La Maison Blanche a dévoilé une stratégie de cybersécurité construite autour de six piliers, donnant la priorité aux opérations offensives, à l’adoption de l’IA et à la déréglementation, tout en laissant les critiques se demander si la réduction des formalités administratives et le renforcement des infrastructures peuvent coexister.
La Maison Blanche a publié la stratégie de cybersécurité tant attendue du président Donald Trump, un plan de sept pages qui rompt avec les approches passées en plaçant les cyberopérations offensives au centre de la politique américaine.
Développée par le Bureau du directeur national de la cybersécurité (ONCD), la stratégie met l’accent sur la perturbation des adversaires, la déréglementation de l’industrie et l’accélération de l’adoption de l’intelligence artificielle tout en abordant également la défense des systèmes fédéraux et des infrastructures critiques.
Le document présente le cyberespace comme un domaine de pouvoir national dans lequel les gouvernements étrangers et les réseaux criminels ciblent activement les Américains, les services essentiels et l’économie en général – et fait suite à une violation du système d’écoute électronique du FBI avec l’implication présumée d’un groupe menaçant chinois.
« Nos adversaires ont ressenti et ressentiront de plus en plus les conséquences de leurs actions ; nous démantelerons les réseaux, poursuivrons les pirates informatiques et les espions et sanctionnerons les sociétés de piratage étrangères illégales », indique la stratégie. « Nous dévoilerons et embarrasserons l’espionnage en ligne, la propagande destructrice, les opérations d’influence et la subversion culturelle. »
Six piliers pour guider le succès
La stratégie repose sur six piliers qui, selon la Maison Blanche, guideront la mise en œuvre et mesureront le succès.
Pilier 1 : Façonner le comportement de l’adversaire. Les États-Unis visent à utiliser des cyberopérations offensives et défensives pour perturber et éroder les adversaires avant qu’ils ne puissent attaquer, démanteler les réseaux criminels et imposer des coûts réels à ceux qui ciblent les Américains.
Ce pilier, qui met l’accent sur les cyberopérations offensives, est susceptible de susciter le plus de controverses et d’inquiétudes bipartites. Attaquer de manière proactive les réseaux adverses, plutôt que d’attendre de répondre, soulève de sérieuses questions quant à savoir si des opérations offensives pourraient activement inciter à des représailles contre les infrastructures critiques américaines. Les critiques soutiennent que les doctrines du « hack back » peuvent déclencher des cycles d’escalade difficiles à contrôler.
Pilier 2 : Promouvoir une réglementation de bon sens. Les États-Unis prévoient d’éliminer ce que l’administration Trump qualifie de lourdes réglementations en matière de cybersécurité, afin que le secteur privé puisse agir plus rapidement, tout en protégeant la confidentialité des données américaines.
Ce pilier peut également s’avérer controversé, car les chercheurs en sécurité et les experts en infrastructures critiques craignent que l’abandon des normes obligatoires laisse les systèmes clés exposés.
Pilier 3 : Moderniser et sécuriser les réseaux fédéraux. L’administration cherche à mettre à niveau les systèmes gouvernementaux avec une architecture Zero Trust, une cryptographie post-quantique, une migration vers le cloud et des défenses basées sur l’IA.
Ce pilier, ainsi que le pilier 5, souligne l’accent mis par la stratégie sur l’intelligence artificielle dans la cybersécurité.
« Ce qui ressort le plus, c’est l’engagement explicite de la stratégie à déployer des solutions basées sur l’IA », a déclaré Yejin Jang, vice-président des affaires gouvernementales chez Abnormal AI, fournisseur de sécurité de messagerie, dans un communiqué. « En faisant de l’IA un élément essentiel de la cybersécurité fédérale, l’ONCD reconnaît que le gouvernement doit associer automatisation et automatisation, et rapidité avec rapidité. »
Pilier 4 : Sécuriser les infrastructures critiques. L’ONCD a souligné la nécessité de renforcer les services essentiels tels que le réseau énergétique, les hôpitaux, les banques et les systèmes d’eau ; supprimer les fournisseurs adverses ; et sécuriser les chaînes d’approvisionnement.
