De l'infrastructure essentielle à la prévention des calamités : deux rapports importants de la Commission Cyberspace Solarium sur la cybersécurité

According to the recently published Cyberspace Solarium Commission report “Cybersecurity Lessons from the Pandemic,” the COVID-19 pandemic illustrates the challenge of ensuring resilience and continuity in a connected world. Many of the effects of this new breed of crisis can be significantly ameliorated through advance preparations that yield resilience, coherence, and focus as it spreads rapidly through the entire system, stressing everything from emergency services and supply chains to basic human needs and mental health. The pandemic produces cascading effects and high levels of uncertainty. It has undermined normal policymaking processes and, in the absence of the requisite preparedness, has forced decision-makers to craft hasty and ad hoc emergency responses.

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Note de la rédaction : La Commission Cyberspace Solarium (CSC) a été créée dans la Loi sur l'autorisation de la défense nationale John S. McCain pour l'exercice financier 2019 avec la charte de l'élaboration d'un consensus sur une approche stratégique pour défendre les États-Unis dans le cyberespace contre les cyberattaques ayant des conséquences importantes. S'inspirant du « Projet Solarium » de Dwight Eisenhower, qui était un exercice national de conception de stratégies et de politiques visant à créer un consensus au sein de la communauté de la sécurité nationale pour répondre à l'expansionnisme soviétique, la CSC a récemment publié deux rapports convaincants qui méritent d'être examinés par les autorités légales, des entreprises et des technologies de l'information lorsqu'ils envisagent la cyberdissuasion stratégique, opérationnelle et tactique d'un niveau macro-national à un niveau microorganisationnel.

Rapport de la Commission sur le solarium de la cybersécurité

Le rapport final a été présenté au public le 11 mars 2020.

Lettre du président du sénateur Angus King et du représentant Mike Gallagher

Notre pays est menacé, non seulement par une cyberattaque catastrophique, mais aussi par des millions d'intrusions quotidiennes qui perturbent tout, des transactions financières au fonctionnement intérieur de notre système électoral. Il est difficile de saisir la complexité de ce défi. Même l'homme crédité d'avoir inventé le terme « cyberespace », l'auteur de science-fiction William Gibson, le critiquerait plus tard comme un mot à la mode « évocateur et essentiellement dénué de sens ».

En étudiant cette question, il est facile de tomber dans un morass de classification, d'acronymes, de jargon et d'organigrammes obscurs du gouvernement. Pour éviter cela, nous avons essayé quelque chose de différent : un rapport non classifié qui, nous l'espérons, sera lisible par les personnes qui sont touchées par la cybersécurité, tout le monde. Ce rapport vise aussi franchement à l'action ; il contient de nombreuses recommandations portant sur des questions d'organisation, de politique et de technique, et nous avons inclus une annexe avec des projets de loi sur lesquels le Congrès peut rapidement agir pour mettre ces idées en pratique et rendre l'Amérique plus sûre.

La réalité est que nous sommes dangereusement précaires dans le cyber-nétique. Toute votre vie — votre salaire, vos soins de santé, votre électricité — repose de plus en plus sur des réseaux d'appareils numériques qui stockent, traitent et analysent les données. Ces réseaux sont vulnérables, sinon déjà compromis. Notre pays a perdu des centaines de milliards de dollars en raison du vol de propriété intellectuelle parrainé par l'État-nation au moyen du cyberespionnage. Une cyberattaque majeure contre les infrastructures essentielles et le système économique du pays créerait un chaos et des dommages durables dépassant ceux causés par les incendies en Californie, les inondations dans le Midwest et les ouragans dans le Sud-Est.

Pour éviter que cela ne se produise, notre rapport présente une nouvelle cyberstratégie et contient plus de 75 recommandations d'action dans les secteurs public et privé. Voici quelques grandes idées pour commencer la conversation.

Premièrement, la dissuasion est possible dans le cyberespace. Aujourd'hui, la plupart des cyber-acteurs se sentent indécis, sinon rassagés, à cibler nos données personnelles et notre infrastructure publique. En d'autres termes, par notre incapacité ou notre refus d'identifier et de punir nos cyberadversaires, nous signalons qu'il est acceptable de s'ingérer dans les élections américaines ou de voler des milliards de propriété intellectuelle aux États-Unis. Le gouvernement fédéral et le secteur privé doivent se défendre et faire preuve de rapidité et d'agilité.

C'est difficile parce que le gouvernement n'est pas optimisé pour être rapide ou agile, mais nous devons simplement être plus rapides que nos adversaires afin de les empêcher de détruire nos réseaux et, par extension, notre mode de vie. Notre stratégie de cyberdissuasion à plusieurs niveaux est conçue dans cet objectif. Il combine une résilience accrue avec des capacités d'attribution améliorées et une stratégie de signalisation plus claire avec une action collective de nos partenaires et alliés. C'est un cadre simple qui décrit comment nous évoluons en une cible dure, un bon allié et un mauvais ennemi.

