Presse
— Communiqués
9 févr. 2016
|
Lecteur Min
Fiche d'information de la Maison Blanche : Cybersecurity National Action Plan
Dès le début de son administration, le Président a clairement indiqué que la cybersécurité est l'un des défis les plus importants auxquels nous sommes confrontés en tant que Nation, et depuis plus de sept ans, il a agi de manière globale pour relever ce défi.
En travaillant ensemble avec le Congrès, nous avons franchi une nouvelle étape dans cet effort en décembre avec l'adoption de la Loi sur la cybersécurité de 2015, qui fournit des outils importants nécessaires pour renforcer la cybersécurité de la Nation, notamment en facilitant le partage d'informations sur les menaces cybernétiques entre les entreprises privées et le gouvernement.
Mais le Président pense que davantage doit être fait – afin que les citoyens disposent des outils dont ils ont besoin pour se protéger, que les entreprises puissent défendre leurs opérations et leurs informations, et que le Gouvernement fasse sa part pour protéger le peuple américain et les informations qu'elles nous confient. C'est pourquoi, aujourd'hui, le Président ordonne à son administration de mettre en œuvre un Plan d'Action National sur la Cybersécurité (CNAP) qui prend des mesures à court terme et met en place une stratégie à long terme pour accroître la sensibilisation à la cybersécurité et les protections, protéger la vie privée, maintenir la sécurité publique ainsi que la sécurité économique et nationale, et donner aux Américains les moyens de mieux contrôler leur sécurité numérique.
Le Défi
De l'achat de produits à la gestion d'entreprises en passant par la recherche d'itinéraires et la communication avec les personnes que nous aimons, un monde en ligne a fondamentalement remodelé notre vie quotidienne. Mais tout comme l'âge numérique en constante évolution offre des opportunités illimitées pour notre économie, nos entreprises et notre peuple, il présente également une nouvelle génération de menaces auxquelles nous devons nous adapter pour les relever. Les criminels, les terroristes et les pays qui souhaitent nous nuire ont tous réalisé qu'il est souvent plus facile de nous attaquer en ligne qu'en personne. À mesure que de plus en plus de données sensibles sont stockées en ligne, les conséquences de ces attaques deviennent chaque année plus significatives. Le vol d'identité est désormais le crime qui connaît la croissance la plus rapide en Amérique. Nos innovateurs et entrepreneurs ont renforcé notre leadership mondial et fait croître notre économie, mais avec chaque nouvelle histoire d'une entreprise de renom piratée ou d'un voisin escroqué, davantage d'Américains se demandent si les avantages de la technologie pourraient être surpassés par ses coûts.
Le Président estime que relever ces nouvelles menaces est nécessaire et à notre portée. Mais cela nécessite une réévaluation audacieuse de notre approche de la sécurité à l'ère numérique. Si nous voulons être connectés, nous devons être protégés. Nous devons nous rassembler — gouvernement, entreprises et individus — pour entretenir l'esprit qui a toujours fait la grandeur de l'Amérique.
Notre Approche
C'est pourquoi, aujourd'hui, l'administration annonce une série d'actions à court terme pour renforcer les capacités de cybersécurité au sein du gouvernement fédéral et à travers le pays. Mais étant donné la complexité et la gravité de la question, le Président demande également à certains de nos meilleurs penseurs stratégiques, économiques et techniques de la nation, en dehors du gouvernement, d'étudier et de rapporter ce que nous pouvons faire de plus pour accroître la sensibilisation à la cybersécurité et les protections, protéger la vie privée, maintenir la sécurité publique ainsi que la sécurité économique et nationale, et permettre aux Américains de mieux contrôler leur sécurité numérique. Une action audacieuse est nécessaire pour sécuriser notre société numérique et maintenir la compétitivité des États-Unis dans l'économie numérique mondiale.
