Le piratage d’un gazoduc révèle des cyber-vulnérabilités. Mais le plan d’infrastructure de Biden ne les résout pas.
Colonial Pipeline, le plus grand fournisseur de carburant raffiné des États-Unis, y compris l’essence, le diesel et le carburéacteur, a récemment connu une mauvaise journée. Vendredi dernier, les systèmes informatiques de l’entreprise ont été victimes de ransomwares. La société a rapidement mis fin à ses opérations par mesure de précaution pour contenir l’attaque et éviter d’endommager à long terme ses systèmes physiques. Mardi après-midi, le pipeline était encore en grande partie hors ligne, bien que Colonial espère rétablir les opérations d’ici la fin de la semaine.
Il était décevant de voir que le plan d’infrastructure actuel de l’administration Biden est terriblement insuffisant en termes de sécurisation de l’infrastructure qu’elle propose de construire.
L’attaque contre Colonial Pipeline est un point de données dans une tendance générale à l’augmentation des attaques de ransomwares, des logiciels malveillants qui empêchent les victimes d’accéder à leurs données et nécessitent un paiement de rançon afin de restaurer leurs systèmes. Les conséquences peuvent aller du coût économique au pire: les entreprises sont bloquées hors de leurs systèmes informatiques pendant plusieurs heures ou plusieurs jours à la fois, interrompant leurs opérations, perturbant les chaînes d’approvisionnement et nuisant considérablement à la confiance des consommateurs.
Rien qu’en 2020, près de 2400 gouvernements étatiques et locaux, établissements de santé et écoles ont été victimes d’attaques de ransomwares. En outre, les victimes de ces attaques ont payé un total de 350 millions de dollars en rançon, ce qui représente une augmentation de plus de 300% par rapport à l’année précédente.
Et les ransomwares ne sont qu’un type de cybermenace posé à l’infrastructure – l’un des risques de sécurité nationale les plus courants du pays et qui devrait figurer en tête des listes de priorités pour les besoins d’infrastructure. Compte tenu de la gravité du danger, il était décevant de voir que le plan d’infrastructure actuel de l’administration Biden est terriblement insuffisant en termes de sécurisation de l’infrastructure qu’elle propose de construire, un échec qui a soulevé des sourcils.
L’attaque du Colonial Pipeline « est une pièce qui sera à nouveau diffusée, et nous ne sommes pas suffisamment préparés », a averti le sénateur Ben Sasse, R-Neb. «Si le Congrès est sérieux au sujet d’un paquet d’infrastructure, au premier plan devrait être le durcissement de ces secteurs critiques – plutôt que des listes de souhaits progressistes se faisant passer pour des infrastructures.»
Les infrastructures critiques américaines, telles qu’elles sont traditionnellement définies et historiquement comprises, ont profondément besoin d’investissements et de renouvellements. L’épine dorsale du paquet doit donc être de sauvegarder et de mettre à niveau ces éléments essentiels – des aéroports et des autoroutes aux transports en commun et au-delà – et doit disposer d’investissements significatifs en matière de cybersécurité correctement intégrés.
Le paquet de 2 billions de dollars du président Joe Biden comprend 621 milliards de dollars pour les besoins en infrastructure de transport de longue date tels que les ponts, les routes et les ports et plus de 300 milliards de dollars pour la modernisation des réseaux électriques et des infrastructures d’eau potable et l’expansion de l’accès Internet à large bande.
Cependant, le paquet étend la définition de l’infrastructure au-delà de sa signification traditionnelle. Dans le cadre de ce plan, par exemple, 400 milliards de dollars sont destinés à soutenir le personnel des soins de santé à domicile, la composante du paquet décrit par le New York Times comme «la plus transformationnelle et la plus polarisante». Aspirer à un changement transformationnel est la prérogative d’un leader; mais cela doit être fait de manière transparente, de manière à ne pas renverser la logique, le bon sens ou les priorités nationales et économiques pressantes en matière de sécurité – dans ce cas, en protégeant l’infrastructure elle-même contre les cyberattaques.
