Le président des États-Unis a présenté une série de mesures pour renforcer la cybersécurité au sein du gouvernement fédéral après les attaques Colonial Pipeline ou encore SolarWinds. Ces mesures comprennent notamment le passage à une architecture zero-trust ou la création d’une comité d’examen.
Élu 46ème président des Etats-Unis depuis le 20 janvier 2021, l’administration Biden continue de déployer son arsenal législatif dans les premiers mois de sa présidence. Si celui-ci aconcerné avant tout la crise du coronavirus ou l’état de l’économie, la cybersécurité a également désormais droit à son décret.
La Maison-Blanche a dévoilé un décret visant à « améliorer la cybersécurité » des États-Unis, mercredi 12 mai 2021 dans un communiqué de presse, alors que le pays a subi plusieurs cyberattaques de première envergure au cours des derniers mois comme SolarWinds ou, plus récemment, Colonial Pipeline.
« Mon administration a fait de la prévention, détection, étude et résolution des incidents de cybersécurité une priorité essentielle à la sécurité économique et nationale. Le gouvernement doit montrer l’exemple en la matière », rappelle-t-il en préambule du décret.
Comité d'examen et architecture zero-trust
Le décret est découpé en dix sections et présente l’ensemble des mesures prises pour renforcer la cybersécurité de la nation américaine par l’amélioration du partage de l’information, la création d’un comité d’examen ou l’imposition de nouvelles normes.
Le changement le plus notable concerne la création d’un « Cybersecurity Review Board », un organisme d’étude et d’analyse des incidents de cybersécurité. Le Département de la sécurité intérieure américaine pourra réunir cet organisme lorsqu'il l'estime nécessaire lors d'une attaque.
L’administration s’engage à se tourner vers une architecture zero-trust ainsi qu’à renforcer ses pratiques de sécurité concernant les services Cloud, et infrastructures, softwares et plateformes « as a service » ainsi qu'à développer des nouveaux standards, outils et pratiques plus sécuritaires. Celle-ci a également annoncé généraliser l’authentification multifactorielle ou le chiffrement des données.
L’ensemble des mesures doivent être mises en place d’ici à 180 jours.