Magazine DSI

Penser le cyber. Une approche globale de la cybersécurité ? La stratégie de l’administration Biden

La parution le 3 mars 2023 de la très attendue Stratégie nationale de cybersécurité de la Maison-Blanche peut être considérée à la fois comme un aboutissement et comme un tournant pour les administrations américaines (1).

D’une part en effet, le document codifie et rationalise un certain nombre de mesures, d’initiatives et d’orientations prises depuis le printemps 2021, voire depuis l’automne 2018. Ainsi par exemple de la consolidation et de la généralisation de l’approche offensive visant à user des cyberopérations pour créer de la friction, démanteler et dissuader les adversaires et les menaces (2). Alors qu’il s’agissait jusqu’alors d’une posture propre au Département de la Défense, celui de la Justice semble avoir donné un haut niveau de priorité à ces opérations contre les infrastructures des cybercriminels, au moins depuis le printemps 2021 – et plus systématiquement depuis 2022 (3). D’autre part, ce livre blanc est le premier document de sécurité nationale découlant de l’administration présidentielle et traitant spécifiquement de la cybersécurité dans son ensemble. La publication précédente de septembre 2018 dessinait plus classiquement les contours d’une stratégie des États – Unis pour et dans le cyberespace. Le dernier avatar d’une longue liste de tentatives pour clarifier la posture des États – Unis dans le domaine numérique (4) insiste davantage sur une posture globale, centrée sur la résilience du tissu économique, administratif et social du pays et guidée par l’impératif d’une compétition de long terme avec la Chine.

Outre l’impact de la guerre en Ukraine – également pris en compte dans la nouvelle cyberstratégie du Département de la Défense (5) –, l’administration américaine entend faire prévaloir une vision globale de la cybersécurité. Rédigé sous les auspices du premier directeur national cyber, Chris Inglis, le document insiste en effet sur la refonte du « contrat social cyber ». Il s’agit de faire reposer la cybersécurité sur les acteurs qui en sont le plus capables, en lieu et place des individus ou des petites organisations. En d’autres termes, il faut renforcer les capacités du gouvernement fédéral – en liaison avec l’ensemble de la pyramide des autorités administratives et politiques aux États-Unis – tout en incitant les acteurs clés du secteur à investir dans la sécurité « by design » (c’est-à‑dire comme clé de voûte du développement de nouveaux produits ou de nouvelles infrastructures) et par défaut (c’est-à‑dire comme fonctionnalité cardinale et non comme option pour l’utilisateur).

Ainsi, il s’agit de mettre les maillons forts au cœur de la chaîne de cybersécurité. La période 2018-2021 a vu cette approche favorisée pour la gestion en aval des crises cyber, notamment par la mise en place et la montée en puissance de la Cybersecurity and infrastructure security agency (CISA) du Département de la Sécurité intérieure ou encore par la coordination accrue entre les différents acteurs du secteur fédéral comme des autorités locales (par exemple sur la sécurisation des élections). Il s’agit désormais de traiter la question en amont. D’une part, les fournisseurs de softwares et de hardwares – parfois très en amont de la chaîne logistique – sont soumis à des incitations croissantes de la part des pouvoirs publics (et notamment au Congrès) (6). D’autre part, les secteurs critiques – particulièrement dans les domaines des transports, de la fourniture d’énergie ou du traitement des eaux – sont tenus de mettre en place des mesures strictes destinées à augmenter leur capacité de gestion de crise, mais aussi à standardiser les infrastructures numériques de maintenance, de gestion et d’opération de leurs réseaux (7). Enfin, cette posture globale se traduit par une volonté de réguler le marché en reconnaissant ses failles, et notamment les incitations négatives à la sécurité. Il s’agit là du principal point d’achoppement partisan de la stratégie nationale de cybersécurité, dans la mesure où cela contrevient à la vision dominante chez les républicains d’un marché infaillible et nécessitant un soutien de la part des pouvoirs publics.

Cette approche globale considère que la cybersécurité des États – Unis passe par la résilience de leur tissu économique, administratif et social face aux menaces. Il s’agit bien d’une défense en profondeur qui repose sur l’articulation des opérations de démantèlement et de perturbation par les acteurs de sécurité nationale et de renseignement d’une part, tout comme sur le renforcement des infrastructures critiques d’autre part. Dans ce domaine, la Commission Solarium dans le cyberespace – après son mandat initial de 2019-2020 – suggère de revoir la répartition des autorités et des responsabilités entre les acteurs publics et de renforcer les partenariats entre le secteur public et le secteur privé (8). Cette collaboration entre secteur privé et secteur public s’observe notamment dans le cadre de la collecte du renseignement sur la menace (Threat Intelligence) entre les agences de sécurité nationale (NSA, CISA, Cyber Command) et les entreprises de cybersécurité. Elle manifeste ainsi la volonté des pouvoirs publics (et particulièrement celle de Jen Easterly, directrice de la CISA, et de Chris Inglis) de renforcer le secteur fédéral de manière à en faire le cœur et l’exemple de la résilience face aux attaques majeures.

À propos de l'auteur

Stéphane Taillat

Maître de conférences à l’université Paris-VIII détaché aux Écoles de Saint-Cyr Coëtquidan, chercheur au Centre de géopolitique de la datasphère (GEODE) et au pôle « mutations des conflits » du Centre de recherche des Écoles de Saint-Cyr Coëtquidan (CREC).

0
Votre panier