Les responsables américains de la cybersécurité implorent les entreprises d'adopter le principe "secure by design" (sécurité dès la conception)
Les autorités américaines chargées de la cybersécurité ont rencontré des dirigeants du secteur technologique et des groupes industriels pour plaider en faveur de l'utilisation des concepts de "sécurité dès la conception" dans les logiciels commerciaux. L'Agence pour la cybersécurité et les infrastructures (CISA) et le ministère de l'énergie (DOE) sont à la tête des efforts déployés pour diffuser ces concepts dans plusieurs secteurs d'activité.
L'objectif est de limiter la quantité de vulnérabilités dans les logiciels commerciaux et de transférer le coût de la maintenance de la cybersécurité des clients vers les entreprises technologiques. Elle vise également à éviter que les petites et moyennes organisations, les écoles, les services de distribution d'eau et les hôpitaux n'aient à gérer seuls les risques de cybersécurité s'ils sont victimes de ransomwares ou d'autres attaques.
Les activités de la CISA sont complétées par le Cyber Informed Engineering Program du ministère de l'énergie, qui aide les entreprises industrielles à mettre en œuvre des principes de conception sécurisée dans leur technologie opérationnelle. Le programme d'ingénierie cybernétique du ministère de l'énergie complète la mission en aidant les entreprises industrielles à mettre en œuvre des solutions de conception sécurisée dans leurs technologies opérationnelles.
L'initiative a été lancée l'année dernière après que le Congrès a approuvé une stratégie visant à réduire le danger des cyberattaques sur les installations physiques. Elle a toutefois été élargie pour intégrer d'autres systèmes physiques tels que les structures, les systèmes spatiaux et les plates-formes d'armement.
La CISA a récemment organisé deux sessions d'écoute, l'une avec des partenaires commerciaux et l'autre avec la communauté des logiciels libres, afin d'examiner les concepts contenus dans le livre blanc de l'agence. Eric Goldstein, directeur adjoint exécutif de la CISA pour la cybersécurité, a fait valoir lors de l'une d'entre elles que ceux qui peuvent assumer la responsabilité devraient être tenus de fournir des services sécurisés par conception et par défaut.
Selon Cherri Caddy, directrice adjointe de la cybernétique au Bureau du directeur national de la cybernétique, les efforts sont liés car les États-Unis travaillent à un avenir où les infrastructures seront interconnectées. Elle a souligné l'importance de transférer la responsabilité de la sécurité des logiciels et des systèmes des utilisateurs finaux aux fabricants.
Les sources de cet article comprennent un article paru dans CyberScoop.