Certains experts affirment que ce pilier pourrait contredire les efforts de déréglementation du gouvernement, car il appelle au renforcement des infrastructures critiques tout en réduisant simultanément les réglementations qui imposent souvent la sécurité des infrastructures critiques.
Pilier 5 : Maintenir la supériorité dans les technologies émergentes. L’administration cherche à protéger l’avance américaine en matière d’IA, d’informatique quantique et de crypto/blockchain, et à contrer les plateformes technologiques étrangères qui censurent ou surveillent les utilisateurs.
La référence aux crypto-monnaies et aux technologies blockchain reflète la position plus large de l’administration en faveur des crypto-monnaies, désormais intégrée dans la politique de cybersécurité. C’est la première fois que les monnaies alternatives sont référencées dans une stratégie nationale de cybersécurité.
Pilier 6 : Développer les talents et les capacités. Les États-Unis investiront dans la réserve de cyber-main-d’œuvre dans les écoles, l’industrie et l’armée pour recruter et former la prochaine génération de cyberprofessionnels.
Bien que peu détaillé, il s’agit sans doute du pilier le plus bipartisan et le moins controversé, car les pénuries de main-d’œuvre dans le domaine de la cybersécurité sont largement reconnues par tous les partis.
Réaction de l’industrie et prochaines étapes
La réaction du secteur a été globalement positive, même si bon nombre des soutiens les plus forts sont venus d’entreprises de cybersécurité susceptibles de bénéficier de l’accent mis par la stratégie sur l’adoption de l’IA et du rôle élargi du secteur privé dans la défense nationale.
Drew Bagley, responsable de la protection de la vie privée et de la politique chez CrowdStrike, a déclaré dans un communiqué : « Cette stratégie répond aux menaces modernes grâce à des politiques concrètes qui renforceront la posture de cybersécurité de l’Amérique. Chaque pilier est important, et l’accent mis sur la sécurisation des technologies avancées reconnaît correctement l’IA comme un accélérateur pour nos adversaires et un domaine d’expertise incontournable pour les défenseurs de première ligne. «
Nikesh Arora, PDG de Palo Alto Networks, a déclaré dans un communiqué : « Je félicite le directeur de l’ONCD (Sean) Cairncross et la National Cyber Strategy pour leur approche prospective visant à relever les défis critiques de cybersécurité. Il convient de noter que l’accent mis sur la promotion d’une sécurité quantique et de la sécurité de l’IA permet aux États-Unis de maintenir leur leadership technologique dans un paysage de menaces en évolution. «
« Je félicite le directeur Cairncross pour sa vision lucide, en particulier pour son approche avant-gardiste des cyber-opérations offensives visant à façonner le comportement de l’adversaire », a déclaré Frank Cilluffo, directeur de l’Institut McCrary, dans un communiqué. « Pendant trop longtemps, nous n’avons pas dissuadé nos ennemis. »
La stratégie étant désormais publique, l’attention se tourne vers sa mise en œuvre. Un document aussi bref, de sept pages couvrant l’ensemble de la politique américaine en matière de cybersécurité, est par conception un énoncé de vision et non un plan opérationnel.
Le véritable test viendra des instruments politiques de suivi annoncés par la Maison Blanche : des mémorandums sur la sécurité nationale contraignant les agences à des exigences spécifiques, des orientations réglementaires secteur par secteur et, surtout, des demandes de budget indiquant si les ambitions de la stratégie seront financées ou resteront ambitieuses.
Schwartz a noté que l’industrie regarde déjà vers l’avenir. « Nous sommes impatients de voir les détails d’un plan d’action et d’autres informations sur la mise en œuvre dans un avenir proche. »
