En travaillant avec le Congrès, nous avons franchi une nouvelle étape dans cet effort en décembre avec l’adoption du Cybersecurity Act of 2015, qui fournit des outils importants nécessaires pour renforcer la cybersécurité de la Nation, en facilitant notamment le partage d’informations sur les cybermenaces entre les entreprises privées et avec le Gouvernement.

Mais le Président estime que davantage doit être fait – afin que les citoyens disposent des outils nécessaires pour se protéger, que les entreprises puissent défendre leurs opérations et leurs informations, et que le Gouvernement fasse sa part pour protéger le peuple américain et les informations qu’il nous confie. C’est pourquoi, aujourd’hui, le Président demande à son Administration de mettre en œuvre un Cybersecurity National Action Plan (CNAP) qui prévoit des mesures à court terme et met en place une stratégie à long terme visant à améliorer la sensibilisation et les protections en matière de cybersécurité, à protéger la vie privée, à maintenir la sécurité publique ainsi que la sécurité économique et nationale, et à donner aux Américains les moyens de mieux contrôler leur sécurité numérique.

Le défi

De l’achat de produits à la conduite des affaires, de la recherche d’itinéraires à la communication avec les personnes que nous aimons, le monde en ligne a fondamentalement remodelé notre vie quotidienne. Mais, tout comme l’ère numérique en constante évolution offre des possibilités infinies à notre économie, à nos entreprises et à notre population, elle présente aussi une nouvelle génération de menaces auxquelles nous devons nous adapter. Les criminels, les terroristes et les pays qui souhaitent nous nuire ont tous compris qu’il est souvent plus facile de nous attaquer en ligne qu’en personne. À mesure que toujours plus de données sensibles sont stockées en ligne, les conséquences de ces attaques deviennent chaque année plus importantes. Le vol d’identité est désormais le crime qui connaît la croissance la plus rapide en Amérique. Nos innovateurs et entrepreneurs ont renforcé notre leadership mondial et fait croître notre économie, mais à chaque nouvelle histoire d’une grande entreprise piratée ou d’un voisin escroqué, davantage d’Américains se demandent si les avantages de la technologie ne risquent pas d’être dépassés par ses coûts.

Le Président estime qu’il est nécessaire de faire face à ces nouvelles menaces et que cela est à notre portée. Mais cela exige une réévaluation audacieuse de la manière dont nous abordons la sécurité à l’ère numérique. Si nous voulons être connectés, nous devons être protégés. Nous devons nous unir—Gouvernement, entreprises et particuliers—pour préserver l’esprit qui a toujours fait la grandeur de l’Amérique.

Notre approche

C’est pourquoi, aujourd’hui, l’Administration annonce une série de mesures à court terme visant à renforcer les capacités de cybersécurité au sein du Gouvernement fédéral et dans tout le pays. Mais compte tenu de la complexité et de la gravité du sujet, le Président demande également à certains des principaux penseurs stratégiques, économiques et techniques de notre Nation, extérieurs au gouvernement, d’étudier et de présenter des recommandations sur ce que nous pouvons faire de plus pour améliorer la sensibilisation et les protections en matière de cybersécurité, protéger la vie privée, maintenir la sécurité publique ainsi que la sécurité économique et nationale, et donner aux Américains les moyens de mieux contrôler leur sécurité numérique. Des mesures audacieuses sont nécessaires pour sécuriser notre société numérique et maintenir la compétitivité de l’Amérique dans l’économie numérique mondiale.

Le Cybersecurity National Action Plan (CNAP) du Président est l’aboutissement de plus de sept années d’efforts déterminés de cette Administration, s’appuyant sur les enseignements tirés des tendances, menaces et intrusions en matière de cybersécurité. Ce plan demande au Gouvernement fédéral d’agir dès maintenant et crée les conditions nécessaires à des améliorations à long terme dans notre approche de la cybersécurité à travers le Gouvernement fédéral, le secteur privé et notre vie personnelle. Parmi les principaux éléments du CNAP figurent des actions visant à :

• Créer la « Commission sur le renforcement de la cybersécurité nationale ». Cette Commission sera composée de personnalités de premier plan en stratégie, en affaires et en technique, extérieures au Gouvernement – y compris des membres désignés par la direction bipartisane du Congrès. La Commission formulera des recommandations sur les actions pouvant être menées au cours de la prochaine décennie pour renforcer la cybersécurité dans les secteurs public et privé tout en protégeant la vie privée ; en maintenant la sécurité publique et la sécurité économique et nationale ; en favorisant la découverte et le développement de nouvelles solutions techniques ; et en renforçant les partenariats entre les gouvernements fédéral, des États et locaux ainsi que le secteur privé dans le développement, la promotion et l’utilisation des technologies, politiques et meilleures pratiques en matière de cybersécurité.

