adamparent - Fotolia

États-Unis : une nouvelle stratégie de cybersécurité qui vise les ransomwares

L’administration américaine vient de publier sa nouvelle stratégie de cybersécurité. Près de 40 pages qui couvrent de nombreux domaines, à commencer par la menace des rançongiciels et la gestion des vulnérabilités.

La Maison-Blanche a publié ce jeudi 2 mars sa nouvelle stratégie nationale en matière de cybersécurité. Attendue depuis longtemps, elle partage la vision de l’administration Biden-Harris pour sécuriser l’écosystème numérique des États-Unis.

Le document de 39 pages couvre tous les aspects de la cybersécurité, du rôle des fournisseurs dans la gestion des vulnérabilités aux ransomwares, en passant par le rôle des infrastructures basées aux États-Unis dans la cybercriminalité, la cyberassurance et plus encore. 

Dans une déclaration incluse dans le document, le président américain Joe Biden a qualifié la cybersécurité « d’essentielle au fonctionnement de base de notre économie, au fonctionnement de nos infrastructures critiques, à la force de notre démocratie et de nos institutions démocratiques, à la confidentialité de nos données et de nos communications, et à notre défense nationale ».

En ce qui concerne les ransomwares, l’objectif stratégique 2.5 présente le plan à quatre volets du gouvernement pour contrer la menace, avec des actions plus directes des autorités fédérales pour perturber les gangs de ransomwares et leur activité.

Selon le rapport, les États-Unis « utiliseront tous les éléments de la puissance nationale » pour combattre les rançongiciels, notamment en recourant à la coopération internationale et en isolant les pays qui offrent un refuge aux criminels ; en enquêtant sur les attaques avec ransomware et en utilisant les autorités et les forces de l’ordre pour perturber les activités des acteurs malveillants ; en améliorant la résistance des infrastructures critiques aux attaques ; et en « s’attaquant à l’utilisation abusive des monnaies virtuelles pour blanchir les paiements de rançon ».

Cette déclaration fait suite à l’annonce faite en janvier par le ministère américain de la Justice selon laquelle le FBI a mené une opération conjointe visant à saisir les serveurs de la franchise Hive. Saisie qui faisait suite à une infiltration de plusieurs mois dans le gang. Grâce à cette opération, le FBI a obtenu environ 1 300 clés de décryptage de ransomware et a évité 130 millions de dollars de paiements potentiels. 

Lors d’un événement organisé jeudi par le Center for Strategic and International Studies (CSIS), la directrice nationale Cyber par intérim de la Maison-Blanche, Kemba Walden, a déclaré que le gouvernement allait s’appuyer sur les enseignements tirés de la lutte contre les acteurs du ransomware.

« Nous avons eu du succès avec de multiples départements et agences à travers le gouvernement et dans le monde entier qui ont combiné leurs forces », a-t-elle déclaré. « La collaboration est au cœur de la stratégie nationale de cybersécurité du président, et elle continuera de guider notre approche dans les mois et les années à venir ».

Anne Neuberger, assistante adjointe du président et conseillère adjointe à la sécurité nationale pour les technologies cyber et émergentes, a expliqué, lors de cet événement, que l’attaque avec ransomware conduite contre Colonial Pipeline au printemps 2021 avait marqué un tournant pour l’administration. Cette cyberattaque était alarmante, car elle n’avait pas été conduite par un groupe lié à un État-nation (APT), mais par une bande de cybercriminels brandissant un ransomware.

Déport de la responsabilité pour vulnérabilités logicielles

Un autre élément important de la nouvelle stratégie américaine de cybersécurité est l’objectif stratégique 3.3, intitulé « Transférer la responsabilité des produits et services logiciels non sécurisés ». Cet objectif vise à tenir les éditeurs de logiciels pour responsables lorsqu’ils diffusent dans le public des produits non sécurisés présentant des vulnérabilités importantes.

Pour ce faire, la Maison-Blanche travaillera avec le Congrès et les entités du secteur privé « pour élaborer une législation établissant la responsabilité des produits logiciels dans les services » ainsi qu’un « cadre de sphère de sécurité » pour protéger de toute responsabilité les entreprises qui suivent les meilleures pratiques telles que le cadre de développement de logiciels sécurisés du NIST.

« Les acteurs les plus importants, les plus compétents et les mieux positionnés de notre écosystème numérique peuvent et doivent assumer une plus grande part de la charge de la gestion des risques cyber et de notre sécurité à tous. »
Kemba Eneas WaldenDirectrice nationale Cyber par intérim de la Maison-Blanche

« Les entreprises qui développent des logiciels doivent avoir la liberté d’innover, mais elles doivent aussi être tenues responsables lorsqu’elles ne respectent pas le devoir de diligence qu’elles doivent aux consommateurs, aux entreprises ou aux fournisseurs d’infrastructures critiques », peut-on lire dans le document. « La responsabilité doit incomber aux parties prenantes les plus à même de prendre des mesures pour éviter les mauvais résultats, et non aux utilisateurs finaux qui supportent souvent les conséquences des logiciels non sécurisés, ni au développeur de logiciels libres d’un composant intégré à un produit commercial ».

Selon Kemba Walden, les États-Unis doivent « rééquilibrer la responsabilité de la gestion des cyber-risques ». « Aujourd’hui, dans les secteurs public et privé, nous avons tendance à déléguer la responsabilité des cyber-risques vers le bas », a-t-elle déclaré. « Nous demandons aux particuliers, aux petites entreprises et aux collectivités locales d’assumer une charge importante pour nous défendre tous. Nous demandons à ma mère et à mes enfants d’être vigilants et de ne pas cliquer sur des liens malveillants. Nous attendons des districts scolaires qu’ils s’attaquent aux organisations criminelles transnationales en grande partie par eux-mêmes. Ce n’est pas seulement injuste, c’est aussi inefficace ».

Et d’ajouter que « les acteurs les plus importants, les plus compétents et les mieux positionnés de notre écosystème numérique peuvent et doivent assumer une plus grande part de la charge de la gestion des risques cyber et de notre sécurité à tous. Et cela inclut le gouvernement fédéral ».

La forme que prendront la législation et la réglementation proposées n’est pas claire. Anne Neuberger a fait référence à un système qui rappelle le… CyberScore créé en France par la loi du 3 mars 2022.

Renforcer la responsabilité des fournisseurs d’infrastructures IT

L’objectif 2.4, « prévenir l’utilisation abusive des infrastructures basées aux États-Unis », décrit la manière dont les acteurs malveillants exploitent les fournisseurs de services cloud, les services d’enregistrement de noms de domaines, les services d’hébergement et de messagerie électronique basés aux États-Unis, entre autres, à des fins criminelles, simplement crapuleuses ou autre. 

Selon le plan, le gouvernement fédéral « collaborera avec les fournisseurs de services cloud et d’autres infrastructures afin d’identifier rapidement les utilisations malveillantes de l’infrastructure basée aux États-Unis, de partager les rapports d’utilisation malveillante avec le gouvernement, de permettre aux victimes de signaler plus facilement les abus de ces systèmes et de rendre plus difficile l’accès à ces ressources pour les acteurs malveillants ».

L’objectif stratégique 3.6 est consacré aux plans de la Maison-Blanche, visant à explorer la mise en place d’un mécanisme permettant d’éviter qu’un incident de cybersécurité à grande échelle ne vienne mettre à mal les mécanismes assurantiels et n’oblige à mettre en place, dans l’urgence, un vaste plan d’aide. De quoi « apporter de la certitude aux marchés et rendre le marché plus résilient ».

Pour approfondir sur Cyberdéfense

Close