WASHINGTON – Alors que la côte Est souffrait des effets d’une attaque de ransomware sur un important oléoduc, le président Biden a signé mercredi un décret imposant de nouvelles normes strictes sur la cybersécurité de tout logiciel vendu au gouvernement fédéral.
Cette décision s’inscrit dans le cadre d’un vaste effort visant à renforcer les défenses des États-Unis en encourageant les entreprises privées à pratiquer une meilleure cybersécurité ou à risquer d’être exclues des contrats fédéraux. Mais l’effet le plus important peut résulter de ce qui pourrait, au fil du temps, s’apparenter à une évaluation gouvernementale de la sécurité des produits logiciels, tout comme les automobiles obtiennent une cote de sécurité ou alors les restaurants de New York obtiennent une note de sécurité sanitaire.
L’ordre intervient au milieu d’une vague de nouvelles cyberattaques, plus sophistiquées et de plus grande portée que jamais. Au cours de l’année écoulée, environ 2400 attaques de ransomwares ont frappé des bureaux d’entreprise, locaux et fédéraux dans des complots d’extorsion qui bloquent les données des victimes – ou les publient – à moins qu’elles ne paient une rançon.
La crainte la plus urgente est une attaque contre des infrastructures critiques, un point clairement exprimé cette semaine aux Américains, qui achetaient de l’essence en panique. Une attaque de ransomware contre les systèmes d’information de Colonial Pipeline a forcé l’entreprise à fermer un pipeline critique qui fournit 45% de l’essence, du diesel et du carburéacteur de la côte Est pendant plusieurs jours.
Alors que chaque président depuis George W. Bush a publié de nouvelles directives pour renforcer les défenses numériques du pays, l’ordre de M. Biden est destiné à pénétrer profondément dans le secteur privé. Et il est beaucoup plus détaillé que les efforts passés.
Pour la première fois, les États-Unis exigeront que tous les logiciels achetés par le gouvernement fédéral satisfassent, dans un délai de six mois, à une série de nouvelles normes de cybersécurité. Bien que les entreprises devraient «s’autocertifier», les contrevenants seraient retirés des listes d’approvisionnement fédérales, ce qui pourrait réduire leurs chances de vendre leurs produits sur le marché commercial.
L’ordonnance établit également un comité d’examen des incidents, tout comme les équipes qui enquêtent sur les accidents aériens, pour tirer les leçons des principaux épisodes de piratage. La Maison Blanche a ordonné que le premier incident à l’étude soit le piratage SolarWinds, dans lequel la principale agence de renseignement de Russie a modifié le code informatique du logiciel de gestion de réseau d’une entreprise américaine. Il a donné à la Russie un large accès à 18 000 agences, organisations et entreprises, principalement aux États-Unis.
Le nouvel ordre oblige également toutes les agences fédérales à crypter les données, qu’elles soient stockées ou en cours de transmission – deux défis très différents. Lorsque la Chine a volé 21,5 millions de fichiers sur des employés fédéraux et des sous-traitants détenant des autorisations de sécurité, aucun des fichiers n’était crypté, ce qui signifie qu’ils pouvaient être facilement lus. (Les pirates chinois, ont conclu plus tard les enquêteurs, ont chiffré les fichiers eux-mêmes – pour éviter d’être détectés lorsqu’ils ont renvoyé les enregistrements sensibles à Pékin.)
Les efforts précédents pour imposer des normes minimales sur les logiciels n’ont pas réussi à passer par le Congrès, notamment lors d’une confrontation majeure il y a neuf ans. Les petites entreprises ont déclaré que les changements ne sont pas abordables, et les plus grandes se sont opposées au rôle intrusif du gouvernement fédéral dans leurs systèmes.
Mais M. Biden a décidé qu’il était plus important d’agir rapidement que d’essayer de se battre pour des mandats plus larges à Capitol Hill. Ses collaborateurs ont déclaré que c’était une première étape, et les responsables de l’industrie ont déclaré que c’était plus audacieux qu’ils ne le pensaient.
