Cela se traduit notamment par le développement d’infrastructures et de pratiques pour mettre en œuvre la stratégie de « zéro confiance » (Zero-Trust) au sein des administrations fédérales, en application du décret présidentiel de renforcement de la cybersécurité nationale de mai 2021 (9). De même que pour le remodelage en profondeur de l’écosystème numérique, cette focalisation sur la résilience doit prendre en compte les oppositions partisanes possibles. Ainsi, si démocrates et républicains s’entendent sur la nécessité d’empêcher les hackers étrangers d’utiliser les services de cloud fournis par les entreprises américaines et s’ils s’accordent pour reconnaître que ces services permettraient de changer d’échelle en matière de cybersécurité de leurs utilisateurs, ils s’opposent sur leur régulation. Le risque est non négligeable en effet de dépendre de quelques fournisseurs (Google, Amazon, Oracle) dont les procédures en matière de cybersécurité restent cependant opaques (sans parler de la question de la maîtrise des données) (10).
Refonte du « contrat social » en matière de cybersécurité et focalisation sur la résilience s’inscrivent aujourd’hui dans la compétition de long terme avec la Chine. L’ensemble de ces mesures et de ces postures a évolué en même temps que la montée en puissance du consensus sur cette vision stratégique et géopolitique. Mais elles sont aujourd’hui finalisées à cet impératif. La Stratégie nationale de cybersécurité entend donc combler les failles sécuritaires, sociales et politiques face au compétiteur, mais également renforcer la capacité des États – Unis à modeler l’espace numérique de façon à en conserver le leadership (11). À ce titre, elle soulève de nombreuses interrogations sur ses effets potentiels en termes de fragmentation du cyberespace, de découplage technologique et de capacité à gérer les tensions croissantes avec la Chine.
Notes
(1) Maison-Blanche, National Cybersecurity Strategy, mars 2023 (https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf).
(2) Stéphane Taillat, « Persistent Engagement ? », Défense & Sécurité Internationale, no 152, mars-avril 2021, p. 84-85.
(3) Aaron Schaffer, « “We hacked the hackers” : Law enforcement disrupts Hive gang », The Cybersecurity 202, The Washington Post, 27 janvier 2023.
(4) Voir notamment Jason Healey, « Twenty-Five Years of White House Cyber Policies », Lawfaremedia.org, 2 juin 2023.
(5) Department of Defense, « Fact Sheet : 2023 DoD Cyber Strategy », 26 mai 2023 (https://media.defense.gov/2023/May/26/2003231006/-1/-1/1/2023-DOD-CYBER-STRATEGY-FACT-SHEET.PDF).
(6) Elias Groll, « Can a White House initiative compel tech companies to write safer code ? », Cyberscoop.com, 31 mars 2023. Par ailleurs, le décret présidentiel de mai 2021 sur le renforcement de la cybersécurité nationale enjoint aux fournisseurs de logiciels des agences fédérales de fournir un « Software bill of materials », à savoir la liste des composants tiers ou en source ouverte présents dans le code du logiciel.
(7) La Transportation Security Authority pour les pipelines en juillet 2021, pour les opérateurs ferroviaires et aériens en décembre 2021 puis de nouveau en juillet 2022 et en mars 2023 ; l’Environmental Protection Agency pour le traitement des eaux usées et la distribution d’eau potable également en mars, cette dernière faisant l’objet d’une plainte pour annulation par les ministres de la Justice de trois États, qui y voient une intrusion excessive de l’État fédéral.
(8) Mary Brooks, Annie Fixler et Mark Montgomery, « Revising Public-Private Collaboration to Protect U.S. Critical Infrastructure », CSC 2.0 Report, 7 juin 2023.
(9) L’Office of Management and Budget a publié la stratégie en janvier 2022 et la CISA a diffusé la deuxième version de son « modèle de maturité zéro confiance » au printemps 2023.
(10) John Sakellariadis, « White House wants stronger oversight of the cloud », Politico.com, 13 mars 2023.
(11) Frédérick Douzet et Stéphane Taillat, « Prepping for Long-Term Competition ? US Leadership in Cyberspace from Trump to Biden », in Isabelle Vagnoux et Michael Stricof (dir.), US Leadership in a World of Uncertainties, Palgrave, New York, 2022, p. 213-234.
Légende de la photo en première page : Il apparaît difficile pour les institutions nationales de garantir la sécurité cyber de l’ensemble des infrastructures, y compris privées. (© Brian Guest/Shutterstock)