La Maison Blanche charge le NIST de produire un autre référentiel de cybersécurité

L’Institut national des normes et de la technologie (NIST) travaillera avec les principales sociétés de technologie et d’assurance pour créer un nouveau cadre pour aider les entreprises à créer des logiciels plus sécurisés, selon un communiqué de la Maison Blanche.

« L’approche servira de ligne directrice aux entités publiques et privées sur la façon de créer une technologie sécurisée et d’évaluer la sécurité de la technologie, y compris les logiciels open source », lit-on dans une fiche d’information publiée par l’administration à la suite d’une réunion avec des leaders de l’industrie à la Maison Blanche mercredi. . « Microsoft, Google, Travelers et Coalition se sont engagés à participer à cette initiative dirigée par le NIST. »

Les cadres volontaires du NIST sont à la base de la politique de cybersécurité américaine depuis 2014, et l’administration Biden s’engage à maintenir autant que possible cette approche face à la pression d’imposer des exigences de cybersécurité en raison de l’ampleur et de la gravité croissantes des attaques récentes.

« Notre point de vue est depuis longtemps qu’il est de la responsabilité combinée du gouvernement fédéral de mettre en place des directives claires, des meilleures pratiques claires et le secteur privé de prendre des mesures pour renforcer sa propre cybersécurité », a déclaré l’attachée de presse de la Maison Blanche, Jen Psaki, lors de la conférence de mercredi, point de presse lorsqu’on lui a demandé si des mandats de cybersécurité pourraient être nécessaires.

L’administration a également déclaré qu’elle encourageait désormais les opérateurs de gazoducs à déployer des technologies qui « fournissent une visibilité, des indications, une détection et des avertissements sur les menaces, et qui facilitent les capacités de réponse ». L’effort fait partie d’une initiative   qui a « déjà amélioré la cybersécurité de plus de 150 services publics d’électricité », selon la fiche d’information de la Maison Blanche.

Les entreprises participant à la réunion avec le président Joe Biden et les hauts responsables de l’administration ont annoncé leur intention de contribuer à la cybersécurité de diverses manières, notamment avec des programmes de formation et de certification pour améliorer la main-d’œuvre anémique.

IBM et Google se sont engagés à aider à la formation et à la certification de 250 000 personnes au cours des trois prochaines années, le premier prévoyant de s’associer à « plus de 20 collèges et universités historiquement noirs pour établir des centres de leadership en matière de cybersécurité afin de développer une cyber-effectif plus diversifiée ». Microsoft s’est également engagé à « mettre immédiatement à disposition 150 millions de dollars de services techniques pour aider les gouvernements fédéral, étatiques et locaux à améliorer la protection de la sécurité, et étendra les partenariats avec les collèges communautaires et les organisations à but non lucratif pour la formation en cybersécurité ».

Google et Microsoft ont déclaré qu’ils dépenseraient respectivement 10 milliards de dollars et 20 milliards de dollars en cybersécurité au cours des cinq prochaines années. Google a déclaré que son investissement « étendrait les programmes de confiance zéro, aiderait à sécuriser la chaîne d’approvisionnement des logiciels et améliorerait la sécurité open source » et Microsoft a déclaré que sa contribution serait « d’accélérer les efforts pour intégrer la cybersécurité dès la conception et fournir des solutions de sécurité avancées ».

Sans attribuer un montant en dollars, Apple s’est engagé à lancer un programme qui cherchera à accroître l’adoption par ses fournisseurs de l’authentification multifacteur, de la correction des vulnérabilités de la formation à la sécurité, de la journalisation des événements et de la réponse aux incidents. Amazon a déclaré qu’il fournirait au public une formation gratuite de sensibilisation à la sécurité et une option d’authentification multifacteur pour les clients de ses services Web.

Les annonces ont été saluées par le représentant Jim Langevin, DR.I, membre de la Commission Cyberspace Solarium mandatée par le Congrès et une voix de premier plan en matière de cybersécurité au Congrès. « J’espère que [le président] envisagera de faire de ce type de sommet une affaire annuelle », a-t-il déclaré dans un communiqué.

L’inclusion par la Maison Blanche des compagnies d’assurance dans la réunion de mercredi suggère un accord avec les recommandations de la Commission Solarium concernant le rôle que les assureurs peuvent jouer pour améliorer la sécurité. La question a été controversée, les entrepreneurs fédéraux repoussant ce qu’ils percevaient comme des efforts pour imposer des polices d’assurance cyber.

Après la réunion, le fournisseur de cyber-assurance Resilience a annoncé qu’il chercherait à remplir le rôle de sécurité des assureurs en « exigeant des assurés qu’ils respectent un seuil de bonnes pratiques en matière de cybersécurité comme condition pour bénéficier d’une couverture ».

Dans des remarques au début de la réunion, Biden a souligné d’autres manières dont son administration s’attaque à la cybersécurité, notamment par le biais d’un décret du 12 mai qui obligera éventuellement les contractants gouvernementaux à mettre en œuvre certaines pratiques.

« En raison de cet ordre, le gouvernement n’achètera que des produits technologiques qui répondent à certaines normes de cybersécurité, ce qui, à notre avis, aura un effet d’entraînement sur l’ensemble de l’industrie du logiciel, améliorant finalement la sécurité de tous les Américains », a-t-il déclaré.

 

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*