Nolan Mariotte
La Maison Blanche lance sa nouvelle contre-offensive contre la Chine et la Russie, son nouveau plan de cybersécurité, également appelé stratégie de cybersécurité. Le projet qui a été présenté est assez agressif d’un côté, mais permissif de l’autre, et comme prévu, il obligera les entreprises américaines à investir beaucoup plus dans la cybersécurité, où l’IA devra jouer un rôle fondamental à l’avenir.
Qui est à blâmer lorsque les services d’une entreprise privée sont piratés et qu’ils parviennent au gouvernement par l’intermédiaire d’un travailleur ? Qui est à blâmer lorsque le ministère de la défense est attaqué avec un logiciel d’une entreprise privée et que les pirates trouvent une faille ? Les États-Unis se trouvent à un carrefour que la Chine et la Russie sont en train de résoudre à grand renfort d’argent et d’investissements, si bien que les Américains réagissent d’une manière très particulière.
Plan de cybersécurité américain : voici comment les Américains vont défendre le cyberespace.
Eh bien, oui, c’est de cela qu’il s’agit, comment se défendre contre les attaques extérieures, qui se comptent par milliers chaque jour. Le texte indique que “la Chine est actuellement la menace la plus importante, la plus active et la plus persistante pour les réseaux du gouvernement et du secteur privé”, et qu’ils s’efforcent donc de combler cet écart.
Comme tout bon projet de loi, qui évoluera vers une proposition finale et sera ensuite présenté au vote, le but est de fixer des objectifs, et non d’imposer quoi que ce soit ou de limiter avec des règles de base. Comme ils l’ont dit dans Matrix, “c’est la cible qui nous définit”, donc la première chose que l’administration Biden a faite est de reconsidérer les infrastructures critiques à cibler par les attaquants.
Les principales cibles ont été les services en nuage et toute leur infrastructure, ainsi que les entreprises de logiciels. Il est donc instamment demandé que des normes de sécurité minimales soient respectées, et si elles ne le sont pas, il faudra faire face à des responsabilités juridiques. Comme ces normes n’ont pas été définies, il n’y a rien à proposer ici, mais elles ont déjà fait comprendre qu’elles sont très sérieuses.
L’investissement dans la sécurité et le respect des normes équivaut à des allégements fiscaux et à des incitations.
Logiquement, le gouvernement sait qu’il va serrer la vis aux entreprises qui sont déjà en concurrence avec d’autres géants au niveau mondial, ce qui coûtera du temps, des ressources et du personnel. Par conséquent, celles qui le feront (c’est-à-dire toutes, qu’elles le veuillent ou non) bénéficieront d’allégements fiscaux et d’incitations économiques ou législatives qui seront fixés ultérieurement.
L’administration s’efforcera donc de veiller à ce que ces entreprises, en particulier les sociétés de logiciels, respectent la responsabilité de leurs produits en matière de sécurité. En d’autres termes, elle surveillera les entreprises de logiciels pour s’assurer que les produits qu’elles lancent sont sûrs, comme le précise le document :
“Les entreprises qui fabriquent des logiciels doivent être libres d’innover, mais elles doivent aussi être tenues responsables lorsqu’elles ne respectent pas le devoir de diligence qu’elles ont envers les consommateurs, les entreprises ou les fournisseurs d’infrastructures critiques.
L’erreur de jugement momentanée d’une seule personne, l’utilisation d’un mot de passe périmé ou le mauvais clic sur un lien suspect ne devraient pas avoir de conséquences sur la sécurité nationale. La protection des données et la fiabilité des systèmes critiques doivent incomber aux propriétaires et aux exploitants des systèmes qui détiennent nos données et font fonctionner notre société, ainsi qu’aux fournisseurs de technologies qui construisent et entretiennent ces systèmes.”
En bref, elle exempte l’utilisateur de toute responsabilité et de toute connaissance et rejette la faute sur l’entreprise de logiciels ou sur l’infrastructure qui la supporte, de sorte que ce sont eux qui vont devoir supporter la charge de rendre leurs systèmes totalement sécurisés contre les “nuls”, c’est-à-dire toute personne qui n’a ni le jugement ni la moindre idée de ce dans quoi elle s’engage ou sur quoi elle clique.
Les ransomwares dans la ligne de mire des Etats-Unis.
L’accent est mis, selon le texte, sur les ransomwares, qui créent de véritables maux de tête en matière de courriers électroniques, de conversations, de messages et d’autres formes d’usurpation d’identité, où les fonctionnaires sont dupés et où, ensuite, le système ou le conglomérat de systèmes finit par être infecté, souvent sans solution rapide de désinfection.
En outre, c’est là que les agences de renseignement interviennent, car dans ces cas, elles agiront pour rechercher les “échanges illicites de crypto-monnaies”, ne leur permettant ainsi pas de facturer la coercition et d’arrêter les attaquants.
Comme on peut le voir, les Etats-Unis ne vont pas changer leur infrastructure matérielle comme le feront la Chine et la Russie, mais vont se blinder avec celle qu’ils ont actuellement au moyen de logiciels beaucoup plus sûrs et accessoirement, menacer directement quiconque veut les attaquer par cyber-attaque. Une approche valable, mais terriblement complexe, étant donné que le logiciel devient de plus en plus puissant, de plus en plus gros et avec plus de vulnérabilités si possible.
