Le déplacement du fardeau de la gestion des cyber urgences vers les gouvernements étatiques et locaux tout en réduisant les groupes fédéraux de partage d’informations pourrait laisser les CISO locaux et sous-financés et les DSI moins préparés pour les attaques d’infrastructures critiques.
Le 19 mars, la Maison Blanche a publié le premier décret (EO) à aborder directement les politiques de cybersécurité en vertu du deuxième mandat de Trump. L’ordonnance, «réaliser l’efficacité par le biais de la préparation des États et des locaux», pousse vers les gouvernements des États et locaux une responsabilité élevée de la préparation aux urgences «soutenue par un gouvernement fédéral compétent, accessible et efficace».
«Les citoyens sont les bénéficiaires immédiats des décisions et des investissements locaux solides conçus pour lutter contre les risques, notamment les cyberattaques, les incendies de forêt, les ouragans et la météo spatiale», déclare l’EO. «Lorsque les États sont autorisés à faire des choix d’infrastructures intelligents, les contribuables en bénéficient.»
Dans ce décret exécutif, Bob Kolasky, vice-président directeur des infrastructures critiques chez EXIGER et directeur fondateur du National Risk Management Center de CISA, voit «une nouvelle façon de voir quelles sont les priorités pour la sécurité des infrastructures critiques pour les cyberattaques», dit-il.
Mais, selon les experts, l’ordonnance soulève également des questions sur la façon dont les gouvernements des États et locaux à court d’argent peuvent payer les responsabilités accrues.
De plus, les CISO locaux et les DSI qui ont participé à des organisations de partage de la cybersécurité de l’État et locales pourraient avoir nulle part où discuter de nombreux objectifs de l’OE après la réduction de l’administration Trump ou l’élimination des organisations fédérales qui ont précédemment facilité ces discussions.
Ce que l’OE a besoin
L’OE décrit cinq grandes actions pour faciliter les États et les gouvernements locaux jouant un rôle plus important dans la résilience et la préparation aux infrastructures critiques. Ces actions incluent:
Création d’une stratégie de résilience nationale
L’OE exige l’assistant du président des affaires de sécurité nationale (APNSA), en coordination avec l’assistant du président pour la politique économique et les chefs de départements et agences exécutifs pertinents, pour publier dans les 90 jours (d’ici le 17 juin) une stratégie de résilience nationale qui articule les priorités, les moyens et les moyens de faire avancer la résilience du pays.
Création d’une politique nationale d’infrastructure critique
L’ordonnance indique que dans les 180 jours (d’ici le 15 septembre), l’APNSA, en coordination avec le directeur de l’Office of Science and Technology Policy et les chefs des agences pertinentes, devraient examiner toutes les politiques d’infrastructure critiques et recommander au président les révisions, les «récifs et les remplacements nécessaires pour réaliser une posture plus résiliente».
Il suggère également que la nouvelle posture devrait déplacer la politique d’infrastructure critique d’une approche All-Hazards d’une approche informée du risque et aller au-delà du partage d’informations à l’action. Bien que l’EO traite de toutes les urgences, ce changement d’approche peut le plus avoir un impact sur les urgences liées à la cybersécurité.
Mais, dit-il, «aller à une approche basée sur les risques signifie que vous devez vous concentrer sur la chose qui est le plus susceptible de se produire et son impact. La chose la plus probable se produise n’est pas un tremblement de terre, bien que cela se produise un jour. La chose la plus probable se produit est une cyberattaque contre l’infrastructure critique qui est de déménager et de perturber.»
Créer une politique nationale de continuité
En vertu de l’OE, dans les 180 jours (d’ici le 15 septembre), l’APNSA, en coordination avec les chefs des agences concernées, doit examiner toutes les politiques nationales de continuité et proposer des changements recommandés pour développer une nouvelle politique nationale de continuité.
Développer de nouvelles politiques de préparation et de réponse
L’Ordre dirige l’APNSA, en coordination avec les chefs des agences pertinents et informée par les rapports et conclusions du Conseil fédéral de la gestion des urgences (FEMA), dans les 240 jours (d’ici le 14 novembre) pour réviser ou remplacer les politiques nationales de préparation et de réponse au besoin afin de reformuler le processus et les métriques pour la responsabilité fédérale, d’éloigner une approche de tous les mains et de mettre en œuvre la stratégie nationale de la résilience.
Création d’un registre des risques nationaux
En vertu de l’ordre, dans les 240 jours, l’APNSA, en coordination avec le directeur de l’Office of Management and Budget (OMB) et les chefs des agences pertinentes, doit travailler ensemble pour créer un registre des risques national qui «identifie, articule et quantifie les risques naturels et malignes pour notre infrastructure nationale, les systèmes connexes et leurs utilisateurs.» Le registre informera la communauté du renseignement, les investissements du secteur privé, les investissements de l’État et les priorités budgétaires fédérales, selon l’OE.
Aucun financement pour les cyber urgences locales
L’OE est cependant silencieuse sur la façon dont les États et les gouvernements locaux augmenteront les coûts de leurs nouvelles responsabilités. « Cela ressemble à un mandat non financé », explique Hamilton de Lumifi. «Il y a une énumération d’un tas de politiques fédérales, de normes, etc., et il dit:« Des États, vous devez faire tout ce que le gouvernement fédéral a fait », mais il n’y a aucune mention de financement là-dedans.»
Walther-Puri dit qu’à un niveau, il est logique de pousser la préparation aux urgences jusqu’au niveau local parce que les catastrophes sont locales. Mais il dit: «Là où il y a un décalage, c’est que ces gouvernements des États et locaux n’ont pas ces ressources, et qu’ils ne reçoivent pas de financement ou d’investissement. Les entités de l’État et locales sont déjà dépassées et sous-financées, en particulier contre les États-nations.»
Il ajoute: «Comme ce filet de sécurité fédéral est enlevé, les gouvernements des États et locaux doivent naviguer par eux-mêmes avec de moins en moins de lignes de vie.
La perte de groupes de partage d’informations pourrait entraver le processus
L’OE est dans le cadre d’une réduction de financement de 10 millions de dollars qui frappe les opérations du centre de partage et d’analyse d’informations multiples (MS-ISAC). Il suit également la séparation du soutien au Centre de partage et d’analyse des informations sur les infrastructures électorales (E-ISAC). Les deux groupes ont été exploités par l’organisation à but non lucratif Le Center for Internet Security (CIS).
Ces coupures sont intervenues après la décision du directeur de la sécurité intérieure, Kristi Noem, d’éliminer le Conseil consultatif de partenariat d’infrastructure critique (CIPAC), qui a permis la libre circulation des informations sensibles entre le gouvernement et l’industrie sans crainte de divulgation.
Ces trois groupes ont servi de forums pour soutenir les communications du gouvernement fédéral avec des entités étatiques et locales. Cependant, l’accord de coopération entre CISA et CIS, qui exploite le MS-ISAC, est toujours en place. La CISA a actuellement alloué 25 millions de dollars à CIS, ce qui représente un peu plus de 70% de la planification initiale et rien ne mène CIS à allouer des fonds pour faire avancer l’EI-ISAC.
Néanmoins, les experts disent que de nouveaux mécanismes devraient être montés si l’OE veut atteindre ses objectifs.
«Il doit y avoir un mécanisme de partage d’État et local», explique Kolasky. « Si ce n’est pas le MS-ISAC, quelque chose doit être établi à sa place, même s’il n’est pas financé par le gouvernement fédéral. Mais si cela ne se produit pas, les gouvernements des États et locaux seront sur le pied arrière pour la cybersécurité », dit-il.
Sans un certain remplacement pour le MS-ISAC et le CIPAC, les DSI locaux et les CISO pourraient être laissés de côté dans le froid. «Le MS-ISAC a été une structure de coordination efficace avec les DSI et CIO locaux et locaux», explique Kolasky. « En l’absence du MS-ISAC en place, je ne sais pas quelle serait la structure de coordination existante d’un large ensemble d’État et de cisos locaux et DSI. »
À moins que les fédéraux ne recréent de nouveaux groupes de partage d’informations, les États doivent monter «ce mécanisme de partage de l’information afin que les gouvernements des États et le secteur privé parlent, partagent des informations, partagent des menaces Intel», explique Hamilton. «Nous allons devoir remplacer le fait que le gouvernement fédéral le faisait pour nous.»
Voir aussi:
- La Maison Blanche exempte les cyber-pros des licenciements de masse; Le juge rétablit les licenciements de la CISA
- Trump nomme le cyber vétérinaire Sean Plankey pour le chef de la CISA au milieu des coupes et des licenciements Doge
- US Cybercom, CISA retrait dans la lutte contre les cyber-menaces russes: rapports
- Trump dissout Cyber Safety Review Board, Salt Typhoon Enquête dans les limbes
