États-Unis : la Maison Blanche entend refonder sa stratégie nationale de cybersécurité

Protéger un pays, c’est protéger son cyberespace. C’est la mission que le pouvoir exécutif américain a confiée à l’Office of the National Cyber Director (ONCD), créé au début de la présidence de Joe Biden en 2021, pour défendre son territoire numérique. De la sûreté du territoire à la défense de l’économie américaine en passant par l’émergence de nouvelles technologies, tous les grands enjeux relatifs à la cybersécurité des États-Unis sont abordés dans ce plan d’action.

La National Cybersecurity Strategy (NCS) part du postulat que les menaces du cyberespace sont plus variées et fluctuantes que celles du monde physique et que les effets d’une cyberattaque peuvent s’étendre d’une cible initiale à d’autres organisations. Par conséquent, le travail de cyberprotection doit provenir de la mobilisation aussi bien des institutions publiques que des entités privées. InCyber analyse ici ses cinq piliers.

Défendre les infrastructures critiques

Le NCS commence par les infrastructures critiques, telles que les hôpitaux, les réseaux de transports publics ou encore d’acheminement d’eau courante, dont l’interruption constituerait une menace pour la société américaine. La Cybersecurity & Infrastructure Security Agency (CISA, équivalent américain de l’Anssi) en a fait la liste. Les entreprises rattachées à ces activités doivent disposer, en priorité, d’un niveau de protection satisfaisant.

Le document prescrit aussi la modernisation des systèmes informatiques des établissements publics fédéraux liés à ces secteurs stratégiques ainsi que la possibilité d’une collaboration public-privé dans ce domaine. Les agences publiques contribuant au National Security System, qui administrent les données nécessaires à la protection du territoire américain, devront s’atteler à cette tâche en priorité. Enfin, les procédures opérationnelles et administratives à adopter en cas de cyberattaques seront simplifiées.

Mettre fin aux cybermenaces et démanteler les réseaux qui en sont à l’origine

Ce pilier énonce que tous les moyens pour mettre hors d’état de nuire les acteurs à l’origine de cyberattaques et d’ingérence dans le débat public devront être utilisés. En reconnaissant les efforts déjà accomplis, le document propose plus de moyens et surtout la collaboration entre les institutions publiques et des organisations privées au sein de « cellules » activées ponctuellement. Si les partenariats public-privé en matière de cyber protection existent aux Etats-Unis depuis une vingtaine d’années sous l’égide du National Cyber-Forensics and Training Alliance, ils vont se généraliser en incluant les entreprises de tailles modestes au sein de communautés animées par le ministère américains du commerce.

Les ransomwares sont désormais perçus comme une menace directe contre la sûreté du pays. Les autorités américaines ont lancé un Joint Ransomware Task Force administré par le CISA. Le FBI mènera des investigations et des contre-attaques informatiques pour mettre hors service leurs auteurs. Enfin, une cellule spéciale tracera les flux financiers utilisant les cryptomonnaies pour le paiement des rançons exigées par les cyberpirates. Réunissant des agents du ministère américain des Finances, de la Justice, ainsi que du FBI, cette cellule appliquera les procédures de lutte contre le blanchiment et le financement du terrorisme. Elle fonctionnera aussi hors des frontières américaines auprès des alliés des États-Unis.

Réorienter le marché pour y permettre davantage de sûreté et de résilience

Les autorités américaines reconnaissent que le cyberespace fonctionne comme un marché dans lequel les mesures de cybersécurité restent à la discrétion des entreprises. Elles comptent mettre fin à cela au moyen de mesures législatives et incitatives. Les entreprises détentrices de données personnelles devront assurer le respect de la vie privée de leurs clients. Les fabricants de produits connectés aux réseaux Internet-of-Things devront présenter des gages de leur inviolabilité.

Un des changements majeurs porte sur le régime de responsabilité juridique lors de cyberattaques. Jusqu’à présent, l’utilisateur était principalement tenu pour responsable. Toutefois, une nouvelle approche est proposée dans le document : les vendeurs seront désormais mis en cause si des failles dans leurs produits facilitent un piratage. Les éditeurs de logiciels, d’applications et les fournisseurs d’accès au cloud devront redoubler d’efforts pour sécuriser leurs réseaux informatiques et fournir des informations transparentes concernant les modifications du code source de leurs logiciels.

Enfin, une autre mesure cruciale propose la mise en place d’un régime général d’assurance contre les cyber-risques, financé par des fonds publics. Cette initiative permettra aux assureurs privés d’offrir une couverture plus étendue tout en exigeant des entités souhaitant être protégées de respecter un niveau minimal de mesures de sécurité.

Des investissements pour un futur plus résilient

Ce pilier réitère l’importance de l’avance technologique des États-Unis sur ses adversaires. Le Federal Cybersecurity Research and Development Strategic Plan a été mis à jour pour que les recherches scientifiques progressent dans trois domaines clés : une nouvelle génération de hardware, l’informatique quantique et l’intelligence artificielle. Le NCS contient également un plan de formation à grande échelle pour fournir une main-d’œuvre compétente en matière de cyberdéfense. Enfin, le document insiste sur l’importance d’améliorer la résistance aux cyberattaques du réseau américain d’alimentation à partir du protocole retenu par le ministère de l’énergie.

Des partenariats pour atteindre des objectifs que les USA partagent avec d’autres pays.

Les États-Unis demeurent fermement attachés à un Internet « démocratique » et identifient clairement la Chine, la Russie, l’Iran et la Corée du Nord comme des menaces potentielles. En s’appuyant sur leur implication dans la Declaration for the Future of the Internet les États-Unis prévoient de collaborer avec leurs partenaires stratégiques, commerciaux et diplomatiques pour lutter contre les organisations cybernétiques malveillantes.

Les services de cyberdéfense américains échangeront des informations avec leurs homologues des pays alliés concernant les menaces identifiées et les pratiques à mettre en œuvre et aideront directement leurs partenaires victimes de cyberattaques.

Quelle sera l’application réelle de cette stratégie ?

Issu d’un travail théorique, ce texte reste évasif sur sa mise en application. Le Governement Accountability Office a estimé, dans un avis émis en juin 2023, qu’il manquait d’informations sur son financement, les échéances d’application ainsi que la répartition des rôles entre les différentes agences fédérales concernées.

La Maison Blanche a annoncé qu’elle fournirait plus de précisions au cours de l’été 2023. Deux événements confirment néanmoins l’importance de cette stratégie et sa mise en pratique prochaine. Premièrement, une circulaire publiée le 27 juin dernier demandait aux agences et aux services dépendants du gouvernement américain de formuler leur budget pour l’année fiscale 2025 (que le président soumet au Congrès pour approbation) en prenant comme modèle les piliers de la stratégie. Ces budgets seront revus par les membres de l’Office of the National Cyber Director qui identifieront ensuite les éventuelles difficultés et proposeront le cas échéant des formulations.

Enfin, le NCS a été complété en mai 2023 par un document analogue publié par le ministère de la Défense. Intitulé 2023 D0D Cyber strategy, il prône l’établissement d’une doctrine de cyberdissuasion appliquée aux forces armées américaines (US Air Force, Navy, Marines…). Même sans qu’un conflit soit ouvertement déclaré, ce second document précise que des interventions se dérouleront dans le cyberespace si nécessaire afin d’éliminer les menaces contre les États-Unis et leurs alliés. Plus qu’une série d’opérations militaires, cette stratégie de cybersécurité mobilise tous les acteurs civils ayant les moyens de verrouiller l’environnement cyber américain. Son développement fera donc l’objet d’une grande attention.