Les États-Unis s’apprêtent à franchir un nouveau cap dans la protection de leurs systèmes informatiques. Le président Joe Biden devrait, dans les prochains jours, publier un décret visant à renforcer drastiquement les normes de cybersécurité qui s’appliquent à l’ensemble des agences gouvernementales et à leurs prestataires. Cette décision fait suite à plusieurs intrusions numériques majeures attribuées à des acteurs basés en Chine, lesquelles ont ciblé notamment des infrastructures sensibles et des comptes de messagerie de haut rang.
Un contexte d’attaques récurrentes
Depuis plusieurs mois, la Maison-Blanche fait face à une recrudescence de cyberattaques susceptibles de compromettre la confidentialité des données de l’État, voire de paralyser des services publics stratégiques. Les experts de la cybersécurité et les différents organismes concernés pointent du doigt des campagnes de piratage sophistiquées, orchestrées selon eux par des groupes affiliés à Pékin. Les autorités chinoises rejettent régulièrement ces accusations, mais Washington reste sur ses gardes.
Vers des normes plus exigeantes
Le décret présidentiel devrait imposer un renforcement progressif des règles encadrant la conception et la distribution de logiciels utilisés par les agences fédérales. Sur la table : l’obligation, pour les éditeurs, de fournir des preuves tangibles de la robustesse de leurs solutions, ainsi qu’un dossier technique documentant les mesures prises pour préserver l’intégrité du code source. Ce contrôle serait supervisé par l’Agence de cybersécurité et de sécurité des infrastructures (CISA), qui pourrait réclamer des justifications supplémentaires en cas de manquement.
Pour s’assurer de la bonne application du dispositif, l’administration Biden envisage de mettre en place une procédure d’attestation logicielle, soumise à une vérification minutieuse. Les fournisseurs qui échoueraient à justifier la fiabilité de leurs solutions pourraient s’exposer à des sanctions plus sévères, allant jusqu’à des suites judiciaires. Selon certains responsables, il était crucial de renforcer ce volet pour donner une réelle portée dissuasive aux nouvelles règles.
Des avis partagés sur l’ampleur des mesures
Si de nombreux spécialistes saluent l’initiative, estimant que l’essor des menaces numériques exige un surcroît de vigilance, d’autres trouvent ces dispositions encore insuffisantes. Certains acteurs de la sécurité informatique jugent en effet que les délais de mise en place des réformes restent trop longs face à la réalité du terrain, marquée par l’émergence de maliciels toujours plus complexes. Les critiques soulignent notamment que la Russie et certains groupes de cybercriminels organisés continuent de mener des offensives d’ampleur contre les institutions américaines.
Le texte envisagé inclurait également des directives précises pour la gestion des clés cryptographiques et des jetons d’accès, des éléments essentiels à la protection des données sensibles. Les récentes attaques imputées à des hackers chinois auraient tiré profit de failles dans l’attribution et la sécurisation de ces accès, permettant aux assaillants de contourner les défenses habituelles. Le gouvernement souhaite ainsi encadrer de manière beaucoup plus stricte le recours aux services de stockage en ligne, très prisés par les contractants, sans forcément bénéficier d’une supervision adaptée.
Continuité et renforcement
Selon plusieurs responsables ayant collaboré avec l’Agence de cybersécurité et de sécurité des infrastructures, ce nouveau décret s’inscrit dans la poursuite d’efforts amorcés de longue date. Sous les deux administrations précédentes, l’objectif était déjà d’augmenter la résilience des réseaux publics et privés face aux opérations malveillantes. La multiplication des incidents liés à la Chine ces derniers mois ne ferait qu’accélérer cette dynamique.
Alors que Washington se dit confronté à une « menace stratégique » venue d’Asie, la modernisation des pratiques en matière de cybersécurité devient un impératif national. L’exécutif espère que l’introduction de normes plus exigeantes pour les prestataires incitera tout l’écosystème informatique à revoir ses procédures et à détecter plus rapidement les failles potentielles. Reste à savoir si ces nouvelles dispositions répondront à l’urgence d’une situation où les tentatives de pénétration numérique se multiplient à un rythme soutenu.
