![President Joe Biden delivers remarks about the Colonial Pipeline hack. [Washington / 2021.05.13]](https://www.illicit-trade.com/wp-content/uploads/2025/01/Biden-a-la-Maison-Blanche-va-tout-mettre-en-oeuvre.jpeg)
L’ambitieux décret final exige 52 actions de l’agence pour renforcer les cyberprotections et contrer les adversaires, y compris un nouveau plan pour lutter contre la spirale du vol d’identité numérique.
La dernière action de l’administration Biden en matière de cybersécurité est un décret complet et ambitieux de 50 pages intitulé « Renforcer et promouvoir l’innovation dans la cybersécurité de la nation » qu’elle prévoit de publier avant la fin de la semaine.
L’ordonnance appelle également à « améliorer la responsabilité des fournisseurs de logiciels et de services cloud, à renforcer la sécurité des systèmes fédéraux de communication et de gestion des identités, et à promouvoir les développements innovants et l’utilisation de technologies émergentes pour la cybersécurité au sein des départements et agences exécutifs (agences) et avec le secteur privé. Le secteur est particulièrement essentiel à l’amélioration de la cybersécurité du pays.
Conclusion de quatre années de leçons en matière de cyberpolitique
L’EO marque la fin appropriée d’une série de mesures exécutives décisives prises par l’administration, à commencer par un décret de mai 2021 motivé par l’attaque choquante de ransomware contre Colonial Pipeline. Il s’agit également d’un pas en avant utile pour la nouvelle administration Trump, alors qu’elle est aux prises avec la spirale des cybermenaces émanant d’adversaires étatiques, en particulier de la Chine et des groupes cybercriminels.
« Il s’appuie sur les expériences des dernières années et tente de jeter une base politique qui dirait à la prochaine administration, d’accord, vous n’avez pas à vous soucier de tout cela parce que nous avons mis la politique en place, et maintenant vous pouvez poursuivre votre politique.
« (La conseillère en cybersécurité de la Maison Blanche) Anne Neuberger a déclaré qu’elle considérait cela comme une récompense pour la faveur que l’administration Trump avait versée à l’administration Biden lorsqu’elle avait publié un EO le 19 janvier, il y a quatre ans, traitant de certaines des préoccupations concernant les adversaires étrangers usurpant leur identité. pour acheter, par exemple, des services cloud pour lancer des attaques de ransomware ou de botnet », explique Grant. « Son point de vue est que nous voulons nous assurer qu’ils partent du bon pied. Et donc, nous mettons ces choses en place pour ce faire.
Des identités numériques plus fortes sont la principale protection
L’ordonnance comprend neuf sections exigeant 52 actions d’agence au sein du gouvernement fédéral au cours des prochaines années, allant du renforcement des chaînes d’approvisionnement de sécurité logicielle à la lutte contre la cybercriminalité et la fraude au moyen de documents d’identité numérique, en passant par le lancement de programmes pilotes pour améliorer la cybersécurité grâce à l’intelligence artificielle.
Les experts suggèrent cependant que l’un des éléments les plus critiques de l’EO est peut-être la section exigeant l’adoption d’identités numériques pour lutter contre la cybercriminalité et la fraude. Cette section de l’EO reflète un décret exécutif distinct promis précédemment sur le vol d’identité, taquiné par Biden dans son discours sur l’état de l’Union de 2022, qui ne s’est finalement pas concrétisé.
Pour lutter contre la vague croissante de cybermenaces basées sur l’identité, l’EO encourage fortement « l’utilisation de documents d’identité numériques pour accéder aux programmes de prestations publiques qui nécessitent une vérification d’identité, à condition que cela soit fait d’une manière qui respecte les principes de confidentialité, accessibilité, minimisation des données et interopérabilité.
Il charge également le National Institute of Standards and Technology (NIST) de créer des lignes directrices concernant les normes et les meilleures pratiques pour les États et les parties susceptibles de faire confiance à ces documents d’identité numérique.
Il demande en outre au personnel de l’OMB et du Conseil national de sécurité de déterminer si une subvention fédérale est disponible pour aider les États à développer et à délivrer des permis de conduire mobiles offrant de meilleurs moyens de vérifier les identités numériques et demande aux agences d’envisager d’accepter les documents d’identité numérique comme preuve de vérification de l’identité numérique. pour accéder aux programmes de prestations publiques.
Daniel déclare : « Si vous regardez notre écosystème et que vous examinez quelle est l’une des plus grandes faiblesses que nous avons dans ce type d’écosystème numérique, c’est que nos identifications numériques aux États-Unis sont terribles, surtout si l’on compare les identités numériques qui sont disponible pour quelqu’un en Estonie ou dans des pays comme celui-là.
