Plan de mise en œuvre de la stratégie nationale de cybersécurité et implications
14 juil. 2023
Interlynk
Le 13 juillet, La Maison Blanche a publié le Plan de mise en œuvre de la Stratégie nationale de cybersécurité — une feuille de route pour coordonner les efforts en vue d'atteindre les objectifs stratégiques fixés avec la Stratégie nationale de cybersécurité publiée en mars.
Ce plan n'est pas destiné à être une liste exhaustive des activités entreprises par une agence fédérale. Au lieu de cela, il s'agit d'un ensemble de « 65 initiatives à fort impact nécessitant une visibilité exécutive et une coordination inter-agences ». Le document lui-même est considéré comme « première itération » et « vivant », avec l'intention de mises à jour annuelles.
La mise en œuvre est divisée en cinq piliers, chacun décomposé en objectifs stratégiques comprenant plusieurs initiatives. Chaque initiative est assignée à une agence et à un calendrier.
Objectifs de mise en œuvre
Les cinq piliers et les objectifs associés sont :
Pilier Un : Défendre les infrastructures critiques
Objectifs :
1.1 Établir les exigences en matière de cybersécurité pour soutenir la sécurité nationale et la sécurité publique
1.2 Élargir la collaboration public-privé
1.3 Intégrer les centres fédéraux de cybersécurité
1.4 Mettre à jour le plan et les processus de réponse aux incidents fédéraux
1.5 Moderniser les défenses fédérales
Pilier Deux : Perturber et démanteler les acteurs menaçants
Objectifs :
2.1 Intégrer les activités de perturbation fédérales
2.2 Améliorer la collaboration opérationnelle public-privé pour perturber les adversaires
2.3 Accroître la vitesse et l'ampleur du partage de renseignements et de la notification des victimes
2.4 Prévenir l'abus des infrastructures basées aux États-Unis
2.5 Lutter contre la cybercriminalité, vaincre les ransomwares
Pilier Trois : Façonner les forces du marché pour promouvoir la sécurité et la résilience
Objectifs :
3.1 [Aucun spécifié]
3.2 Favoriser le développement de dispositifs IoT sécurisés
3.3 Transférer la responsabilité pour les produits et services logiciels non sécurisés
3.4 Utiliser des subventions fédérales et d'autres incitations pour intégrer la sécurité
3.5 Tirer parti des acquisitions fédérales pour améliorer la responsabilité
3.6 Explorer une assurance cybernétique fédérale
Pilier Quatre : Investir dans un avenir résilient
Objectifs :
4.1 Sécuriser la fondation technique d'Internet
4.2 Revitaliser la recherche et le développement fédéraux pour la cybersécurité
4.3 Se préparer à notre avenir post-quantique
4.4 Sécuriser notre avenir en énergie propre
4.5 [Aucun spécifié]
4.6 Développer une stratégie nationale pour renforcer notre main-d'œuvre cybernétique
Pilier Cinq : Forger des partenariats internationaux pour poursuivre des objectifs partagés
Objectifs :
5.1 Construire des coalitions pour contrer les menaces à notre écosystème numérique
5.2 Renforcer la capacité des partenaires internationaux
5.3 Élargir la capacité des États-Unis à aider les alliés et les partenaires
5.4 Construire des coalitions pour renforcer les normes mondiales de comportement responsable des États
5.5 Sécuriser les chaînes d'approvisionnement mondiales pour les produits et services liés à l'information, à la communication et à la technologie opérationnelle
Chronologie des implications
Le document comprend 65 initiatives, dont beaucoup ont un lien avec le secteur privé. En fait, il y a douze références directes aux partenariats public-privé dans le document.
Cependant, nous avons identifié les initiatives suivantes ayant les implications les plus claires pour le secteur privé.
4T 23
2.4.1 : Publier un avis de projet de réglementation sur les exigences, les normes et les procédures pour les fournisseurs et revendeurs d'Infrastructure en tant que service (IaaS)
3.2.1 : Mettre en œuvre les exigences du Federal Acquisition Regulation (FAR) conformément à la Loi de 2020 sur l'amélioration de la cybersécurité de l'Internet des objets (IoT)
3.2.2 : Initier un programme d'étiquetage de sécurité IoT du gouvernement américain
5.5.3 : Commencer à administrer le Fonds d'innovation de la chaîne d'approvisionnement sans fil public (PWSCIF)
1T FY24
2.1.1 Publier une stratégie cybersécurité mise à jour
3.5.1 Mettre en œuvre les changements du Federal Acquisition Regulation (FAR) requis en vertu de l'EO 14028
4.1.2 Promouvoir la sécurité des logiciels open-source et l'adoption de langages de programmation sûrs pour la mémoire
4.2.1 Accélérer la maturité, l'adoption et la sécurité des langages de programmation sûrs pour la mémoire
4.4.1 Stimuler l'adoption des principes de cybersécurité par conception en les intégrant dans les projets fédéraux
2T FY24
2.2.1 Identifier les mécanismes pour augmenter la perturbation des adversaires grâce à une collaboration opérationnelle public-privé
3.3.1 Explorer des approches pour développer un cadre de responsabilité logicielle à long terme, flexible et durable
3T FY24
4.1.5 Collaborer avec les parties prenantes clés pour promouvoir un routage Internet sécurisé
4T FY24
1.2.1 Élargir les partenariats public-privé pour promouvoir le développement et l'adoption de technologies conçues et sécurisées par défaut
3.4.3 Prioriser la recherche en cybersécurité, le développement et la démonstration de recherches sociales, comportementales et économiques en cybersécurité
1T FY25
1.1.3 Augmenter l'utilisation par les agences de cadres et de normes internationales pour informer l'alignement réglementaire
2T FY25
3.3.2 Faire avancer la liste des matériaux logiciels (SBOM) et atténuer le risque de logiciels non pris en charge
4T FY25
3.3.3 Divulgation de vulnérabilités coordonnée
Détails de l'implication
1.1.3 : Augmenter l'utilisation des agences des cadres et des normes internationales pour informer l'alignement réglementaire
Implication : NIST publiera le Cybersecurity Framework (CSF) 2.0 et fournira une assistance technique sur l'alignement des réglementations avec les normes internationales
Date d'achèvement : 1T FY 25
1.2.1 Élargir les partenariats public-privé pour favoriser le développement et l'adoption de technologies sécurisées par conception et par défaut
Implication : CISA, avec le soutien de NIST, créera des principes et des pratiques sécurisées par conception et par défaut et incitera à une action collective pour adopter ces principes et bonnes pratiques.