Le Plan d'Action National sur la Cybersécurité (CNAP) du Président est le point culminant de plus de sept ans d'efforts déterminés par cette administration, s'appuyant sur les leçons tirées des tendances, menaces et intrusions en cybersécurité. Ce plan ordonne au gouvernement fédéral de prendre de nouvelles mesures dès maintenant et favorise les conditions requises pour des améliorations à long terme de notre approche de la cybersécurité à travers le gouvernement fédéral, le secteur privé et nos vies personnelles. Les points forts du CNAP incluent des actions pour :
Établir la « Commission pour améliorer la cybersécurité nationale. » Cette commission sera composée des meilleurs penseurs stratégiques, économiques et techniques en dehors du gouvernement – y compris des membres qui seront désignés par la direction bi-partisane du Congrès. La commission fera des recommandations sur les actions qui peuvent être entreprises au cours de la prochaine décennie pour renforcer la cybersécurité tant dans les secteurs public que privé tout en protégeant la vie privée ; en maintenant la sécurité publique et économique et la sécurité nationale ; en favorisant la découverte et le développement de nouvelles solutions techniques ; et en renforçant les partenariats entre les gouvernements fédéral, étatiques et locaux et le secteur privé dans le développement, la promotion et l'utilisation des technologies, politiques et meilleures pratiques de cybersécurité.
Moderniser l'informatique gouvernementale et transformer la manière dont le gouvernement gère la cybersécurité par la proposition d'un Fonds de Modernisation des Technologies de l'Information de 3,1 milliards de dollars, qui permettra la retraite, le remplacement et la modernisation des technologies informatiques anciennes difficiles à sécuriser et coûteuses à entretenir, ainsi que la formation d'un nouveau poste – le Directeur Fédéral de la Sécurité de l'Information – pour conduire ces changements dans tout le gouvernement.
Donner aux Américains les moyens de sécuriser leurs comptes en ligne en allant au-delà des seuls mots de passe et en ajoutant une couche de sécurité supplémentaire. En combinant judicieusement un mot de passe fort avec des facteurs supplémentaires, tels qu'une empreinte digitale ou un code à usage unique livré par message texte, les Américains peuvent rendre leurs comptes encore plus sûrs. Cet accent sur l'authentification multi-facteurs sera au cœur d'une nouvelle Campagne Nationale de Sensibilisation à la Cybersécurité lancée par la National Cyber Security Alliance conçue pour armer les consommateurs avec des informations simples et concrètes pour se protéger dans un monde de plus en plus numérique. La National Cyber Security Alliance s'associera à de grandes entreprises technologiques comme Google, Facebook, DropBox et Microsoft pour faciliter la sécurisation des comptes en ligne pour des millions d'utilisateurs, et des entreprises de services financiers telles que MasterCard, Visa, PayPal et Venmo qui rendent les transactions plus sûres. De plus, le gouvernement fédéral prendra des mesures pour protéger les données personnelles lors des transactions en ligne entre les citoyens et le gouvernement, notamment par l'intermédiaire d'un nouveau plan d'action pour conduire l'adoption et l'utilisation par le gouvernement fédéral de méthodes efficaces de vérification de l'identité et d'authentification multi-facteurs robustes et un examen systématique de l'endroit où le gouvernement fédéral peut réduire sa dépendance aux numéros de sécurité sociale comme identifiant des citoyens.
Investir plus de 19 milliards de dollars pour la cybersécurité dans le cadre du budget de l'exercice fiscal 2017 du Président. Cela représente une augmentation de plus de 35 % par rapport à l'exercice fiscal 2016 des ressources fédérales globales pour la cybersécurité, un investissement nécessaire pour sécuriser notre nation à l'avenir.
Grâce à ces actions, à d'autres nouvelles étapes décrites ci-dessous et à d'autres efforts politiques répartis à travers le gouvernement fédéral, l'administration a tracé une voie pour renforcer notre sécurité à long terme et renforcer le leadership américain dans le développement des technologies qui alimentent le monde numérique.
Commission sur l'Amélioration de la Cybersécurité Nationale
Depuis plus de quatre décennies, la technologie informatique et Internet ont offert un avantage stratégique aux États-Unis, à ses citoyens et à ses alliés. Mais si les questions fondamentales de cybersécurité et d'identité ne sont pas abordées, la dépendance de l'Amérique à l'infrastructure numérique risque de devenir une source de responsabilité stratégique. Pour résoudre ces problèmes, nous devons diagnostiquer et traiter les causes des vulnérabilités cybernétiques, et non pas simplement traiter les symptômes. Relever ce défi nécessitera un engagement national à long terme.
