Le gouvernement fédéral a beaucoup à faire pour surveiller les multiples guerres à l’étranger et le cycle électoral qui s’annonce. Au milieu de ces conflits urgents, les dirigeants des Five Eyes ont récemment accordé une interview sans précédent à 60 Minutes, qualifiant la République populaire de Chine de « menace déterminante de cette génération ».
La première apparition publique de l’alliance de renseignement anglophone américaine à une époque de grands troubles à l’étranger en dit long sur l’importance de protéger les informations sensibles dans le cyberespace.
Ces derniers mois, les agences américaines ont été piratées par des pirates informatiques chinois qui ont volé 60 000 courriels du Département d’État dans le cadre de leur transport de données, et nous savons que les renseignements de défense sont également visés. Dans de nombreux cas, les entreprises qui détiennent de tels renseignements ne sont pas conscientes de leur propre rôle dans la sécurité nationale.
Il y a près de dix ans, le ministère de la Défense (DoD) a mis en œuvre un cadre de sécurité, le Defense Federal Acquisition Regulation Supplement (DFARS), pour protéger la propriété intellectuelle de notre pays. Malgré son inclusion dans plus d’un million de contrats, le DFARS est resté largement inappliqué.
Jusqu’à maintenant.
Le DoD suit la publication en novembre de la règle proposée sur la certification du modèle de maturité de la cybersécurité (CMMC) 2.0, qui comprend un mécanisme d’application crucial pour maintenir la base industrielle de défense honnête dans la protection des informations sensibles.
L’exigence de contrôles de sécurité tels que l’authentification multifacteur, la surveillance du réseau et le reporting des incidents est intégrée depuis longtemps dans la plupart des contrats gouvernementaux avec le DoD, mais les sous-traitants étaient autorisés à s’auto-certifier qu’ils avaient mis en œuvre les contrôles requis. Jusqu’à présent, le système était basé sur la confiance, mais il n’a jamais été vérifié.
Microsoft affirme que les menaces étatiques augmentent – en particulier de la part de la Russie, de la Chine, de l’Iran et de la Corée du Nord – et que les acteurs de la menace se tournent vers de nouveaux vecteurs comme la plateforme sociale Discord pour cibler les infrastructures critiques.
Avec plus de 300 000 sous-traitants dans la base industrielle de défense, les pirates informatiques ont une formidable opportunité de voler des secrets militaires. Forcer les sous-traitants de la défense à respecter les exigences minimales obligatoires en matière de cybersécurité devrait limiter considérablement ce risque, mais les sous-traitants ont encore un long chemin à parcourir pour se conformer à ce que beaucoup considèrent comme une hygiène de base en matière de cybersécurité.
Une étude menée par Merrill Research a révélé que seulement 36 % des entrepreneurs ont soumis les notes de conformité requises, soit une baisse de 10 points de pourcentage par rapport au rapport inaugural de l’année dernière. Parmi ceux qui ont soumis des notes, la moyenne était de -15, bien en deçà du score de 110 qui représente une conformité totale.
L’étude a également montré que les entrepreneurs choisissent les domaines de conformité auxquels ils adhèrent. Seulement 19 % des personnes interrogées ont mis en œuvre des solutions de gestion des vulnérabilités et 25 % disposent de solutions de sauvegarde informatique sécurisées, deux éléments essentiels de la cybersécurité de base. Quarante pour cent vont au-delà de ce que la loi exige et nient explicitement l’utilisation de Huawei, que la Commission fédérale des communications a qualifié de risque pour la sécurité nationale.
Cette sélectivité montre que les entrepreneurs comprennent le risque mais ne le traitent pas toujours, probablement parce qu’il n’y a aucune chance d’être audité de conformité. Il serait erroné de croire que le gouvernement impose unilatéralement de nouvelles règles aux entrepreneurs du secteur de la défense. En fait, CMMC 2.0 est le point culminant d’un partenariat public-privé continu d’une décennie.
Application de la CMMC 2.0
L’industrie a toujours eu sa place à la table. Maintenant, il doit enfin faire le travail dont on entend parler depuis des années et mettre en œuvre des contrôles de sécurité afin que nous puissions faire des progrès significatifs dans la sécurisation des secrets de notre nation.
Nous nous attendons à ce que les titans de la technologie, notamment Microsoft et Google, prennent la sécurité au sérieux, et nous devrions exiger que les sous-traitants de la défense chargés de notre sécurité nationale soient soumis aux mêmes normes.
L’application de la CMMC 2.0 protège les informations sensibles de défense et les actifs de sécurité nationale qui sont menacés depuis trop longtemps. La Chine et d’autres adversaires exploitent de manière agressive toutes les vulnérabilités qu’ils peuvent découvrir. Maintenant que le DoD a fixé une date d’entrée en vigueur pour les normes de conformité, le moment est venu pour les sous-traitants de la défense d’adopter les exigences qui sont depuis longtemps intégrées dans leurs contrats existants et de mettre pleinement en œuvre les normes minimales obligatoires de cybersécurité.
Le maintien de la supériorité technologique américaine et des secrets militaires dépend de l’adhésion des entreprises de la base industrielle de défense à leur engagement en faveur de la cybersécurité. En adoptant la vision du partenariat public-privé derrière CMMC 2.0 et en obtenant la certification, les entrepreneurs peuvent se valider en tant que gardiens de la sécurité de la nation.
Eric Noonan est le fondateur et PDG de CyberSheath, un fournisseur de services de sécurité gérés pour les entreprises et le gouvernement.