• Moderniser l’informatique du Gouvernement et transformer la manière dont le Gouvernement gère la cybersécurité grâce à la proposition d’un Fonds de modernisation des technologies de l’information de 3,1 milliards de dollars, qui permettra la mise hors service, le remplacement et la modernisation des systèmes informatiques hérités, difficiles à sécuriser et coûteux à maintenir, ainsi que la création d’un nouveau poste – le responsable fédéral en chef de la sécurité de l’information – pour piloter ces changements dans l’ensemble du Gouvernement.

• Donner aux Américains les moyens de sécuriser leurs comptes en ligne en allant au-delà du simple mot de passe et en ajoutant une couche supplémentaire de sécurité. En combinant judicieusement un mot de passe fort avec des facteurs supplémentaires, comme une empreinte digitale ou un code à usage unique envoyé par SMS, les Américains peuvent rendre leurs comptes encore plus sûrs. Cette priorité accordée à l’authentification multifacteur sera au cœur d’une nouvelle campagne nationale de sensibilisation à la cybersécurité lancée par la National Cyber Security Alliance, conçue pour fournir aux consommateurs des informations simples et exploitables afin de se protéger dans un monde de plus en plus numérique. La National Cyber Security Alliance s’associera à des entreprises technologiques de premier plan comme Google, Facebook, DropBox et Microsoft pour faciliter la sécurisation des comptes en ligne de millions d’utilisateurs, ainsi qu’à des sociétés de services financiers telles que MasterCard, Visa, PayPal et Venmo qui rendent les transactions plus sûres. En outre, le Gouvernement fédéral prendra des mesures pour protéger les données personnelles dans les transactions en ligne entre les citoyens et le gouvernement, notamment au moyen d’un nouveau plan d’action visant à accélérer l’adoption et l’utilisation, par le Gouvernement fédéral, de méthodes efficaces de vérification d’identité et d’authentification multifacteur renforcée, ainsi qu’un examen systématique des domaines dans lesquels le Gouvernement fédéral peut réduire sa dépendance aux numéros de sécurité sociale comme identifiant des citoyens.

• Investir plus de 19 milliards de dollars dans la cybersécurité dans le cadre du budget de l’exercice 2017 du Président. Cela représente une augmentation de plus de 35 % par rapport à l’exercice 2016 des ressources fédérales globales consacrées à la cybersécurité, un investissement nécessaire pour sécuriser notre Nation à l’avenir.

Grâce à ces actions, aux nouvelles mesures supplémentaires détaillées ci-dessous et à d’autres efforts politiques déployés dans l’ensemble du Gouvernement fédéral, l’Administration a tracé une voie visant à renforcer notre sécurité à long terme et à consolider le leadership américain dans le développement des technologies qui alimentent le monde numérique.

Commission sur le renforcement de la cybersécurité nationale

Depuis plus de quatre décennies, la technologie informatique et Internet offrent un avantage stratégique aux États-Unis, à leurs citoyens et à leurs alliés. Mais si les questions fondamentales de cybersécurité et d’identité ne sont pas traitées, la dépendance de l’Amérique à l’infrastructure numérique risque de devenir une source de vulnérabilité stratégique. Pour répondre à ces enjeux, nous devons diagnostiquer et traiter les causes des cybervulnérabilités, et pas seulement en traiter les symptômes. Relever ce défi exigera un engagement national de long terme.