Pour mener cet examen, le Président établit la Commission sur l'Amélioration de la Cybersécurité Nationale, composée des meilleurs penseurs stratégiques, économiques et techniques en dehors du gouvernement – y compris des membres qui seront désignés par la direction bi-partisane du Congrès. La Commission a pour tâche de faire des recommandations détaillées sur les actions qui peuvent être entreprises au cours de la prochaine décennie pour améliorer la sensibilisation à la cybersécurité et les protections dans le secteur privé et à tous les niveaux du gouvernement, protéger la vie privée, maintenir la sécurité publique et économique ainsi que la sécurité nationale, et donner aux Américains les moyens de mieux contrôler leur sécurité numérique. L'Institut national des normes et de la technologie fournira à la Commission le soutien nécessaire pour lui permettre de mener à bien sa mission. La Commission fera rapport au Président de ses constatations spécifiques et de ses recommandations avant la fin de 2016, fournissant au pays une feuille de route pour les actions futures qui s'appuieront sur le CNAP et protégeront notre sécurité à long terme en ligne.
Élever le Niveau de Cybersécurité à travers le Pays
Tandis que la Commission mène cet examen prospectif, nous continuerons à élever le niveau de cybersécurité à travers les États-Unis.
Renforcer la Cybersécurité Fédérale
Le gouvernement fédéral a réalisé des progrès significatifs dans l'amélioration de ses capacités de cybersécurité, mais il reste encore beaucoup à faire. Pour s'appuyer sur ces progrès et relever les défis systémiques de longue date dans la cybersécurité fédérale, nous devons réexaminer notre approche héritée du gouvernement en matière de cybersécurité et de technologie de l'information, qui exige que chaque agence construise et défende ses propres réseaux. Ces actions s'appuient sur la fondation posée par les Objectifs de Priorité Transagence pour la Cybersécurité et le Plan Stratégique et de Mise en Œuvre de la Cybersécurité de 2015.
Le budget 2017 du Président propose un Fonds de Modernisation des Technologies de l'Information de 3,1 milliards de dollars, en tant qu'acompte sur la révision complète qui doit être entreprise dans les années à venir. Ce fonds renouvelable permettra aux agences d'investir de l'argent dès le départ et de réaliser un retour au fil du temps en retirant, remplaçant ou modernisant les infrastructures, les réseaux et les systèmes informatiques anciens qui sont coûteux à entretenir, offrent une fonctionnalité médiocre et sont difficiles à sécuriser.
L'administration a créé le poste de Directeur Fédéral de la Sécurité de l'Information pour piloter la politique, la planification et la mise en œuvre de la cybersécurité dans l'ensemble du gouvernement fédéral. C'est la première fois qu'il y aura un haut fonctionnaire dédié exclusivement au développement, à la gestion et à la coordination de la stratégie, de la politique et des opérations de cybersécurité dans l'ensemble du domaine fédéral.
L'administration exige que les agences identifient et priorisent leurs actifs informatiques les plus précieux et les plus à risque, puis prennent des mesures concrètes supplémentaires pour améliorer leur sécurité.
Le Département de la sécurité intérieure, l'Administration des services généraux et d'autres agences fédérales augmenteront la disponibilité des services partagés à l'échelle du gouvernement pour l'informatique et la cybersécurité, dans le but de retirer chaque agence individuelle du domaine de la construction, de la possession et de l'exploitation de leur propre informatique lorsque des options plus efficaces, efficientes et sécurisées sont disponibles, ainsi que de veiller à ce que les agences individuelles ne soient pas laissées à elles-mêmes pour se défendre contre les menaces les plus sophistiquées.
Le Département de la sécurité intérieure renforce la cybersécurité fédérale en étendant les programmes EINSTEIN et de Diagnostic Continu et de Mitigation. Le budget 2017 du Président soutient l'adoption de ces capacités par toutes les agences civiles fédérales.
Le Département de la sécurité intérieure augmente considérablement le nombre d'équipes civiles fédérales de défense cybernétique à un total de 48, en recrutant les meilleurs talents en cybersécurité de l'ensemble du gouvernement fédéral et du secteur privé. Ces équipes permanentes protégeront les réseaux, systèmes et données de l'ensemble du gouvernement civil fédéral en menant des tests de pénétration et en chassant de manière proactive les intrus, ainsi qu'en fournissant une expertise en matière de réponse aux incidents et d'ingénierie de sécurité.