Il ajoute : « Nous sommes confrontés à ce problème depuis longtemps. Cela ne me surprend pas que cette administration dise : « Écoutez, c’est l’une de nos plus grandes faiblesses, et il y a certaines choses que nous pourrions faire principalement au niveau de l’État. »
Autres composants principaux de l’EO
L’EO s’appuie également sur ce que l’administration appelle les étapes « fondamentales » du premier décret publié en 2021.
Les résumés suivants mettent en évidence les plus remarquables de ces actions supplémentaires mandatées dans le décret :
Améliorer les chaînes d’approvisionnement en logiciels tiers
L’ordonnance souligne que le gouvernement fédéral doit adopter des pratiques de gestion des risques liés aux tiers plus rigoureuses et une plus grande assurance que les fournisseurs de logiciels prennent en charge les services gouvernementaux critiques. Il stipule, entre autres choses, que le Conseil fédéral de réglementation des acquisitions (Conseil FAR) doit exiger des fournisseurs de logiciels qu’ils soumettent des attestations de développement de logiciels attestant de pratiques de développement de logiciels suffisamment sécurisées.
Utilisation d’options d’authentification résistantes au phishing dans les agences fédérales et autres améliorations en matière de cybersécurité
L’ordonnance exige que les agences fédérales commencent à utiliser, le cas échéant, des normes commerciales résistantes au phishing telles que WebAuthn dans des déploiements pilotes ou des déploiements plus importants afin de donner la priorité aux options d’authentification résistantes au phishing. Pour maintenir la capacité du gouvernement fédéral à identifier les cybermenaces, les agences doivent immédiatement partager les informations sur les menaces afin de renforcer la défense collective des réseaux militaires et civils.
Sécuriser les systèmes fédéraux grâce à une meilleure protection du trafic Internet
L’EO exige que les agences fédérales se protègent contre les nations adverses et les criminels en garantissant que les informations de routage provenant et propagées sur Internet à l’aide du protocole de passerelle frontalière (BGP) sont protégées contre les attaques et les erreurs de configuration. Cette assurance serait également exigée des fournisseurs de services Internet sous contrat auprès des agences qui doivent prouver qu’elles ont adopté et déployé des technologies de sécurité de routage Internet.
Accélérez la sécurité grâce à l’intelligence artificielle
L’EO déclare que le gouvernement fédéral doit « accélérer le développement et le déploiement de l’IA, explorer les moyens d’améliorer la cybersécurité des infrastructures critiques grâce à l’IA et accélérer la recherche à l’intersection de l’IA et de la cybersécurité ».
Il exige qu’à la suite de l’IA Cyber Challenge lors de la conférence sur la cybersécurité DEF CON 2025, les ministères de la Défense et de l’Énergie, ainsi que la Defense Advanced Research Projects Agency et le ministère de la Sécurité intérieure, mènent un programme pilote pour déterminer comment l’IA peut améliorer la cybersécurité. défense des infrastructures critiques dans le secteur de l’énergie. Cela oblige également le Pentagone à établir un programme visant à utiliser des modèles avancés d’IA pour la cyberdéfense.
L’administration Trump respectera-t-elle cet ordre ?
On ne sait pas exactement dans quelle mesure le décret de dernière minute de Biden sera adopté par l’administration Trump, qui prend le pouvoir le jour de son investiture, le 20 janvier. le Bureau Ovale et signer un nouveau décret qui abroge cela, ou il pourrait, avec sa nouvelle équipe de politique cyber, quels que soient les dirigeants, décider de revoir cela et peut-être révoquer partiellement certaines choses », dit Grant. « Ou ils pourraient examiner cela et dire que cela nous est réellement utile. »
Le principal facteur déterminant dans quelle mesure l’EO est acceptée ou rejetée par l’administration Trump est de savoir qui sera finalement nommé pour occuper les postes les plus élevés en matière de politique de cybersécurité à la Maison Blanche, à la Cybersecurity and Infrastructure Security Agency (CISA) et ailleurs dans le monde. gouvernement fédéral.
« Ils ne sont pas sortis et n’ont pas nommé les gens », dit Daniel. « S’ils font venir un grand nombre de personnes dont les noms ont circulé dans la presse, alors je pense qu’ils ne reculeront probablement pas beaucoup. »
Selon Daniel, « la plupart de ces gens l’examineraient et diraient : « D’accord, nous n’en sommes peut-être pas enthousiasmés, mais pourquoi l’annuler ? Parce que la plupart de ce qu’il essaie de faire est plutôt non partisan ou bipartisan. Et si vous l’annulez, vous vous retrouvez alors ouvert à la question « alors pourquoi vous en êtes-vous débarrassé ? »
