alphaspirit - Fotolia
Administrations américaines : un ambitieux plan de modernisation de la sécurité
La Maison Blanche vient de présenter un plan concret de renforcement de la sécurité des systèmes d’information des administrations. L’une des suites de l’incident désastreux qui a touché le bureau de gestion du personnel plus tôt cette année.
C’était en juin dernier que l’on apprenait le vol des données personnelles de millions de fonctionnaires américains, à l’occasion d’un important piratage du système d’information de l’administration locale en charge de ces personnels – leur paie, leur formation, ou encore leur retraite –, le bureau de gestion du personnel (OPM). Un piratage découvert par hasard, à l’occasion d’une démonstration produit, et qui se serait étalé sur plusieurs mois.
A cette occasion, la Maison Blanche a exigé des mesures d’urgence. La présidence américaine a ainsi demandé que soient déployés « immédiatement » des indicateurs de compromission, que les vulnérabilités critiques connues soient corrigées « sans délai », qu’un contrôle plus étroit soit exercé sur les comptes des utilisateurs à privilèges, et que soit enfin accéléré le déploiement de l’authentification à facteurs multiples. A charge pour toutes les agences fédérales de rapporter sur leurs progrès et sur leurs difficultés sous 30 jours.
Et le résultat de ce sprint est le Cybersecurity Strategy Implementation Plan (CSIP), un ensemble de lignes directrices et de pratiques de référence qu’il reviendra aux administrations de mettre en œuvre.
Le CSIP vise à renforcer la sécurité des systèmes d’information des administrations fédérales civiles en poussant des améliorations dont l’identification et la protection des actifs et des informations les plus critiques, la détection et la réponse aux incidents de sécurité, la remédiation et l’apprentissage d’incidents, le recrutement de talents hautement qualifiés en cybersécurité, et en fin l’acquisition et le déploiement de technologies de protection éprouvées et émergentes. Ces grandes lignes sont déclinées en objectifs pour l’exercice fiscal en cours et en actions détaillées pour chacune des agences concernées.
Au menu, on trouve par exemple des mesures comme le renforcement généralisé du contrôle des identités et des accès pour les utilisateurs de comptes à privilèges, le recours au chiffrement, ou encore à la segmentation des réseaux. Le ministère de la sécurité intérieure (DHS) va ainsi accélérer le déploiement de sa plateforme de diagnostic et de remédiation en continu, et de détection d’intrusion (dite Einstein, et qui doit être dopée à l’analyse comportementale) au sein des agences fédérales participantes. Le bureau de gestion du budget, l’OMB, va de son côté travailler avec le conseil de sécurité nationale et le DHS pour établir des pratiques de référence pour la réaction à incident, et l’institut national des standards et des technologies, le Nist, fournira des recommandations pour la reprise sur incident de sécurité.
Au final, on assiste là à un effort qui rappelle les recommandations de l’anssi pour les systèmes d’information sensibles de l’état ainsi que de certains organismes privés, publiées en début d’année. Mais s’inscrivant dans la continuité de l’audit sprint de l’été, le CSIP adopte toutefois une approche d’une transparente telle que l’on souhaiterait en trouver en France.
Avec nos confrères de SearchSecurity.com (groupe TechTarget)