Le gouvernement fédéral, par des efforts tels que l'Initiative Nationale pour l'Éducation à la Cybersécurité, améliorera l'éducation et la formation à la cybersécurité dans tout le pays et embauchera davantage d'experts en cybersécurité pour sécuriser les agences fédérales. Dans le cadre du CNAP, le budget du Président investit 62 millions de dollars dans le personnel de cybersécurité pour :
Étendre le programme de bourses pour le service en établissant un programme de réserve CyberCorps, qui offrira des bourses à des Américains qui souhaitent obtenir une éducation en cybersécurité et servir leur pays dans le gouvernement civil fédéral;
Développer un Curriculum de Base en Cybersécurité qui garantira que les diplômés en cybersécurité qui souhaitent rejoindre le gouvernement fédéral possèdent les connaissances et compétences requises; et,
Renforcer le Programme National de Centres d'Excellence Académique en Cybersécurité pour augmenter le nombre d'institutions académiques participantes et d'étudiants, mieux soutenir celles qui participent actuellement, accroître le nombre d'étudiants en cybersécurité dans ces institutions et améliorer les connaissances des étudiants grâce à l'évolution des programmes et des curriculums.
Le budget du Président prend des mesures supplémentaires pour élargir la main-d'œuvre en cybersécurité en :
Améliorant les programmes de pardon des prêts étudiants pour les experts en cybersécurité rejoignant la fonction publique fédérale;
Catalysant l'investissement dans l'éducation à la cybersécurité dans le cadre d'un curriculum informatique robuste par le biais de l'Initiative Informatique du Président pour Tous.
Donner les Moyens aux Individus
La confidentialité et la sécurité de tous les Américains en ligne dans leur vie quotidienne sont de plus en plus intégrales à notre sécurité nationale et à notre économie. Les nouvelles actions suivantes s'appuient sur l'Initiative BuySecure de 2014 du Président pour renforcer la sécurité des données des consommateurs.
Le Président demande aux Américains de dépasser le simple mot de passe pour utiliser plusieurs facteurs d'authentification lors de la connexion aux comptes en ligne. Les entreprises privées, les organisations à but non lucratif et le gouvernement fédéral travaillent ensemble pour aider davantage d'Américains à rester en sécurité en ligne grâce à une nouvelle campagne de sensibilisation publique qui se concentre sur l'adoption large de l'authentification multi-facteurs. S'appuyant sur la campagne Arrêtez.Réfléchissez.Connectez et les efforts découlant de la Stratégie Nationale pour les Identités de Confiance dans le Cyberspace, la National Cyber Security Alliance s'associera à des entreprises technologiques de premier plan et à la société civile pour promouvoir cet effort et faciliter la sécurisation des comptes en ligne pour des millions d'utilisateurs. Cela soutiendra un effort plus large pour accroître la sensibilisation du public au rôle de l'individu dans la cybersécurité.
Le gouvernement fédéral accélère l'adoption d'une authentification multi-facteurs robuste et d'une vérification de l'identité pour les services numériques du gouvernement fédéral destinés aux citoyens. L'Administration des services généraux établira un nouveau programme qui protégera et sécurisera mieux les données et informations personnelles des Américains lorsqu'ils interagissent avec les services gouvernementaux fédéraux, y compris les données fiscales et les informations sur les prestations.
L'administration procède à un examen systématique de l'endroit où le gouvernement fédéral peut réduire son utilisation des numéros de sécurité sociale comme identifiant des citoyens.
La Federal Trade Commission a récemment relancé IdentityTheft.Gov, pour servir de ressource unique pour les victimes pour signaler le vol d'identité, créer un plan de rétablissement personnel et imprimer des lettres et formulaires pré-remplis à envoyer aux agences de crédit, aux entreprises et aux collecteurs de dettes.
L'Administration des petites entreprises (SBA), en partenariat avec la Federal Trade Commission, l'Institut national des normes et de la technologie (NIST) et le Département de l'énergie, offrira une formation en cybersécurité pour atteindre plus de 1,4 million de petites entreprises et parties prenantes des petites entreprises à travers 68 bureaux de district de la SBA, 9 centres de partenariat pour l'extension manufacturière du NIST et d'autres réseaux régionaux à travers le pays.