Amit Yoran, directeur général de Tenable et ancien responsable de la cybersécurité au ministère de la Sécurité intérieure, a déclaré que la question qui préoccupait tout le monde était de savoir si l’ordre de M. Biden arrêterait les prochaines attaques Colonial ou SolarWinds.
«Aucune politique, initiative gouvernementale ou technologie ne peut faire cela», a déclaré M. Yoran. «Mais c’est un bon début.»
Les représentants du gouvernement se sont plaints que Colonial avait de mauvaises défenses, et bien qu’il ait établi une coquille dure autour de ses réseaux informatiques, il n’avait aucun moyen de surveiller un adversaire qui pénétrait à l’intérieur. L’administration Biden espère que les normes énoncées dans le décret, exigeant une authentification multifactorielle et d’autres garanties, se généraliseront et amélioreront la sécurité à l’échelle mondiale.
Le sénateur Mark Warner, démocrate de Virginie et président de la commission du renseignement du Sénat, a fait l’éloge de l’ordre, mais a déclaré qu’il devrait être suivi d’une action du Congrès.
M. Warner a déclaré que les attaques récentes « ont mis en évidence ce qui est devenu de plus en plus évident ces dernières années: que les États-Unis ne sont tout simplement pas prêts à repousser les pirates informatiques parrainés par l’État ou même criminels qui ont l’intention de compromettre nos systèmes à des fins de profit ou d’espionnage. »
Le nouvel ordre est la première grande partie publique d’un examen à plusieurs niveaux des stratégies défensives, offensives et juridiques pour affronter des adversaires du monde entier. Ce décret, cependant, se concentre entièrement sur l’approfondissement des défenses, dans l’espoir de dissuader les attaquants parce qu’ils craignent qu’ils échouent – ou courent un risque plus élevé d’être détectés.
Le ministère de la Justice met en place un nouveau groupe de travail pour s’attaquer aux ransomwares, après avoir découvert ces derniers mois que de telles attaques sont plus qu’une simple extorsion, elles peuvent faire tomber des secteurs de l’économie.
M. Biden a annoncé des sanctions contre la Russie pour le piratage de SolarWinds, et son conseiller à la sécurité nationale, Jake Sullivan, a déclaré qu’il y aurait également des conséquences «invisibles». Jusqu’à présent, les États-Unis n’ont pas pris de mesures similaires contre le gouvernement chinois pour son implication présumée dans une autre attaque, exploitant les failles d’un système Microsoft utilisé par de grandes entreprises du monde entier.
Le décret a été rédigé pour la première fois en février en réponse à l’intrusion de SolarWinds. Cette attaque était particulièrement sophistiquée, car des pirates informatiques travaillant pour le gouvernement russe ont réussi à modifier le code en cours de développement par la société, qui a distribué sans méfiance le logiciel malveillant dans une mise à jour de ses progiciels. Elle a été découverte lors de la transition de M. Biden et l’a amené à déclarer qu’il ne pouvait pas faire confiance à l’intégrité des systèmes informatiques fédéraux.
Le comité d’examen créé en vertu du décret sera codirigé par le secrétaire à la sécurité intérieure et un fonctionnaire du secteur privé, sur la base de l’épisode spécifique sur lequel il enquête à l’époque, dans le but de convaincre les dirigeants de l’industrie qui craignent les enquêtes. pourrait être un fourrage pour les poursuites.
Parce qu’il a été créé par un décret exécutif et non par une loi du Congrès, le nouveau conseil n’aura pas les mêmes pouvoirs étendus qu’un conseil de sécurité. Mais les responsables espèrent toujours qu’il sera utile pour connaître les vulnérabilités, améliorer les pratiques de sécurité et exhorter les entreprises à investir davantage dans l’amélioration de leurs réseaux.
Une grande partie du décret est axé sur le partage d’informations et la transparence. Il vise à accélérer le temps que les entreprises qui ont été victimes d’un piratage ou découvrent des vulnérabilités partagent ces informations avec la Cybersecurity and Infrastructure Security Agency.