Jim Lewis, directeur du programme de technologies stratégiques au Center for Strategic and International Studies, a déclaré à Crumpe que l’impasse du Congrès empêchait l’administration Obama d’adopter une loi bipartite qui permettrait au gouvernement fédéral d’exiger des entreprises privées qu’elles signalent les cyberattaques.

Lire la suite: Le PDG de Colonial Pipeline avertit le Congrès que les « gangs criminels » « affinent toujours leurs tactiques » pour cibler les entreprises américaines, le gouvernement

« Auparavant, l’idée de la réglementation était que vous ne pouviez pas en parler », a-t-il déclaré. «La Chambre de commerce et tous les autres se sont alignés pour expliquer pourquoi c’était mauvais. En fin de compte, Mitch McConnell a décidé qu’il ne voulait pas réglementer », se référant alors au chef de la majorité républicaine au Sénat du Kentucky. Sous l’administration Trump, “nous nous sommes quasiment absentés ces quatre dernières années, c’est douloureux à dire, mais c’est comme ça”, a-t-il ajouté.

L’administration du président Joe Biden, cependant, tente de rattraper le temps perdu avec un décret signé en mai qui renforcerait les défenses de cybersécurité du gouvernement américain et tirerait parti du pouvoir du processus d’approvisionnement fédéral pour augmenter la sécurité des produits logiciels.

“Il y a vraiment eu une occasion manquée d’utiliser les marchés publics fédéraux pour générer un marché sécurisé”, a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes à la Maison Blanche lors d’une conférence virtuelle au SCRS le mois dernier.

Elle a ajouté que le gouvernement développe des normes logicielles que les fournisseurs privés doivent respecter afin de vendre au gouvernement en vertu de la théorie selon laquelle des logiciels de meilleure qualité deviendraient la norme de l’industrie, étant donné la grande quantité de logiciels que le gouvernement achète chaque année. Neuberger a fait valoir qu’il ne serait pas rentable pour les fournisseurs de logiciels d’offrir deux produits : un produit supérieur au gouvernement et un produit de qualité inférieure au secteur privé.

“Lorsque vous créez un logiciel dans un monde où vous avez des attaquants sophistiqués d’États-nations à la recherche constante de vulnérabilités dans ce logiciel, créez-le de manière plus sécurisée”, a déclaré Neuberger.

Après l’attaque Solar Winds de l’année dernière, qui est passée inaperçue pendant des mois et a menacé 18 000 entreprises et agences gouvernementales, et le piratage de Colonial Pipeline qui a entraîné des pénuries généralisées d’essence dans le nord-est des États-Unis, il semble enfin y avoir un appétit pour une législation bipartite qui permettrait surveillance des infrastructures critiques, selon Mark Gamis, vice-président senior chez Booz Allen Hamilton, qui conseille les clients fédéraux sur les cyberopérations.

Il a souligné les rapports d’une proposition rédigée par le sénateur démocrate Mark Warner de Virginie et les sénateurs républicains Marco Rubio de Floride et Susan Collins du Maine qui obligeraient les entrepreneurs fédéraux et les propriétaires d’infrastructures critiques à signaler les cyberincidents aux autorités fédérales dans les 24 heures.

“C’est important parce que le gouvernement fédéral a d’énormes ressources à mettre à contribution pour nous aider en cas d’incident, et dans toute sorte de situation émergente, le temps presse”, a-t-il déclaré, ajoutant que la nature bipartite du projet de loi indique que le GOP est maintenant prêt à se lancer dans la déclaration obligatoire.

Les défenseurs de la cybersécurité soutiennent depuis longtemps qu’une plus grande collaboration entre le gouvernement et les entreprises est essentielle pour atténuer les effets de la cybercriminalité.

« Les gouvernements et les entreprises ont différentes sources d’information, de perspicacité et de renseignement, a écrit Paul Me, partenaire principal de Cyber ​​Risk au cabinet de conseil Oliver Wyman dans un éditorial pour le Forum économique mondial. « Les mettre en commun en temps opportun créera une image plus claire et plus actuelle des cybermenaces. »

Jim Lewis, du SCRS, a toutefois averti qu’au cœur du problème, le problème doit être considéré à travers le prisme de la géopolitique, car les cyberattaques les plus sophistiquées proviennent en grande partie d’acteurs étatiques ou de groupes criminels dans des pays antagonistes, dont la Chine, l’Iran et la Russie. Les responsables du renseignement américain ont déclaré que l’attaque des vents solaires et du pipeline colonial avait été menée par des mandataires russes.

Voir également: Biden dit qu’il a dit que l’infrastructure de Poutine devrait être « interdite » aux cyberattaques

“Les Russes ont un marché de la cybercriminalité florissant et gagnent des milliards de dollars par an”, a déclaré Lewis. “Alors pourquoi abandonneraient-ils cela, surtout parce que le Kremlin aime que les États-Unis se fassent frapper à la tête?”

Lewis a déclaré que le sommet Biden-Poutine au début du mois avait été un succès dans la mesure où Biden avait fixé des limites aux comportements acceptables, le président exigeant que 16 secteurs d’infrastructure critiques, y compris l’énergie et l’eau, soient interdits aux cyberattaques. La question de savoir comment les États-Unis riposteraient à la suite d’un piratage sur l’un de ces secteurs reste cependant sans réponse.

“Les Russes ont essentiellement dit que” vous avez tellement de sanctions contre nous, une de plus ne fera pas de différence “, a déclaré Lewis, ajoutant que les États-Unis doivent faire preuve de créativité quant à une approche cyber-offensive pour punir les adversaires pour leur comportement, y compris fermer les services de cloud computing qui alimentent l’Internet russe.

“Ce sont des questions difficiles car les deux choses que le gouvernement doit faire sont de réglementer les entreprises américaines tout en s’engageant à la fois avec des alliés et des opposants sur la scène internationale”, a ajouté Lewis. “C’est peut-être trop pour le gouvernement, mais si c’est trop pour le gouvernement, nous devons juste nous habituer à être frappés.”