Deuxièmement, la dissuasion repose sur une économie résiliente. Pendant la guerre froide, nos meilleurs esprits ont été chargés d'élaborer des plans de continuité du gouvernement pour s'assurer que le gouvernement puisse survivre et que la nation se remette après une attaque nucléaire. Nous avons besoin d'une planification similaire aujourd'hui pour pouvoir nous reconstituer à la suite d'une cyberattaque au niveau national. Nous devons également veiller à ce que notre économie continue de fonctionner. Nous recommandons que le gouvernement établisse un plan de continuité de l'économie afin de pouvoir rétablir rapidement des fonctions essentielles dans les entreprises et les secteurs industriels, et relancer l'économie après une cyberattaque catastrophique. Un tel plan est un pilier fondamental de la dissuasion — une façon de dire à nos adversaires que nous, en tant que société, survivrons pour les vaincre avec rapidité et agilité s'ils lancent une cyberattaque majeure contre nous.

Troisièmement, la dissuasion exige une réforme du gouvernement. Nous devons renforcer et responsabiliser les cyberagences existantes, en particulier la Cybersécurité and Infrastructure Security Agency (CISA), et créer de nouveaux points focaux pour coordonner la cybersécurité au sein du pouvoir exécutif et du Congrès. À cette fin, nous recommandons la création d'un directeur national de cybersécurité supervisé par les nouveaux comités de cybersécurité du Congrès, mais notre objectif n'est pas de créer davantage de bureaucratie avec des rôles et des organisations nouveaux et redondants. Nous proposons plutôt de donner aux organisations existantes les outils dont elles ont besoin pour agir avec rapidité et agilité pour défendre nos réseaux et imposer des coûts à nos adversaires. La clé est la CISA, que nous avons essayé d'habiliter en tant qu'organisme responsable de la cybersécurité fédérale et partenaire privilégié du secteur privé. Nous voulons que le travail de CISA devienne si attrayant pour les jeunes professionnels intéressés par le service national qu'il rivalise avec la NSA, le FBI, Google et Facebook pour les talents de haut niveau (et les victoires).

Quatrièmement, la dissuasion exigera des entités du secteur privé qu'elles renforcent et renforcent leur position en matière de sécurité. La plupart de nos infrastructures essentielles appartiennent au secteur privé. C'est pourquoi nous formulons certaines recommandations, telles que l'établissement d'une certification de sécurité dans le cloud ou la modernisation des exigences de reporting de l'entreprise. Nous ne voulons pas imposer au secteur privé des règlements onéreux et contreproductifs, et nous ne voulons pas obliger les entreprises à transmettre leurs données au gouvernement fédéral. Nous ne sommes pas le Parti communiste chinois, et notre meilleur moyen de battre nos adversaires est de rester libres et innovants. Mais nous avons besoin que les dirigeants de la suite prennent le cyber-nétique au sérieux puisqu'ils sont en première ligne. Avec l'appui du gouvernement fédéral, les entités du secteur privé doivent être en mesure d'agir avec rapidité et souplesse pour empêcher les cyberattaquants d'éclater dans leurs réseaux et dans l'éventail plus large de réseaux sur lesquels repose le pays.

Cinquièmement, la sécurité électorale doit devenir une priorité. Le peuple américain n'a toujours pas l'assurance que nos systèmes électoraux sont à l'abri des manipulations étrangères. Si nous ne réussissons pas à assurer la sécurité électorale, la dissuasion échouera et les générations futures se pencheront sur la république américaine autrefois puissante et se demanderont comment nous avons tout foiré. Nous pensons que nous devons continuer à allouer des crédits pour financer la modernisation de l'infrastructure électorale au niveau des États et des collectivités locales. En même temps, les États et les localités doivent payer leur juste part pour assurer la tenue d'élections, et ils peuvent tirer parti de ressources utiles — comme les organismes sans but lucratif qui peuvent agir avec plus de rapidité et d'agilité dans les 50 États — pour assurer des élections de bas en haut plutôt que d'attendre une direction descendante et un financement. Nous devons également nous assurer que, quelle que soit la méthode utilisée pour voter, sur support papier ou électronique, une piste de vérification papier existe (et oui, nous reconnaissons l'ironie d'une cybercommission recommandant une piste papier).

Nous n'avons pas tout résolu dans ce rapport. On n'était même pas d'accord sur tout. Dans certains domaines, comme l'équilibre entre le chiffrement maximal et l'accès légal obligatoire aux appareils, le mieux que nous pouvions faire était de fournir un énoncé de principes commun. Pourtant, chaque commissaire était disposé à faire des compromis dans le cadre de nos travaux parce que nous étions tous unis par la reconnaissance que le statu quo ne fait pas le travail. Le statu quo invite des attaques contre l'Amérique chaque seconde de chaque jour. Le statu quo est une lente reddition du pouvoir et des responsabilités américaines. On veut tous que ça s'arrête. Alors, s'il vous plaît, faites-nous, et vos compatriotes américains, une faveur. Lisez ce rapport, puis exigez que votre gouvernement et le secteur privé agissent avec rapidité et souplesse pour assurer notre cyberavenir.

