et la prospérité économiques, le respect des droits de l'Homme et des libertés fondamentales, la confiance dans notre démocratie et nos institutions démocratiques, et une société équitable et diversifiée. Pour concrétiser cette vision, nous devons apporter des changements fondamentaux dans la façon dont les États-Unis répartissent les rôles, les responsabilités et les ressources dans le cyberespace.

Duo habens et bene pendientes, Deo gractias

Nous devons rééquilibrer la responsabilité de la défense du cyberespace en transférant la charge de la cybersécurité des particuliers, des petites entreprises et des administrations locales vers les organisations les plus compétentes et les mieux placées pour réduire les risques pour nous tous. Nous devons réorienter les incitations pour favoriser les investissements à long terme en trouvant un juste équilibre entre la défense contre les menaces urgentes d'aujourd'hui et la planification stratégique et l'investissement dans un avenir résilient. La stratégie implique que le gouvernement doit utiliser tous les outils de la puissance nationale de manière coordonnée pour protéger notre sécurité nationale, la sécurité publique et la prospérité économique.

Veni, vidi, vincemus

Notre monde en évolution rapide exige une approche plus intentionnelle, plus coordonnée et mieux dotée en ressources de la cyberdéfense. Nous sommes confrontés à un environnement de menace complexe, avec des acteurs étatiques et non étatiques qui développent et exécutent des campagnes inédites pour menacer nos intérêts. Dans le même temps, les technologies de nouvelle génération arrivent à maturité à un rythme accéléré, créant de nouvelles voies d'innovation tout en augmentant les interdépendances numériques. La présente stratégie définit la marche à suivre pour faire face à ces menaces et garantir la promesse de notre avenir numérique. Sa mise en œuvre protégera nos investissements dans la reconstruction des infrastructures américaines, le développement de notre secteur des énergies propres et la relocalisation de la base technologique et manufacturière de l'Amérique. Avec nos alliés et nos partenaires, les États-Unis rendront notre écosystème numérique :

- défendable, où la cyberdéfense est massivement plus facile, moins chère et plus efficace ;

- résilient, où les cyber-incidents et les erreurs n'ont que peu d'impact généralisé ou durable ;

- aligné sur les valeurs, où nos valeurs les plus chères façonnent - et sont à leur tour renforcées par - notre monde numérique.

L'administration a déjà pris des mesures pour sécuriser le cyberespace et notre écosystème numérique, notamment la stratégie de sécurité nationale, le décret 14028 (améliorer la cybersécurité de la nation), le mémorandum de sécurité nationale 5 (améliorer la cybersécurité des systèmes de contrôle des infrastructures critiques), le M-22-09 (faire évoluer le gouvernement des États-Unis vers des principes de cybersécurité de confiance zéro (0-Trust)) et le mémorandum de sécurité nationale 10 (promouvoir le leadership des États-Unis en matière d'informatique quantique tout en atténuant les risques pour les systèmes cryptographiques vulnérables). Dans le prolongement de ces efforts, la stratégie reconnaît que le cyberespace n'existe pas pour sa propre fin, mais comme un outil permettant de réaliser nos aspirations les plus élevées.

Templum super columnas quinque

La présente stratégie vise à établir et à renforcer la collaboration autour de cinq piliers :

Défendre les infrastructures critiques

Nous donnerons au peuple américain confiance dans la disponibilité et la résilience de nos infrastructures critiques et des services essentiels qu'elles fournissent, notamment en :

- développant l'utilisation d'exigences minimales en matière de cybersécurité dans les secteurs critiques pour assurer la sécurité nationale et la sécurité publique et en harmonisant les réglementations pour réduire la charge de la conformité ;

- permettant une collaboration public-privé à la vitesse et à l'échelle nécessaires pour défendre les infrastructures critiques et les services essentiels ;

- défendant, modernisant les réseaux fédéraux et mettre à jour la politique fédérale de réponse aux incidents.

Perturber et démanteler les acteurs de la menace

En utilisant tous les instruments de la puissance nationale, nous rendrons les cyberacteurs malveillants incapables de menacer la sécurité nationale ou la sécurité publique des États-Unis, notamment par les moyens suivants :

- employer stratégiquement tous les outils de la puissance nationale pour perturber les adversaires ;

- engager le secteur privé dans des activités de perturbation par le biais de mécanismes évolutifs ;

- s'attaquer à la menace des ransomwares par une approche fédérale globale et en collaboration avec nos partenaires internationaux.

Façonner les forces du marché pour favoriser la sécurité et la résilience

Nous confierons la responsabilité à ceux qui, au sein de notre écosystème numérique, sont les mieux placés pour réduire les risques et faire en sorte que les conséquences d'une cybersécurité médiocre ne pèsent pas sur les plus vulnérables, afin de rendre notre écosystème numérique plus fiable, notamment en

- promouvant la vie privée et la sécurité des données personnelles ;

- déplaçant la responsabilité des produits et services logiciels pour promouvoir des pratiques de développement sûres ;

- veillant à ce que les programmes de subventions fédérales encouragent les investissements dans de nouvelles infrastructures sûres et résilientes.

Investir dans un avenir résilient

Grâce à des investissements stratégiques et à une action coordonnée et collaborative, les États-Unis continueront de mener le monde dans l'innovation de technologies et d'infrastructures de nouvelle génération sécurisées et résilientes, notamment en :

- réduisant les vulnérabilités techniques systémiques dans les fondements de l'Internet et dans l'ensemble de l'écosystème numérique tout en le rendant plus résilient à la répression numérique transnationale ;

- accordant la priorité à la recherche et au développement en matière de cybersécurité pour les technologies de la prochaine génération, telles que le cryptage post-quantique, les solutions d'identité numérique et les infrastructures d'énergie propre ; e

- développant une main-d'œuvre nationale diversifiée et robuste dans le domaine de la cybernétique.

Forger des partenariats internationaux pour poursuivre des objectifs communs

Les États-Unis cherchent à créer un monde où le comportement responsable des États dans le cyberespace est attendu et renforcé et où les comportements irresponsables sont isolés et coûteux, notamment en :

- tirant parti des coalitions internationales et des partenariats entre nations partageant les mêmes idées pour contrer les menaces qui pèsent sur notre écosystème numérique par une préparation, une réponse et une imposition des coûts conjointes ;

- accroissant la capacité de nos partenaires à se défendre contre les cybermenaces, en temps de paix comme en temps de crise ;

- travaillant avec nos alliés et nos partenaires pour mettre en place des chaînes d'approvisionnement mondiales sûres, fiables et dignes de confiance pour les produits et services liés aux technologies de l'information et des communications et aux technologies opérationnelles.

« Coordonné par le directeur national du United States Cyber Command, la mise en œuvre de cette stratégie par l'administration fédérale commence aujourd’hui. »