Reconnaître que vous avez un problème est la première étape pour résoudre le problème de manière sérieuse. Cela semble être le raisonnement pour lequel la Maison Blanche a récemment annoncé son initiative « Renforcer la cybersécurité de l’Amérique ».
Le texte de l’annonce contient plusieurs déclarations que tous ceux qui ont déjà lu sur la cybersécurité auront entendu de nombreuses fois : accroître la résilience, une plus grande sensibilisation, contrer les attaques de ransomwares – la liste est longue.
Le texte comporte également de nouveaux aspects, notamment la prise de conscience que la cybersécurité n’est pas, n’a jamais été et ne sera jamais quelque chose qui peut être résolu au niveau de l’État-nation.
La Maison Blanche a également indiqué les étiquettes d’avertissement IoT comme une solution – et nous a rappelé à tous (et nous avons besoin de le rappeler) l’importance de l’éducation à la cybersécurité. Nous allons jeter un coup d’oeil.
La coopération internationale est essentielle
Un point clé que la déclaration de la Maison Blanche indique très clairement est que les cyberattaques sont asymétriques en ce sens que les acteurs de la menace peuvent opérer au-delà des frontières en toute impunité. Pendant ce temps, les défenseurs seront souvent limités par des exigences légales qui ne permettent pas de réponses proportionnelles.
Les attaquants ressentent un sentiment de protection car ils bénéficient de mesures réglementaires et d’application plus légères chez eux, alors qu’ils peuvent cibler des systèmes fonctionnant pratiquement n’importe où sur la planète, quelle que soit la force de l’application de la loi dans le pays de résidence de la cible.
Tant que la question n’est pas abordée au niveau international, les solutions trouvées ne seront que des pansements. L’initiative de la Maison Blanche déclare à juste titre, à plusieurs reprises, que les partenaires internationaux et les organisations comme l’OTAN joueront un rôle décisif dans l’espace de la cybersécurité.
Ce n’est pas une solution idéale. Oui, les partenaires internationaux travaillant ensemble élargissent le paysage de la défense à une taille qui ressemble plus étroitement à la taille du problème. Cependant, cela reste une solution patchwork avec une efficacité limitée.
Ce dont nous avons besoin, c’est quelque chose qui ressemble plus à un traité mondial qui applique réellement la loi sur la cybersécurité. Pensez à l’impact du droit maritime international, par exemple.
Néanmoins, le partage d’informations sur les acteurs de la menace, les méthodologies et les nouvelles techniques est sans aucun doute dans l’intérêt de tous et, s’il est correctement mis en œuvre, il permettra de réagir plus rapidement aux nouvelles menaces.
L’éducation à la cybersécurité continue d’avoir de l’importance
Un autre aspect intéressant de l’initiative Strengthening America’s Cybersecurity est l’accent mis sur le renforcement de l’éducation à la cybersécurité. Comme nous en sommes constamment et douloureusement sensibilisés, la cybersécurité est avant tout un problème humain plutôt qu’un problème technologique.
L’amélioration des connaissances en matière de cybersécurité et l’enseignement des bases sur la manière de se comporter en ligne en toute sécurité à toutes les étapes de la vie privée et professionnelle auront des effets cumulatifs à la fois sur la réduction des risques et sur l’atténuation de l’impact de tout incident qui se produira inévitablement encore.
Prenez l’Initiative nationale pour l’éducation à la cybersécurité (NICE) soutenue par le NIST, par exemple. Avec un cadre formel, des événements réguliers et des mises à jour de newsletter, il fait un gros effort. Aucune solution n’est infaillible, bien sûr, mais les effets cumulatifs de chaque initiative feront la différence.
Qu’en est-il des étiquettes de risque pour les appareils IoT ?
Il y a un débat animé autour d’un nouveau système d’étiquetage des risques pour les appareils IoT. Les étiquettes de cybersécurité destinées aux consommateurs sont destinées à servir de voie de divulgation, de la même manière que les étiquettes des aliments répertorient les ingrédients et les scores nutritionnels.
Cependant, le jury n’a toujours pas déterminé l’efficacité d’un label de cybersécurité grand public. De nouvelles vulnérabilités apparaissent tout le temps, donc la précision d’une étiquette imprimée il y a six mois sera discutable lorsqu’un appareil se trouve sur une étagère chez Best Buy.
De plus, sans un soutien international adéquat, l’initiative d’étiquetage conduira probablement à une fragmentation, tout comme le RGPD – car certains sites Web choisissent désormais de simplement bloquer tous les visiteurs des régions couvertes par le RGPD plutôt que d’essayer de se conformer aux exigences du RGPD.
On craint également qu’une étiquette ne soit simplement un menu « à la carte » pour les attaquants. Si une étiquette spécifie clairement toutes les mesures de cybersécurité mises en place par un appareil, cela facilite simplement la tâche d’un attaquant, car il peut gagner du temps en sautant des stratégies d’attaque qui ne fonctionneront évidemment pas.
C’est un processus étape par étape
Un label de cybersécurité grand public est un pas dans la bonne direction dans un paysage où il est souvent difficile de progresser. S’ils sont correctement mis en œuvre, les labels de cybersécurité grand public pourraient conduire à une amélioration globale des conditions de sécurité sur Internet et ses réseaux. Il en va de même pour le nombre croissant d’initiatives d’éducation à la cybersécurité.
Mais, comme on dit, le diable est dans les détails, et ceux-ci doivent encore être annoncés. Le point à retenir est que le gouvernement américain fait au moins quelques efforts pour aider les citoyens et les entreprises du pays à maîtriser la crise de la cybersécurité.
Sera-ce suffisant ? Probablement pas, mais un peu de mouvement vaut mieux que pas de mouvement du tout.
Cet article est écrit et sponsorisé par TuxCarele chef de file de l’industrie Automatisation Linux. TuxCare offre des niveaux d’efficacité inégalés pour les développeurs, les responsables de la sécurité informatique et Administrateurs de serveurs Linux cherchant à améliorer et à simplifier à moindre coût leurs opérations de cybersécurité. Les correctifs de sécurité en direct du noyau Linux de TuxCare et les standards et des services d’assistance améliorés aider à sécuriser et à prendre en charge plus d’un million de charges de travail de production. Pour rester connecté avec TuxCareSuivez-nous sur LinkedIn, Twitter, Facebooket Youtube.