Les agences gouvernementales américaines et les infrastructures critiques ne sont en grande partie pas préparées aux menaces de cybersécurité provenant d’autres pays, selon un projet de rapport du Comité consultatif sur la cybersécurité (CSAC) de la Cybersecurity and Infrastructure Security Agency (CISA).
Il s’agit d’un problème qui doit être résolu, car les États-Unis sont de plus en plus préoccupés par les cybermenaces provenant de Chine, en particulier celles visant les infrastructures critiques.
« Nous devons mettre l’infrastructure du pays sur le pied de guerre en matière de défense civile », a déclaré le président du CSAC, Ron Green, lors de la récente réunion téléphonique trimestrielle du groupe.
Le projet de rapport indique que les États-Unis doivent agir rapidement pour améliorer à la fois la cyber-résilience et la défense. La CISA devrait prendre des mesures telles que fournir davantage de soutien aux petites entités d’importance systémique et demander à ses partenaires de l’aider à évaluer si les avis de menace de la CISA sur des groupes comme Volt Typhoon, soutenu par la Chine, font réellement une différence pour divers secteurs. Le Joint Cyber Defense Collaborative de la CISA devrait également continuer à fournir des renseignements sur les menaces et à sponsoriser des exercices de simulation pour les infrastructures critiques.
Le rapport met également en évidence les risques liés aux tiers et recommande que la CISA encourage les fabricants de logiciels à adopter des pratiques Secure by Design.
Le respect de telles pratiques aiderait les producteurs de logiciels à créer des offres plus résistantes aux tentatives de piratage et plus faciles à utiliser en toute sécurité pour les clients. Mais suivre ces étapes est volontaire – il est donc important que la CISA puisse présenter des arguments convaincants en faveur de cette démarche.
Le sous-comité Secure by Design du CSAC n’a pas pu trouver de preuves pour étayer certaines justifications financières souvent vantées pour le respect de principes connexes, a déclaré le président du sous-comité, George Stathakopoulos, lors de l’appel.
On suppose souvent que corriger les vulnérabilités d’un logiciel avant sa publication coûte moins cher que d’essayer de résoudre les problèmes après sa publication. Cela est vrai pour les rares cas où des vulnérabilités sont exploitées pour causer des problèmes majeurs – et coûteux –, mais souvent les entreprises peuvent s’en sortir avec des vulnérabilités dans leurs produits que personne ne découvre, a déclaré Stathakopoulos.
Et une violation majeure des données n’a pas toujours sonné le glas d’une entreprise. Les entreprises qui ont déjà établi un climat de confiance avec leurs clients seraient souvent temporairement ébranlées par un incident, mais leur réputation a rebondi, a-t-il déclaré. Pendant ce temps, les entreprises qui n’ont pas réussi à se redresser étaient souvent également aux prises avec d’autres problèmes graves.
Stathakopoulos a déclaré que, même s’ils ont longuement cherché une incitation économique forte, ils n’ont pas pu en trouver une qui « suggère réellement qu’il existe une incitation économique pour les entreprises à faire cela, autre que le fait qu’elles déclarent volontairement qu’elles veulent le faire pour leur propre réputation et pour promouvoir la société. un plus grand bien. »
Néanmoins, Stathakopoulos a encouragé à approfondir la question économique. Et s’il n’y a vraiment aucune motivation financière, il a suggéré que la CISA en crée.
Megan Tsuyi, agente fédérale désignée par le CSAC, a également noté que le Bureau du directeur national de la cybersécurité réfléchissait à la manière dont il pourrait détenir les entreprises. responsable pour les pratiques de développement de logiciels non sécurisées.
Et même si ces incitations peuvent fonctionner pour les logiciels commerciaux, une autre approche est nécessaire pour assurer la sécurité des logiciels open source.
Les logiciels open source sont souvent créés et maintenus par une communauté de bénévoles, et proposés gratuitement « tels quels », ce qui signifie que personne n’en est légalement responsable. Et les bénévoles n’ont pas toujours le temps ou les ressources nécessaires pour réagir rapidement et créer des correctifs.
Mais l’open source ne peut pas simplement être évité : il s’agit d’une partie énorme – et précieuse – du paysage logiciel. Les éléments open source sont utilisés dans 80 à 90 % des logiciels fermés, a déclaré Jeff Moss, président du sous-comité du conseil consultatif technique.
Selon le rapport, l’espace a besoin de plus de « conservateurs », ou d’entités qui assument la responsabilité de corriger et de maintenir les versions d’un projet open source pour leurs clients. Certains conservateurs sont des entreprises rémunérées qui fournissent ce service à d’autres, ou ce sont des équipes internes qui maintiennent l’open source pour l’usage de leur organisation.
Le gouvernement fédéral pourrait également assumer ce rôle et désigner une agence pour être le conservateur des logiciels open source utilisés par les agences fédérales, étatiques, locales, tribales et territoriales, suggère le rapport. Dans les secteurs d’infrastructures critiques, chaque conseil de coordination sectorielle devrait répertorier les progiciels open source critiques pour son secteur et offrir un certain niveau de conservation pour les progiciels.
Au cours de l’appel, les membres du CSAC ont approuvé l’envoi de toutes les recommandations à la directrice de la CISA, Jen Easterly, sans objection.
#CISA #sintéresse #sécurité #des #logiciels #alors #les #menaces #chinoises #augmentent