Pour mener cet examen, le Président crée la Commission sur le renforcement de la cybersécurité nationale, composée de personnalités de premier plan en stratégie, en affaires et en technique, extérieures au Gouvernement – y compris des membres désignés par la direction bipartisane du Congrès. La Commission est chargée de formuler des recommandations détaillées sur les actions pouvant être menées au cours de la prochaine décennie pour améliorer la sensibilisation et les protections en matière de cybersécurité dans l’ensemble du secteur privé et à tous les niveaux de Gouvernement, pour protéger la vie privée, maintenir la sécurité publique et la sécurité économique et nationale, et donner aux Américains les moyens de mieux contrôler leur sécurité numérique. Le National Institute of Standards and Technology apportera son soutien à la Commission afin de lui permettre d’accomplir sa mission. La Commission remettra au Président, avant fin 2016, ses constats et recommandations spécifiques, fournissant au pays une feuille de route pour les actions futures qui s’appuieront sur le CNAP et protégeront notre sécurité à long terme en ligne.

Élever le niveau de cybersécurité dans tout le pays

Pendant que la Commission mène cet examen tourné vers l’avenir, nous continuerons d’élever le niveau de cybersécurité dans toute la Nation.

Renforcer la cybersécurité fédérale

Le Gouvernement fédéral a réalisé des progrès significatifs dans l’amélioration de ses capacités de cybersécurité, mais il reste encore du travail. Pour amplifier ces progrès et traiter les défis systémiques de longue date de la cybersécurité fédérale, nous devons réexaminer l’approche héritée de notre Gouvernement en matière de cybersécurité et de technologies de l’information, qui oblige chaque agence à construire et défendre ses propres réseaux. Ces actions s’appuient sur la base posée par les Objectifs prioritaires inter-agences en matière de cybersécurité et le Plan stratégique et de mise en œuvre de la cybersécurité 2015.

• Le budget 2017 du Président propose un Fonds de modernisation des technologies de l’information de 3,1 milliards de dollars, comme mise de départ pour la refonte complète qui devra être entreprise dans les années à venir. Ce fonds renouvelable permettra aux agences d’investir de l’argent à l’avance et d’en récolter les bénéfices au fil du temps en retirant, remplaçant ou modernisant des infrastructures, réseaux et systèmes informatiques obsolètes, coûteux à maintenir, peu fonctionnels et difficiles à sécuriser.

• L’Administration a créé le poste de responsable fédéral en chef de la sécurité de l’information afin de piloter la politique, la planification et la mise en œuvre de la cybersécurité dans l’ensemble du Gouvernement fédéral. C’est la première fois qu’un haut responsable sera exclusivement chargé d’élaborer, de gérer et de coordonner la stratégie, la politique et les opérations de cybersécurité dans l’ensemble du domaine fédéral.

• L’Administration demande aux agences d’identifier et de hiérarchiser leurs actifs informatiques de plus grande valeur et les plus exposés au risque, puis de prendre des mesures concrètes supplémentaires pour améliorer leur sécurité.

• Le Department of Homeland Security, la General Services Administration et d’autres agences fédérales accroîtront la disponibilité de services partagés à l’échelle du gouvernement pour l’informatique et la cybersécurité, dans le but de sortir chaque agence du métier de la construction, de la possession et de l’exploitation de ses propres systèmes informatiques lorsque des options plus efficaces, plus performantes et plus sûres sont disponibles, tout en veillant à ce que les agences individuelles ne soient pas laissées seules pour se défendre contre les menaces les plus sophistiquées.

• Le Department of Homeland Security renforce la cybersécurité fédérale en élargissant les programmes EINSTEIN et Continuous Diagnostics and Mitigation. Le budget 2017 du Président soutient l’adoption de ces capacités par toutes les agences civiles fédérales.

• Le Department of Homeland Security augmente de manière spectaculaire le nombre d’équipes fédérales civiles de cyberdéfense, qui passera à un total de 48, en recrutant les meilleurs talents en cybersécurité à travers le Gouvernement fédéral et le secteur privé. Ces équipes permanentes protégeront les réseaux, systèmes et données de l’ensemble du Gouvernement civil fédéral en réalisant des tests d’intrusion et en traquant de manière proactive les intrus, tout en fournissant des compétences d’intervention en cas d’incident et d’ingénierie de sécurité.

