Est-ce que les entreprises technologiques investissent suffisamment dans la sécurité de leurs produits ? Alors que l’administration Biden a récemment mis en lumière les carences systématiques en matière de cybersécurité, on constate une volonté de rééquilibrer les responsabilités vers ceux qui sont les mieux placés pour y faire face. Mais comment cette initiative se traduit-elle concrètement ?
C’est en mars de cette année que l’Agence de Sécurité des Infrastructures et de la Cybersécurité (CISA) a lancé une démarche pour « rééquilibrer le risque de la cybersécurité », en poussant les entreprises à adopter des pratiques de « sécurité par la conception » (SbD). L’objectif ? Améliorer la sûreté et la sécurité de leurs produits dès la phase de conception et tout au long de leur cycle de vie. Mais quelle est la probabilité de réussite de cette initiative ?
La réussite ou l’échec de l’initiative SbD pourrait être un signe avant-coureur pour l’une des deux idées fondamentales de la stratégie de Biden.
Toutefois, la réussite de la SbD est menacée, à la fois par les défis politiques liés à la mise en œuvre des pratiques de SbD et par le risque d’attentes irréalistes. Alors, comment surmonter ces obstacles et tracer la voie à suivre ?
Les enjeux politiques de la mise en œuvre de la SbD – qui nécessitent implicitement une capacité à imposer un changement dans les pratiques des fournisseurs, ainsi qu’une perspicacité pour les concevoir – sont un terrain miné pour la CISA. Cette jeune agence en pleine croissance n’est pas un régulateur, bien que son leadership actuel et passé insiste sur le fait que ces responsabilités seraient en contradiction avec la culture de l’agence et ses responsabilités opérationnelles. Alors, comment gérer cette complexité ?
Il est clair que la CISA reconnaît que la réussite de la SbD pourrait être l’une des interventions politiques les plus impactantes en matière de cybersécurité de la dernière décennie. Il est également clair que le programme, même dans sa version la plus réussie, laissera certains problèmes non résolus. Alors, quel est l’objectif réel de ce programme et comment éviter que ses critiques inévitables ne déforment le débat en des termes de tout ou rien ?
La SbD – première manifestation politique de l’effort de la Stratégie nationale de cybersécurité pour rééquilibrer les responsabilités – ne se réalisera pas simplement grâce à la bonne volonté. La CISA n’est pas un régulateur et elle doit définir une voie pour les agences fédérales qui le sont afin que la mise en œuvre de la SbD tire parti des pouvoirs plus larges de l’Etat en matière de fixation des normes, d’application et de réglementation. Faudra-t-il alors renoncer à une application directe de ces pratiques de sécurité par le gouvernement ?
Source : Techcrunch
