La Maison Blanche détaille sa stratégie cybersécurité

L’administration américaine a présenté sa stratégie nationale de cybersécurité. Elle entend remettre au centre la responsabilité des éditeurs sur leurs produits non sécurisés et renforcer la réglementation sur les opérateurs d’infrastructures critiques.

Après plusieurs mois de discussions « entre plus de 20 agences gouvernementales » et des consultations avec « les entreprises du secteur privé », la Maison Blanche a dévoilé hier sa stratégie nationale de cybersécurité. Plusieurs points sont à retenir, notamment un rééquilibrage de la responsabilité du risque sur les éditeurs, mais aussi des exigences minimales obligatoires en termes de sécurité pour les secteurs critiques. En tout, la stratégie se décline autour de 5 piliers.

Renforcer la sécurité des activités critiques

Sur les acteurs d’infrastructures critiques, l’administration américaine veut intensifier la réglementation. « L’absence d’exigences obligatoires a entraîné des résultats inadéquats et incohérents », souligne le document. Il ajoute que « le marché actuel ne récompense pas suffisamment – et désavantage souvent – les propriétaires et exploitants d’infrastructures critiques qui investissent dans des mesures proactives pour prévenir ou atténuer les effets des cyberincidents ».

Le gouvernement fédéral va donc fixer des contraintes minimales de cybersécurité (y compris en légiférant si besoin) pour ces acteurs en basant notamment sur le cadre du NIST. Cette approche n’est pas sans rappelée celle adoptée en France il y a quelques années par la LPM (loi de programmation militaire) sur la sécurisation des OIV (opérateurs d’importante vitale) ou plus récemment l’évolution de la directive européenne NIS et les OSE (opérateurs de services essentiels).

Source