L'administration annonce de nouveaux jalons dans l'Initiative BuySecure du Président pour sécuriser les transactions financières. À ce jour, le gouvernement fédéral a fourni plus de 2,5 millions de cartes de paiement Chip-and-PIN plus sécurisées, et a fait passer à cette nouvelle technologie toute la flotte de lecteurs de cartes gérés par le Département du Trésor. Grâce au leadership du gouvernement et du secteur privé, plus de cartes à puce sécurisées ont été émises aux États-Unis que dans tout autre pays au monde.
Améliorer la Sécurité et la Résilience des Infrastructures Critiques
La sécurité nationale et économique des États-Unis dépend du bon fonctionnement des infrastructures critiques de la Nation. Un partenariat continu avec les propriétaires et opérateurs d'infrastructures critiques améliorera la cybersécurité et renforcera la résilience de la Nation. Ce travail s'appuie sur les précédentes ordonnances exécutives du Président axées sur la cybersécurité concernant les Infrastructures Critiques (2013) et le Partage d'Informations (2015).
Le Département de la sécurité intérieure, le Département du commerce et le Département de l'énergie apportent des ressources et des capacités pour établir un Centre National pour la Résilience en Cybersécurité où les entreprises et les organisations sectorielles peuvent tester la sécurité des systèmes dans un environnement contrôlé, comme en soumettant une réplique de réseau électrique à une cyberattaque.
Le Département de la sécurité intérieure doublera le nombre de conseillers en cybersécurité disponibles pour aider les organisations du secteur privé avec des évaluations personnalisées et en personne de la cybersécurité et la mise en œuvre des meilleures pratiques.
Le Département de la sécurité intérieure collabore avec UL et d'autres partenaires de l'industrie pour développer un Programme d'Assurance de la Cybersécurité pour tester et certifier les appareils connectés au sein de l'« Internet des objets », qu'il s'agisse de réfrigérateurs ou de pompes à perfusion médicales, pour qu'au moment de l'achat d'un nouveau produit, vous puissiez être sûr qu'il a été certifié conforme aux normes de sécurité.
L'Institut national des normes et de la technologie est sollicitant des commentaires afin d'informer davantage le développement de son Cadre pour l'Amélioration de la Cybersécurité des Infrastructures Critiques. Cela suit deux ans d'adoption par les organisations à travers le pays et dans le monde.
Hier, la Secrétaire au commerce Pritzker a coupé le ruban du nouveau Centre National d'Excellence pour la Cybersécurité, un partenariat de recherche et développement public-privé qui permettra à l'industrie et au gouvernement de travailler ensemble pour développer et déployer des solutions techniques pour des défis en cybersécurité hautement prioritaires et partager ces résultats pour le bénéfice de la communauté au sens large.
L'administration appelle les principaux assureurs santé et parties prenantes du secteur de la santé à prendre de nouvelles mesures significatives pour améliorer leurs pratiques de gestion des données et s'assurer que les consommateurs peuvent être sûrs que leurs données de santé sensibles seront sûres, sécurisées et disponibles pour guider la prise de décision clinique.
Sécuriser la Technologie
Alors même que nous travaillons à améliorer nos défenses aujourd'hui, nous savons que la Nation doit investir agressivement dans la science, la technologie, les outils et l'infrastructure de demain pour garantir qu'ils sont conçus avec la sécurité durable à l'esprit.
Aujourd'hui, l'administration publie son Plan Stratégique de Recherche et Développement en Cybersécurité Fédérale 2016. Ce plan, qui a été appelé par la Loi sur l'amélioration de la cybersécurité de 2014, expose les objectifs stratégiques de recherche et développement pour la Nation afin de faire progresser les technologies de cybersécurité guidées par les preuves scientifiques d'efficacité et d'efficience.
En outre, le gouvernement collaborera avec des organisations telles que l'Initiative sur l'Infrastructure Core de la Fondation Linux pour financer et sécuriser les « utilitaires » Internet couramment utilisés tels que les logiciels open-source, les protocoles et les normes. Tout comme nos routes et nos ponts ont besoin de réparations et d'entretien réguliers, les liens techniques permettant à l'autoroute de l'information de fonctionner ont également besoin de maintenance.