Date d'achèvement : 4T FY24
2.1.1 Publier une stratégie cybernéttique DOD mise à jour
Implication : DOD mettra à jour sa stratégie cybernétique en se concentrant sur les défis posés par les États-nations. Cela met probablement à jour les exigences réglementaires pour travailler avec le DOD et crée des projets pour développer de nouvelles capacités qui nécessiteront des partenariats privés.
Date d'achèvement : 1T FY24
2.2.1 Identifier un mécanisme pour accroître la disruption adversaire par le biais d'une collaboration opérationnelle public-privé
Implication : ONCD travaillera avec le secteur privé pour accroître les capacités de disruption adversaire. Associé à 2.1.3 et 2.1.5, cela plaide en faveur de l'augmentation des capacités, du rythme et de l'intensité des disruptions adversaires.
Date d'achèvement : 2T FY24
2.4.1 Publier un avis de proposition de réglementation sur les exigences, normes et procédures pour les fournisseurs et revendeurs d'Infrastructure-as-a-Service (IaaS)
Implication : L'avis de proposition de réglementation est axé sur la clarification des exigences pour les « exemptions » aux normes et procédures et s'applique à l'IaaS.
Date d'achèvement : 2T FY23
3.2.1 Mettre en œuvre les exigences du Federal Acquisition Regulation (FAR) selon la loi de 2020 sur l'amélioration de la cybersécurité de l'Internet des objets (IoT)
Implication : Les changements du FAR établiraient des exigences pour les appareils IoT vendus aux agences fédérales.
Date d'achèvement : 4T FY23
3.3.1 Explorer des approches pour développer un cadre de responsabilité logicielle à long terme, flexible et durable
Implication : Le changement de responsabilité logicielle est l'un des aspects les plus redoutés de la stratégie de cybersécurité 2023. Cette initiative invite des participants tels que le monde académique et les organismes réglementaires à explorer les options pour mettre en œuvre un tel changement. En même temps, nous sommes perplexes de savoir pourquoi cela prend presque un an.
Date d'achèvement : 2T FY24
3.3.2 Faire progresser la liste des matériaux logiciels (SBOM) et atténuer le risque de logiciels non pris en charge
Implication : L'initiative vise à identifier et réduire les lacunes d'échelle et de mise en œuvre du SBOM et à travailler avec la communauté internationale pour aider à créer une base de données mondiale accessible des logiciels en fin de vie/en fin de support.
Date d'achèvement : 2T FY25
3.3.3 Divulgation coordonnée des vulnérabilités
Implication : La divulgation coordonnée des vulnérabilités est aujourd'hui une pratique ad hoc. CISA travaillera à la construction d'un soutien pour une attente de divulgation coordonnée des vulnérabilités parmi les entités publiques et privées. Cela devrait probablement aboutir à un ensemble de recommandations que le secteur privé pourra adopter.
Date d'achèvement : 4T FY25
3.4.3 Privilégier la recherche, le développement et la démonstration en cybersécurité de recherches sociales, comportementales et économiques
Implication : La National Science Foundation attribuera des prix pour des recherches liées à la cybersécurité.
Date d'achèvement : 4T FY24
3.5.1 Mettre en œuvre les changements du Federal Acquisition Regulation (FAR) requis en vertu de l'EO 14028
Implication : C'est le gros. Les changements du FAR formaliseront les exigences de l'EO14028 en matière d'acquisition fédérale. Par conséquent, l'industrie devrait participer activement à la période de commentaires publics.
Date d'achèvement : 1T FY24
4.1.2 Promouvoir la sécurité des logiciels open-source et l'adoption de langages de programmation sûrs pour la mémoire
Implication : Les initiatives de sécurité des logiciels open-source (OS3I) seront mises en place pour promouvoir l'adoption de langages sûrs pour la mémoire et améliorer le niveau de sécurité de l'écosystème des logiciels open-source.
Date d'achèvement : 1T FY24
4.1.5 Collaborer avec les parties prenantes clés pour promouvoir le routage Internet sécurisé
Implication : Une feuille de route pour augmenter l'adoption de techniques de routage Internet sécurisé, y compris l'identification des défis, le routage et les préoccupations BGP, la création de bonnes pratiques et l'identification des domaines de recherche connexes.
Date d'achèvement : 3T FY24
Conclusion
La Maison Blanche continue de démontrer son engagement à prioriser la cybersécurité nationale, et la mise en œuvre est en cours. Le Plan de mise en œuvre offre une opportunité de comprendre le Plan national et ses implications pour l'industrie privée et l'écosystème open source.