• Le Gouvernement fédéral, par le biais d’initiatives telles que la National Initiative for Cybersecurity Education, renforcera l’éducation et la formation à la cybersécurité dans tout le pays et recrutera davantage d’experts en cybersécurité pour sécuriser les agences fédérales. Dans le cadre du CNAP, le budget du Président investit 62 millions de dollars dans le personnel de cybersécurité afin de :

  • Étendre le programme Scholarship for Service en créant un programme CyberCorps Reserve, qui offrira des bourses aux Américains souhaitant suivre une formation en cybersécurité et servir leur pays au sein du gouvernement fédéral civil ;

  • Élaborer un curriculum de base en cybersécurité qui garantira que les diplômés en cybersécurité souhaitant rejoindre le Gouvernement fédéral disposent des connaissances et compétences requises ; et

  • Renforcer le programme des National Centers for Academic Excellence in Cybersecurity afin d’augmenter le nombre d’établissements universitaires et d’étudiants participants, de mieux soutenir les établissements participant déjà au programme, d’accroître le nombre d’étudiants qui y étudient la cybersécurité et d’améliorer les connaissances des étudiants par l’évolution du programme et des cursus.

• Le budget du Président prend des mesures supplémentaires pour développer le vivier de talents en cybersécurité en :

  • Améliorant les programmes d’allègement des prêts étudiants pour les experts en cybersécurité rejoignant les effectifs fédéraux ;

  • Stimulant l’investissement dans l’éducation à la cybersécurité dans le cadre d’un solide cursus d’informatique grâce à l’initiative Computer Science for All du Président.

Donner les moyens d’agir aux particuliers

La vie privée et la sécurité de tous les Américains en ligne dans leur vie quotidienne sont de plus en plus essentielles à notre sécurité nationale et à notre économie. Les nouvelles actions suivantes s’appuient sur l’ Initiative BuySecure 2014 du Président pour renforcer la sécurité des données des consommateurs.

• Le Président demande aux Américains d’aller au-delà du simple mot de passe et d’utiliser plusieurs facteurs d’authentification lors de la connexion à leurs comptes en ligne. Les entreprises privées, les organisations à but non lucratif et le Gouvernement fédéral travaillent ensemble pour aider davantage d’Américains à rester en sécurité en ligne grâce à une nouvelle campagne de sensibilisation du public axée sur l’adoption généralisée de l’authentification multifacteur. S’appuyant sur la campagne Stop.Think.Connect. et sur les efforts issus de la National Strategy for Trusted Identities in Cyberspace, la National Cyber Security Alliance s’associera à des entreprises technologiques de premier plan et à la société civile pour promouvoir cet effort et faciliter la sécurisation des comptes en ligne de millions d’utilisateurs. Cela soutiendra un effort plus large visant à accroître la sensibilisation du public au rôle de l’individu dans la cybersécurité.

• Le Gouvernement fédéral accélère l’adoption de l’authentification multifacteur renforcée et de la vérification d’identité pour les services numériques fédéraux destinés aux citoyens. La General Services Administration mettra en place un nouveau programme qui protégera mieux les données et les informations personnelles des Américains lorsqu’ils interagissent avec les services du Gouvernement fédéral, y compris les données fiscales et les informations relatives aux prestations.

• L’Administration procède à un examen systématique des cas dans lesquels le Gouvernement fédéral peut réduire son utilisation des numéros de sécurité sociale comme identifiant des citoyens.

• La Federal Trade Commission a récemment relancé IdentityTheft.Gov, afin d’offrir aux victimes une ressource unique pour signaler le vol d’identité, créer un plan de rétablissement personnel et imprimer des lettres et formulaires préremplis à envoyer aux agences d’évaluation du crédit, aux entreprises et aux sociétés de recouvrement.

• La Small Business Administration (SBA), en partenariat avec la Federal Trade Commission, le National Institute of Standards and Technology (NIST) et le Department of Energy, proposera des formations en cybersécurité à plus de 1,4 million de petites entreprises et de parties prenantes des petites entreprises grâce à 68 bureaux de district de la SBA, 9 centres du Manufacturing Extension Partnership du NIST et d’autres réseaux régionaux à travers le pays.