En effet, les acteurs malveillants sont plus enhardis que jamais pour profiter de la vulnérabilité des infrastructures critiques américaines, de notre approvisionnement en eau à notre réseau électrique en passant par nos pipelines. Le pipeline Colonial fournit 45% du carburant de la côte Est, transportant quotidiennement près de 100 millions de gallons de carburant raffiné entre la côte du Golfe et New York. Si la perturbation devait se poursuivre sans relâche, la côte Est pourrait être exposée à davantage de problèmes de distribution et de fluctuations de prix, ce qui pourrait entraîner d’autres conséquences en cascade qui pourraient mettre en péril de nombreux systèmes – aéroports, entreprises et déplacements quotidiens – qui dépendent de ses livraisons de carburant. Le préjudice éventuel pour l’économie au sens large pourrait même s’étendre au-delà.
L’administration Biden prend des mesures importantes en dehors du projet de loi d’infrastructure pour aborder le problème des ransomwares et de la cybersécurité de manière plus générale. L’annonce récente d’un «sprint» du Department of Homeland Security pour lutter contre les ransomwares en sensibilisant et en perturbant les mauvais acteurs, un groupe de travail sur les ransomwares du ministère de la Justice pour s’en prendre aux auteurs et les suggestions qu’un nouveau plan de ransomware de la Maison Blanche est imminent signalent tous une volonté accrue par le gouvernement fédéral pour agir. Mais malheureusement, ces éléments sont insuffisants et des vulnérabilités importantes subsistent.
Plus précisément, le plan de dépenses d’infrastructure proposé par l’administration Biden ne traite pas de la sécurisation de l’infrastructure contre les cyberactivités malveillantes. La proposition de budget du président pour l’année prochaine ne donne pas non plus la priorité à la cybersécurité. L’Agence pour la cybersécurité et la sécurité des infrastructures n’a reçu qu’une augmentation de budget de 5%, contre une augmentation globale de 16% des dépenses non défensives. Le budget et le plan d’infrastructure continuent l’échec de l’administration Trump à financer suffisamment les efforts de cybersécurité dans les domaines budgétaires du département non défensif.
Une correction est possible. Le Congrès peut modifier le plan d’infrastructure pour prioriser les investissements nécessaires dans la cybersécurité de nos infrastructures critiques les plus vulnérables, y compris les infrastructures d’eau et d’eaux usées, les systèmes de distribution du réseau électrique, les systèmes de transport maritime et les réseaux municipaux. Compte tenu du prix élevé du plan d’infrastructure de la Maison Blanche, ces dépenses ne devraient pas être litigieuses.
Un tel plan d’investissement pourrait inclure l’élargissement de l’Initiative de cybersécurité des pipelines du gouvernement pour inclure l’utilisation de subventions et de prêts à faible taux d’intérêt pour remédier aux insuffisances identifiées par l’initiative dans la protection des limites, la surveillance, la gestion de la configuration et les contrôles d’accès.
Il est également important que le gouvernement établisse une collaboration public-privé afin que les entités du secteur privé responsables des systèmes et des actifs qui sous-tendent les fonctions essentielles nationales, telles que Colonial Pipeline, assument des exigences de sécurité supplémentaires adaptées à leur statut et à leur importance uniques afin d’inclure des exigences de déclaration cyber-intrusions. En échange, ces entités bénéficieraient de protections fédérales supplémentaires, même si elles se voient confier l’accès aux renseignements fédéraux les plus à jour, exploitables et pertinents sur les menaces émergentes.
En tant que membres de la Commission du solarium du cyberespace, nous avons été heureux de voir le Congrès codifier dans la loi deux dispositions récentes qui aideront les victimes à se préparer, à réagir et à atténuer les conséquences des cyberattaques. Premièrement, un bureau conjoint de planification cybernétique sera bientôt mis en place pour aider à coordonner les campagnes de lutte contre les cyberattaques entre les secteurs public et privé. Deuxièmement, le pouvoir exécutif doit élaborer un manuel pour maintenir le fonctionnement de l’économie nationale en cas d’incident informatique important. Bien que ces deux initiatives aient été autorisées par la loi, l’administration doit maintenant prendre des mesures pour leur mise en œuvre.
Alors que l’administration Biden et le Congrès accordent la priorité à un plan d’infrastructure massif, le moment est venu pour le gouvernement fédéral – et le pays dans son ensemble – d’accepter les investissements majeurs nécessaires pour assurer la sécurité et la résilience de nos systèmes nationaux. Sinon, beaucoup plus d’Américains seront touchés par le prochain mauvais jour dans les infrastructures critiques.