La Maison Blanche charge le NIST d’améliorer la sécurité de la chaîne d’approvisionnement technologique – MeriTalk
L’administration Biden a chargé l’Institut national des normes et de la technologie (NIST) de travailler avec l’industrie et d’autres parties pour proposer un nouveau cadre « pour améliorer la sécurité et l’intégrité de la chaîne d’approvisionnement technologique ».
La directive au NIST était l’un des principaux enseignements à retenir de la réunion du 25 août à la Maison Blanche entre les responsables de l’administration, le secteur technologique et d’autres directeurs généraux d’entreprises privées, et des représentants des secteurs de l’éducation et des assurances. La réunion fait suite à de nombreuses initiatives de politique de cybersécurité que l’administration a entreprises depuis janvier. Le président Biden a déclaré que l’objectif de la réunion de cette semaine était de « relever la barre » en matière de cybersécurité dans l’ensemble du gouvernement, des infrastructures critiques et des secteurs privés.
La Maison Blanche a déclaré que les travaux du NIST « serviront de ligne directrice aux entités publiques et privées sur la façon de créer une technologie sécurisée et d’évaluer la sécurité de la technologie, y compris les logiciels open source ».
On ne sait pas comment et si des directives du NIST pourraient être contraignantes pour les entités fédérales ou privées. Le cadre de cybersécurité historique de l’agence pour les industries d’infrastructures critiques reste une directive volontaire, bien qu’au fil des ans, son contenu ait pris quelque chose de proche de la stature d’une norme de facto dans certains milieux, y compris le marché de la cyberassurance et avec les exigences de la cybersécurité du ministère de la Défense. Programme de certification de modèle de maturité (CMMC).
Dans une nouvelle tournure sur l’élaboration des politiques des agences fédérales, la Maison Blanche a déclaré que les participants du secteur privé à la réunion sur la cybersécurité – y compris Microsoft, Google, l’assureur Travelers et le fournisseur de cyber-assurance Coalition « se sont engagés à participer à cette initiative dirigée par le NIST ». On ne sait pas en quoi cette participation différerait des exercices normaux de normalisation du NIST où l’agence sollicite l’avis du public sur son travail.
Le gouvernement fédéral, par l’intermédiaire de la Cybersecurity and Infrastructure Security Agency (CISA), a déjà ses bras autour d’au moins certains des mêmes problèmes de chaîne d’approvisionnement technologique grâce aux efforts existants. Cette approche est mise en œuvre par le groupe de travail sur la gestion des risques de la chaîne d’approvisionnement des technologies de l’information et des communications (TIC), dont le mandat a été prolongé le mois dernier jusqu’en juillet 2023.
Le groupe de travail sur les TIC de CISA est un partenariat public-privé composé de représentants d’organisations du secteur privé grand et petit pour identifier les défis et les solutions pour gérer les risques pour la chaîne d’approvisionnement mondiale des TIC. Il est présidé par le CISA et les Conseils de coordination des secteurs de l’informatique et des communications.
La portée cybernétique d’ICS s’élargit
Ailleurs sur les résultats de la politique gouvernementale de la réunion, la Maison Blanche a annoncé une extension de l’Initiative de cybersécurité des systèmes de contrôle industriel – initialement créée en avril avec un accent initial sur le secteur de l’électricité – dans le secteur des gazoducs.
« L’initiative a déjà amélioré la cybersécurité de plus de 150 services publics d’électricité qui desservent 90 millions d’Américains », a déclaré la Maison Blanche.