Sénateur Angus King (I-Maine)

Représentant Mike Gallagher (R-Wisconsin)

Lire l'article complet du rapport de la Commission Cyberspace Solarium

Rapport de la Commission Cyberspace Solarium (PDF) Défilement de la souris

Rapport final du SCC

Source originale : Commission Cyberspace Solarium

Leçons de cybersécurité tirées de la pandémie

Le rapport final a été présenté au public le 2 juin 2020.

Extrait de résumé

La pandémie COVID-19 illustre le défi d'assurer la résilience et la continuité dans un monde connecté. Bon nombre des effets de cette nouvelle forme de crise peuvent être considérablement améliorés grâce à des préparatifs anticipés qui permettent une résilience, une cohérence et une concentration à mesure qu'elle se propage rapidement dans l'ensemble du système, en mettant l'accent sur tout, depuis les services d'urgence et les chaînes d'approvisionnement jusqu'aux besoins humains fondamentaux et à la santé mentale. La pandémie produit des effets en cascade et des niveaux élevés d'incertitude. Elle a sapé les processus normaux d'élaboration des politiques et, en l'absence de la préparation requise, a forcé les décideurs à élaborer des interventions rapides et ponctuelles en cas d'urgence. À moins qu'une nouvelle approche ne soit mise au point, des crises comme la COVID-19 continueront de remettre en question le mode de vie américain moderne à chaque fois qu'elles émergeront. La présente annexe rassemble les observations de la pandémie en ce qui concerne la sécurité du cyberespace, tant en ce qui concerne les défis liés à la cybersécurité qu'elle crée et ce qu'elle peut enseigner aux États-Unis sur la façon de se préparer à une perturbation cybernétique majeure. Ces idées et les recommandations qui l'accompagnent, dont certaines sont nouvelles et d'autres figurent dans le rapport initial de mars 2020, sont plus urgentes que jamais.

Lisez le document complet sur les leçons de cybersécurité tirées de la pandémie

Cybersécurité Leçons de la pandémie (PDF) Survol de la souris pour faire défiler

Leçons tirées de la pandémie sur la cybersécurité — Livre blanc du SCC

Source originale : Commission Cyberspace Solarium

Lecture supplémentaire

Considérant la cybersécurité ? La cybersécurité nationale en pratique : un nouveau manuel

Un scénario pertinent de ransomeware : le ciblage des administrations municipales et des fournisseurs de soins de santé

Source : ComplexDiscovery

Réinitialiser la ligne de base ? Ajustements de taille de marché eDiscovery pour 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Nouveau du NIST : Intégration de la cybersécurité et de la gestion des risques d'entreprise (ERM)

NIST has released NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management...

Une alliance nuageuse ? Un nuage de nouvelle génération pour l'Europe

According to Thierry Breton, Commissioner for the Internal Market, "Europe needs...

Cinq grandes lectures sur la découverte électronique pour octobre 2020

From business confidence and captive ALSPs to digital republics and mass...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guide de l'acheteur des systèmes de divulgation électronique — Édition 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

La course à la ligne de départ ? Annonces récentes d'examen sécurisé à distance

Not all secure remote review offerings are equal as the apparent...

Activation de la découverte électronique à distance ? Un instantané des DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Réinitialiser la ligne de base ? Ajustements de taille de marché eDiscovery pour 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

À la maison ou à l'extérieur ? Considérations relatives à la taille du marché et à la tarification des collections eDis

One of the key home (onsite) or away (remote) decisions that...

Révisions et décisions ? Nouvelles considérations relatives aux examens à distance sécurisés eDiscovery

One of the key revision and decision areas that business, legal,...

Un aperçu macroéconomique de la taille du marché de la découverte électronique passée et projetée de 2012 à 2024

From a macro look at past estimations of eDiscovery market size...

Une saison de changement ? Dix-huit observations sur la confiance des entreprises de la découverte électronique à l'automne 2020

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

Le cas persistant des contraintes budgétaires dans l'activité de la découverte électronique

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

Comptes en suspens ? Mesures opérationnelles eDiscovery à l'automne 2020

In the fall of 2020, eDiscovery Business Confidence Survey more...

Tenir le gouvernail ? Résultats du sondage sur la confiance des entreprises en ligne Automne 2020

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

DISCO lève 60 millions de dollars

According to the media release, DISCO will use this investment to...

Rampiva et la fusion du groupe RYABI

According to today's announcement, the RYABI Group merger is Rampiva's first...

Fusions, acquisitions et investissements de découverte électronique au troisième trimestre 2020

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Mitratech acquiert Acuity ELM

According to Mike Williams, CEO of Mitratech, “We came to the...

Cinq grandes lectures sur la découverte électronique pour octobre 2020

From business confidence and captive ALSPs to digital republics and mass...

Cinq grandes lectures sur la découverte électronique pour septembre 2020

From cloud forensics and cyber defense to social media and surveys,...

Cinq bonnes lectures sur eDiscovery pour août 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Cinq grandes lectures sur la découverte électronique pour juillet 2020

From business confidence and operational metrics to data protection and privacy...