Barack Obama veut renforcer la protection des infrastructures critiques

Le Président des Etats-Unis, Barack Obama, vient de

signer un décret visant à renforcer rapidement la protection des infrastructures critiques du pays face aux menaces informatiques. Dans

un billet de blog sur le site de la Maison Blanche, Michael Daniel, coordinateur Cybersécurité auprès de Barack Obama, rappelle que «la Nation dépend de plus en plus d'Internet pour faire fonctionner les systèmes qui éclairent nos maisons, alimentent nos voitures en carburant, et nous assurent une eau potable ». Loin de questionner l’ouverture de ces systèmes à Internet, «qui apporte des bénéfices considérables», il juge «nécessaire de mieux protéger les systèmes critiques qui supportent notre mode de vie ». À cette fin, le décret présidentiel vise notamment à l’amélioration du partage d’informations entre «les personnes habilitées et les entreprises» avec «un partage d’informations sur les menaces en quasi temps réel entre opérateurs d’infrastructures critiques et gouvernements locaux et d’états» mais également à l’obligation pour les agences fédérales d’informer «rapidement» ces opérateurs «si elles ont des informations indiquant qu’ils sont la cible ou la victime d’une intrusion informatique ». Le décret présidentiel confie en outre à l’institut américain des standards et de la technologie (NIST) le développement d’un cadre «pour réduire les risques informatiques des infrastructures critiques», en s’appuyant sur les standards généralement acceptés et sur les pratiques de référence de l’industrie. Mais le décret signé par Barack Obama est assorti d’un calendrier précis. La définition «d’instructions» permettant la mise en place d’un système de partage d’informations non classifiées entre secteur public et privé doit avoir lieu sous 120 jours. Une version préliminaire du cadre évoqué plus haut devrait quant à elle être définie sous 240 jours, avant une version finale sous 1 an. Et c’est deux ans après cela que les agences fédérales concernées devront faire leur rapport sur les infrastructures critiques sécurisées de manière inefficace. Selon nos confrères d’Infoworld, le texte du décret serait toutefois bien moins ferme que prévu dans certains brouillons. Ceux-ci

auraient notamment contenu des exigences de pratiques de référence pour les opérateurs et des missions de contrôle, pour vérifier leur mise en place auprès les agences fédérales. Un texte plus ferme, en somme. Michael Daniel doit intervenir à l’occasion du plusieurs tables rondes lors de la prochaine édition de la RSA Conference, qui se déroulera fin février à San Francisco. Cet événement sera l’occasion d'aborder l’approche du gouvernement américain sur la cybersécurité.