Le président Biden a accordé à la National Security Agency (NSA) de nouveaux pouvoirs pour renforcer la cybersécurité des systèmes informatiques du gouvernement fédéral américain liés à la sécurité nationale.

UN mémorandum publié par la Maison Blanche hier (19 janvier) définit également de nouvelles obligations pour les agences fédérales et des délais pour les respecter.

Tel que prescrit par un décret exécutif signées par Biden en mai 2021, les mesures garantiront « au minimum » que la sécurité nationale, le ministère de la Défense (DoJ) et les systèmes de la communauté du renseignement adhèrent aux mesures de cybersécurité plus strictes déjà en place pour les réseaux civils fédéraux.

N’OUBLIEZ PAS DE LIRE Le gouvernement américain lance le programme de primes aux bogues « Hack the DHS »

Les agences fédérales ont été chargées d’identifier leurs systèmes de sécurité nationale et de signaler les incidents de sécurité les affectant à la NSA, l’agence de renseignement du DoJ.

Mark Warner, sénateur démocrate de Virginie et président de la commission sénatoriale sur le renseignement, exhorté Le Congrès s’appuiera sur cette mesure en adoptant une législation bipartite en attente obligeant les opérateurs d’infrastructures critiques à signaler les cyberattaques dans les 72 heures.

La législation a été rédigée à la suite des piratages de SolarWinds et de Colonial Pipeline.

La directive comprend également des conseils sur l’utilisation de l’authentification multifacteur (MFA), du chiffrement, de l’architecture zéro confiance et des services de détection des terminaux.

Directives opérationnelles contraignantes

Le mémo autorise la NSA à émettre des « directives opérationnelles contraignantes » qui obligent les opérateurs de systèmes de sécurité nationale « à prendre des mesures spécifiques contre les menaces et vulnérabilités connues ou suspectées en matière de cybersécurité », lit-on dans un communiqué. fiche descriptive.

Ces pouvoirs sont calqués sur ceux déjà exercés par le Département de la sécurité intérieure (DHS) en ce qui concerne les réseaux gouvernementaux civils, avec une récente directive du DHS ordonnant aux agences d’atténuer la vulnérabilité Log4j de grande envergure.

Le mémorandum exige également que les agences fédérales inventorient et renforcent la sécurité des «solutions inter-domaines», qui transfèrent des données entre des systèmes classifiés et non classifiés.

« Je miserais beaucoup d’argent pour que ce ne soit pas purement proactif », tweeté Jake Williams, fondateur et président de la société de cybersécurité Rendition Infosec. « Vous voyez rarement des discussions sur des solutions interdomaines (par exemple, non classifiées à classifiées) et le fait qu’elle soit si clairement mentionnée dans un EO public indique quelque chose (mais je ne sais pas quoi).

« Pour mémoire, je reconnais que cela peut simplement dire » nous reconnaissons que cela pourrait être un problème et essayons de le maîtriser maintenant « . Mais si c’est le cas, pas sûr que vous ayez besoin d’un EO public pour le faire. Vous vous demandez si cela a également une valeur de signalisation ? »

Les agences ont également été chargées d’identifier «les cas de cryptage non conformes aux algorithmes quantiques résistants ou CNSA approuvés par la NSA», incitant le professeur et cryptographe de l’Université Johns Hopkins Matthew Green à tweeter: « On dirait que les États-Unis prennent au sérieux la crypto post-quantique. »

« Effort d’effort »

La directive couronne 12 mois chargés sur le front de la politique de cybersécurité pour l’administration Biden.

Entre autres mesures, la Maison Blanche a annoncé de nouvelles règles sur la déclaration des paiements de rançongiciels, une refonte des pratiques d’achat de logiciels du gouvernement fédéral et prévoit d’établir un plan pour corriger rapidement les failles connues et exploitées dans les systèmes fédéraux.

La semaine dernière, la Maison Blanche a organisé un sommet virtuel dédié à la sécurisation des chaînes d’approvisionnement en logiciels.

La fiche d’information souligne également « un effort accru pour améliorer la cybersécurité dans les secteurs de l’électricité et des pipelines, ce qui a conduit plus de 150 services publics desservant 90 millions d’Américains à s’engager à déployer des technologies de cybersécurité, et nous travaillons avec d’autres secteurs critiques sur des plans d’action similaires. ”.