lundi 16 mai 2011

Cybersécurité : les propositions d'Obama

Attendues depuis des semaines, les propositions de la Maison Blanche en matière de cybersécurité n’apportent pas de réelles nouveautés à un arsenal déjà bien fourni.

Le document s’articule autour de sept thèmes majeurs : législatif, notification de failles, autorités compétentes, infrastructures critiques, réforme de la FISMA(1), réforme du personnel et data centers. Parmi ces thèmes, j’en ai relevé trois qui me semblent mériter une attention plus particulière.

En premier lieu, le DHS se voit renforcer dans ses responsabilités et devient, au même titre que le DoD (ministère de la Défense) pour le .mil (militaire), l’autorité chargée des .gov (gouvernement). Le DHS est confirmé dans son autorité permanente du système Einstein 3 de collecte et de surveillance des incidents de sécurité (et des tentatives d’intrusion), système déjà évoqué sur ce blog. Les failles relevées dans toute infrastructure critique seront directement reportées au DHS. Les vulnérabilités de sécurité et la sûreté des infrastructures critiques sont reconnues comme un enjeu de sécurité nationale et doivent donc être protégés en conséquence. De fait, un effort supplémentaire sera fait sur le recrutement de spécialistes. En parallèle, la FISMA(1) critiquée pour être trop « basée processus papier » (= trop conceptuelle) sera réformée pour être davantage opérationnelle.

Le second thème que l’on peut considérer comme majeur dans ces propositions concerne le volet législatif. Qui sera renforcé, en lien direct avec la FISMA. Lors de la dernière session du Sénat, on a relevé le dépôt d’une cinquantaine d’amendements relatifs à la cybersécurité.

Enfin, on peut noter que l’administration Obama préfère manier la carotte envers les industriels en les incitant fortement à renforcer leurs moyens de lutte dans le cyber-espace plutôt qu’en les sanctionnant.  Cet encouragement est une conséquence directe des axes majeurs préconisés ces derniers mois : renforcer les synergies privé/public et accompagner de manière didactique l’ensemble des acteurs.

Une démarche pragmatique qui, sans révolutionner l’approche des enjeux de la cybersécurité, mériterait sûrement d’alimenter les réflexions de ce côté-ci de l’Atlantique. 

(1) La FISMA est une loi de 2002 qui régit la sécurité de l’information (référentiel, organisation, revues) de chacune des agences fédérales. La fiche Wikipedia (en anglais) est ici.

En complément et pour aller plus loin (en français)
http://www.itespresso.fr/cyber-securite-obama-veut-obliger-entreprises-a-mieux-se-proteger-42822.html
(en anglais) :

Aucun commentaire: