Un nouveau décret de Trump révise le dernier cyber-eo de Biden pour éliminer les sections importantes sur les identifiants numériques et les attestations de logiciels sécurisées, entre autres changements, mais maintient une grande partie des cyber-protections de Biden en place.
L’administration Trump a publié un décret exécutif intitulé «Soutenir certains efforts pour renforcer la cybersécurité du pays et modifier Décret exécutif 13694 et décret exécutif 14144. »
Une fiche d’information accompagnant l’ordonnance indique que l’OE du président Trump modifie les «problèmes problématiques et distrayants» des EOS de cybersécurité de l’ère Obama et Biden, en particulier les «mandats d’identité numérique qui ont risqué des abus généralisés en permettant aux immigrants illégaux d’accéder à mal les avantages publics».
Pratiquement tous les changements mis en œuvre par l’administration Trump traitent d’un décret de grande envergure que l’administration Biden a émis le 15 janvier avant l’inauguration de Trump. Cette ordonnance contenait neuf sections obligeant des dizaines d’actions d’agence à travers le gouvernement fédéral, notamment en soutenant les identités numériques, en améliorant la gestion des risques de la chaîne d’approvisionnement, en répondant aux menaces des acteurs de l’État-nation, en particulier la Chine, etc.
Bien que l’ordre de Trump élimine un élément crucial de l’OE de Biden, les sections d’identité numérique, et relève les attestations requises de l’OE pour le développement de logiciels sécurisés, il maintient autrement les dispositions centrales de l’ordre de janvier. De plus, contrairement à la fiche d’information inhabituelle et partisane, l’OE lui-même est un document politique simple dépourvu de sniping politique.
Annuler la section de développement d’identité numérique de Biden Eo
L’exploitation des identités numériques est devenue un moyen de plus en plus populaire pour les acteurs de menace d’obtenir un accès non autorisé à des réseaux et des actifs autrement très protégés. Les cybercriminels et les États-nations peuvent fréquemment pénétrer les systèmes non détectés en se faisant passer pour des initiés ou en volant des références légitimes.
Pour lutter contre cette tendance, l’EO de Biden de Biden a dirigé le National Institute of Standards and Technology (NIST) pour soutenir la vérification d’identité numérique distante à l’aide de documents d’identité numérique pour aider les émetteurs et les vérificateurs des documents d’identité numérique. L’OE a également exhorté les agences fédérales à envisager d’accepter les documents d’identité numérique et à mettre en œuvre des garde-corps pour protéger la confidentialité des identités numériques.
L’OE de Trump, en revanche, a éliminé ce que la fiche d’information appelle l’identité numérique «mandats», affirmant que les identifiants émis par le gouvernement américain pour les «étrangers illégaux» auraient facilité «la fraude aux droits et autres abus».
« Nous sommes déçus de voir l’administration abroger la section d’identité numérique du décret de cybersécurité de janvier – d’autant plus que cette langue avait un fort soutien bipartisan et a été félicité par les experts de la cybersécurité et de la fraude », a déclaré Jeremy Grant, coordinateur de la Betterd Identity Coalition, dans un communiqué.
«Le cœur de la section d’identité s’est concentré sur le fait que le NIST crée des conseils selon lesquels les agences à tous les niveaux de gouvernement pourraient utiliser pour rendre les outils d’identité numérique plus sûrs, ainsi que pour encourager les agences fédérales à commencer à accepter ces informations d’identification sécurisées pour aider à prévenir la fraude dans les programmes d’avantages sociaux.»
Grant a ajouté: «Rien dans l’OE de janvier comprenait un mandat pour que le gouvernement américain émette des identifiants numériques à quiconque – immigrants, ou autre.»
Retourner les assorts de logiciels sécurisés
L’OE de Biden a exigé que les fournisseurs de logiciels fournissant le gouvernement fédéral attestent de leur adhésion à sécuriser les pratiques de développement de logiciels dans le cadre d’une large poussée pour sécuriser la chaîne d’approvisionnement des logiciels.
Ces mandats ont suivi le premier décret de cyber-cadres de Biden, publié en mai 2021, qui obligeait les agences à se conformer à plusieurs directives de sécurité logicielle publiées par NIST. Le Bureau de la gestion et du budget a ensuite publié des conseils sur la façon de se conformer à l’ordonnance 2021.
Le deuxième cyber-e de Biden en janvier visait à donner les dents de guidage de l’OMB en obligeant les attestations, ou les déclarations officielles et soutenues de preuves d’artefacts, qui sont des enregistrements informatiques ou des données générées manuellement ou par des moyens automatisés qui démontrent la conformité à ces pratiques.
« Vers la fin de l’administration Biden-Harris, nous avons pensé qu’il fallait plus d’informations au-delà d’une simple liste de contrôle, et nous avons donc demandé des preuves supplémentaires que les gens suivaient les principes du développement de logiciels sécurisés tels que publiés par le NIST », a déclaré Clarke de Venable.
La cyber-ordre de Trump élimine les attestations, affirmant que dans la fiche d’information, « imposait des processus de comptabilité logicielle non prouvés et lourds qui ont hiérarchisé les listes de contrôle de conformité plutôt que de véritables investissements en sécurité ». Cependant, l’EO de Trump ordonne également à NIST d’établir un consortium avec l’industrie au National Cybersecurity Center of Excellence pour développer des conseils afin de mieux démontrer des pratiques de développement logiciel sécurisées.
Utilisation de l’IA pour lutter contre les vulnérabilités, en définissant les délais post-Quantum
L’OE de Trump s’aligne sur l’ordre de Biden concernant l’importance de l’intelligence artificielle, déclarant que l’IA a le «potentiel de transformer la cyber-défense en identifiant rapidement les vulnérabilités, en augmentant l’ampleur des techniques de détection de menace et en automatisant la cyber-défense».
L’ordre de Trump ordonne également aux divers organismes gouvernementaux de rendre les ensembles de données d’IA accessibles à la communauté de recherche universitaire plus large et à établir une gestion appropriée des vulnérabilités des logiciels d’IA.
Un autre domaine d’accord entre les deux commandes consiste à pousser les agences vers des postures de cryptographie post-quantum plus sécurisées. L’OE de Trump dirige le ministère de la Sécurité intérieure, la Cybersecurity and Infrastructure Security Agency, et l’Agence nationale de sécurité (NSA) pour développer des catégories de produits d’ici le 1er décembre 2025, dans lesquelles des produits qui soutiennent la cryptographie post-quantum (PQC) sont largement disponibles.
Il donne également à la NSA et à l’OMB un délai du 1er décembre 2025 pour se préparer pour un monde PQC en obligeant les agences à prendre en charge la version 1.3 du protocole de sécurité des couches de transport ou un successeur d’ici le 2 janvier 2030.
Le seul véritable changement que Trump a apporté à la politique d’Obama a été de bricoler la langue dans l’ordre exécutif 13694, qui a imposé des sanctions aux «personnes» qui avaient lancé des cyber-activités malveillantes contre les États-Unis. L’EO Trump modifie cette langue pour clarifier que les sanctions s’appliquent aux «personnes étrangères».
En ce qui concerne ce qu’elle considère pour la plupart des révocations mineures des cyber-politiques de Trump de Trump, Clarke a déclaré: «C’est une bonne chose qu’il y ait plus de ligne à travers (d’Obama à Biden à Trump), ce que nous avons toujours dit: la cybersécurité est non partisane. L’EO de Trump reflète que lorsque vous l’avez vraiment lu.»