Dissuader, Décourager et Perturber l'Activité Malveillante dans le Cyberespace
Assurer une meilleure sécurité de notre propre infrastructure numérique n'est qu'une partie de la solution. Nous devons diriger l'effort international pour adopter des principes de comportement étatique responsable, même si nous prenons des mesures pour dissuader et perturber l'activité malveillante. Nous ne pouvons pas poursuivre ces objectifs seuls – nous devons les poursuivre en concertation avec nos alliés et partenaires dans le monde.
En 2015, les membres du G20 ont rejoint les États-Unis pour affirmer des normes importantes, y compris l'applicabilité du droit international au cyberspace, l'idée que les États ne devraient pas mener le vol cybernétique de propriété intellectuelle à des fins commerciales, et en accueillant favorablement le rapport d'un Groupe d'experts gouvernementaux des Nations Unies, qui comprenait un certain nombre de normes supplémentaires pour promouvoir la coopération internationale, prévenir les attaques sur les infrastructures critiques civiles et soutenir les équipes de réponse aux urgences informatiques fournissant des services de reconstitution et de mitigation. L'administration a l'intention d'institutionnaliser et de mettre en œuvre ces normes par le biais d'autres engagements bilatéraux et multilatéraux et mesures de consolidation de la confiance.
Le Département de la justice, y compris le Bureau fédéral d'enquête, augmente le financement des activités liées à la cybersécurité de plus de 23 % pour améliorer leurs capacités à identifier, perturber et appréhender les acteurs malveillants en cybersécurité.
U.S. Cyber Command construit une Force de Mission Cybernétique de 133 équipes assemblées à partir de 6200 militaires, civils et personnel de soutien contractuel des départements militaires et composants de défense. La Force de Mission Cybernétique, qui sera entièrement opérationnelle en 2018, utilise déjà des capacités pour soutenir les objectifs du gouvernement américain à travers le spectre des opérations cybernétiques.
Améliorer la Réponse aux Incidents Cybernétiques
Alors même que nous nous concentrons sur la prévention et la dissuasion de l'activité cybernétique malveillante, nous devons également maintenir notre résilience au fur et à mesure des événements. Au cours de l'année dernière, le pays a été confronté à une large gamme d'intrusions, allant de l'activité criminelle à l'espionnage cybernétique. En appliquant les leçons apprises des incidents passés, nous pouvons améliorer la gestion des incidents cybernétiques futurs et renforcer la cyber-résilience du pays.
D'ici le printemps, l'administration publiera publiquement une politique de coordination nationale des incidents cybernétiques et une méthodologie d'évaluation de la gravité pour évaluer les incidents cybernétiques afin que les agences gouvernementales et le secteur privé puissent communiquer efficacement et fournir un niveau de réponse approprié et cohérent.
Protéger la Vie Privée des Individus
En coordination avec les efforts de technologie de l'information et de cybersécurité ci-dessus, l'administration a lancé un effort sans précédent pour améliorer la manière dont les agences à travers le gouvernement fédéral protègent la vie privée des individus et leurs informations. La vie privée a été au cœur de notre nation depuis sa fondation, et à l'ère numérique d'aujourd'hui, la protection de la vie privée est plus cruciale que jamais.
Aujourd'hui, le Président a signé un décret exécutif créant un Conseil Fédéral de la Vie Privée permanent, qui réunira les responsables de la vie privée de l'ensemble du gouvernement pour aider à garantir la mise en œuvre de directives fédérales de vie privée plus stratégiques et complètes. Comme la cybersécurité, la vie privée doit être abordée efficacement et en continu à mesure que notre nation adopte de nouvelles technologies, promeut l'innovation, récolte les bénéfices des big data et se défend contre les menaces évolutives.
Financer la Cybersécurité
Pour mettre en œuvre ces changements de grande envergure, le gouvernement fédéral devra investir davantage de ressources dans sa cybersécurité. C'est pourquoi le budget 2017 alloue plus de 19 milliards de dollars pour la cybersécurité – soit une augmentation de plus de 35 % par rapport au niveau approuvé en 2016. Ces ressources permettront aux agences d'élever leur niveau de cybersécurité, aideront les organisations du secteur privé et les individus à mieux se protéger, à perturber et dissuader les activités des adversaires, et à réagir plus efficacement aux incidents.
Contact Média :
Jessica Beffa
Thatcher+Co.
720-413-4938
ncsa@thatcherandco.com