• L’Administration annonce de nouveaux jalons dans l’initiative BuySecure du Président pour sécuriser les transactions financières. À ce jour, le Gouvernement fédéral a fourni plus de 2,5 millions de cartes de paiement Chip-and-PIN plus sécurisées et a remplacé par cette nouvelle technologie l’ensemble des lecteurs de cartes gérés par le Department of the Treasury. Grâce au leadership du gouvernement et du secteur privé, davantage de cartes à puce sécurisées ont été émises aux États-Unis que dans tout autre pays au monde.

Renforcer la sécurité et la résilience des infrastructures critiques

La sécurité nationale et économique des États-Unis dépend du bon fonctionnement des infrastructures critiques du pays. Un partenariat continu avec les propriétaires et exploitants d’infrastructures critiques améliorera la cybersécurité et renforcera la résilience de la Nation. Ce travail s’appuie sur les précédents décrets du Président axés sur la cybersécurité, concernant les Infrastructures critiques (2013) et le Partage d’informations (2015).

• Le Department of Homeland Security, le Department of Commerce et le Department of Energy apportent des ressources et des capacités pour créer un Centre national de résilience en cybersécurité où les entreprises et les organisations sectorielles pourront tester la sécurité des systèmes dans un environnement contrôlé, par exemple en soumettant une réplique du réseau électrique à une cyberattaque.

• Le Department of Homeland Security doublera le nombre de conseillers en cybersécurité disponibles pour aider les organisations du secteur privé par des évaluations de cybersécurité personnalisées en personne et la mise en œuvre des meilleures pratiques.

• Le Department of Homeland Security collabore avec UL et d’autres partenaires industriels pour élaborer un programme d’assurance en cybersécurité visant à tester et certifier les appareils connectés de « l’Internet des objets », qu’il s’agisse de réfrigérateurs ou de pompes à perfusion médicales, afin que, lorsque vous achetez un nouveau produit, vous puissiez être certain qu’il a été certifié conforme aux normes de sécurité.

• Le National Institute of Standards and Technology sollicite des commentaires afin d’éclairer le développement futur de son Cadre de cybersécurité destiné à améliorer la cybersécurité des infrastructures critiques. Cela fait suite à deux années d’adoption par des organisations à travers le pays et dans le monde entier.

• Hier, la secrétaire au Commerce Pritzker a inauguré le nouveau National Cybersecurity Center of Excellence, un partenariat public-privé de recherche et développement qui permettra à l’industrie et au gouvernement de travailler ensemble pour développer et déployer des solutions techniques pour les défis de cybersécurité prioritaires et partager ces résultats au bénéfice de la communauté au sens large.

• L’Administration demande aux principaux assureurs santé et aux acteurs des soins de santé de les aider à prendre de nouvelles mesures importantes pour améliorer leurs pratiques de gestion des données et à garantir que les consommateurs puissent avoir confiance dans le fait que leurs données de santé sensibles seront sûres, sécurisées et disponibles pour guider la prise de décision clinique.

Sécuriser les technologies

Alors même que nous œuvrons aujourd’hui à améliorer nos défenses, nous savons que la Nation doit investir de manière agressive dans la science, la technologie, les outils et les infrastructures de demain afin de garantir qu’ils soient conçus en intégrant une sécurité durable.

• Aujourd’hui, l’Administration publie son Plan stratégique 2016 de recherche et développement fédéral en cybersécurité. Ce plan, prévu par le Cybersecurity Enhancement Act de 2014, définit des objectifs stratégiques de recherche et développement pour permettre à la Nation de faire progresser les technologies de cybersécurité grâce à des preuves scientifiques d’efficacité et d’efficience.

• En outre, le Gouvernement travaillera avec des organisations telles que la Core Infrastructure Initiative de la Linux Foundation afin de financer et de sécuriser les « utilitaires » Internet couramment utilisés, tels que les logiciels libres, les protocoles et les normes. Tout comme nos routes et nos ponts ont besoin d’être réparés et entretenus régulièrement, il en va de même pour les liaisons techniques qui permettent à l’autoroute de l’information de circuler.

Dissuader, décourager et perturber les activités malveillantes dans le cyberespace

Mieux sécuriser notre propre infrastructure numérique n’est qu’une partie de la solution. Nous devons mener l’effort international d’adoption de principes de comportement responsable des États, tout en prenant des mesures pour dissuader et perturber les activités malveillantes. Nous ne pouvons pas poursuivre ces objectifs seuls – nous devons les poursuivre de concert avec nos alliés et partenaires à travers le monde.

• En 2015, les membres du G20 se sont joints aux États-Unis pour confirmer des normes importantes, notamment l’applicabilité du droit international au cyberespace, l’idée que les États ne devraient pas pratiquer le vol de propriété intellectuelle facilité par le cyberespace à des fins commerciales, et pour accueillir favorablement le rapport d’un Groupe d’experts gouvernementaux des Nations Unies, qui comprenait un certain nombre de normes supplémentaires visant à promouvoir la coopération internationale, à prévenir les attaques contre les infrastructures civiles critiques et à soutenir les équipes d’intervention en cas d’urgence informatique fournissant des services de rétablissement et d’atténuation. L’Administration entend institutionnaliser et mettre en œuvre ces normes par de nouveaux engagements bilatéraux et multilatéraux et des mesures de renforcement de la confiance.

• Le Department of Justice, y compris le Federal Bureau of Investigation, augmente de plus de 23 % le financement des activités liées à la cybersécurité afin d’améliorer ses capacités à identifier, perturber et appréhender les acteurs cyber malveillants.

• U.S. Cyber Command constitue une Cyber Mission Force de 133 équipes rassemblant 6 200 militaires, civils et prestataires de soutien issus de l’ensemble des composantes militaires et de défense. La Cyber Mission Force, qui sera pleinement opérationnelle en 2018, utilise déjà des capacités pour soutenir les objectifs du Gouvernement américain dans tout le spectre des opérations cyber.

Améliorer la réponse aux incidents cyber

Alors même que nous nous concentrons sur la prévention et la dissuasion des activités cyber malveillantes, nous devons aussi maintenir la résilience lorsque des événements surviennent. Au cours de l’année écoulée, le pays a fait face à une grande variété d’intrusions, allant de l’activité criminelle à l’espionnage cybernétique. En appliquant les leçons tirées des incidents passés, nous pouvons améliorer la gestion des incidents cyber futurs et renforcer la cyber-résilience du pays.

• D’ici ce printemps, l’Administration publiera officiellement une politique de coordination nationale des incidents cyber ainsi qu’une méthodologie de gravité associée pour évaluer les incidents cyber, afin que les agences gouvernementales et le secteur privé puissent communiquer efficacement et fournir un niveau de réponse approprié et cohérent.

Protéger la vie privée des individus

En coordination avec les efforts ci-dessus en matière de technologies de l’information et de cybersécurité, l’Administration a lancé un effort novateur visant à améliorer la manière dont les agences de l’ensemble du Gouvernement fédéral protègent la vie privée des individus et leurs informations. La vie privée est au cœur de notre Nation depuis sa création, et à l’ère numérique d’aujourd’hui, la protéger est plus critique que jamais.

• Aujourd’hui, le Président a signé un décret créant un Conseil fédéral permanent de la vie privée, qui réunira les responsables de la vie privée de l’ensemble du Gouvernement afin d’aider à garantir la mise en œuvre de lignes directrices fédérales plus stratégiques et plus complètes en matière de protection de la vie privée. Comme la cybersécurité, la vie privée doit être traitée efficacement et en continu à mesure que notre nation adopte de nouvelles technologies, favorise l’innovation, tire parti du big data et se défend contre des menaces en évolution.

Financer la cybersécurité

Afin de mettre en œuvre ces changements majeurs, le Gouvernement fédéral devra investir des ressources supplémentaires dans sa cybersécurité. C’est pourquoi le budget 2017 alloue plus de 19 milliards de dollars à la cybersécurité – soit une augmentation de plus de 35 % par rapport au niveau adopté en 2016. Ces ressources permettront aux agences d’élever leur niveau de cybersécurité, d’aider les organisations du secteur privé et les particuliers à mieux se protéger, de perturber et de dissuader les activités adverses, et de répondre plus efficacement aux incidents.

Contact médias :

Jessica Beffa
Thatcher+Co.
720-413-4938
ncsa@thatcherandco.com