Avis | J’ai fait face à des cyberattaques étrangères. L’Amérique n’est pas prête pour ce qui s’en vient.

Alors que les missiles russes pleuvent sur l’Ukraine, il y a une autre bataille se prépare — dans la cybersphère. Logiciels malveillants destructeurs a inondé des centaines de sites Web et d’ordinateurs depuis que Vladimir Poutine a annoncé son invasion ukrainienne. Ce serait une erreur de supposer que de telles attaques resteront limitées aux cibles ukrainiennes.

La semaine dernière, le président Biden publier Monsieur. Poutine contre les cyberattaques russes contre les infrastructures critiques des États-Unis. Mais les entreprises américaines ne sont pas prêtes pour une guerre dans le cyberespace. Bien que M. Biden a désigné le Department of Homeland Security pour diriger ce qu’il a promis serait une réponse énergique à une telle agression, ce n’est pas suffisant. Le DHS n’a pas le pouvoir légal d’ordonner au secteur privé de suivre son exemple. Plus largement, le gouvernement fédéral, même s’il est averti par des entreprises comme Microsoft des cyberattaques entrantes, n’a pas l’infrastructure nécessaire en place pour protéger les entreprises américaines contre bon nombre de ces attaques.

Que les États-Unis doivent recourir à des menaces de représailles est en soi un problème. L’Amérique devrait déjà être à l’épreuve des cyberattaques, mais la coordination de ces efforts à travers le pays a été une bataille difficile.

En tant qu’ancien avocat général de l’Agence de sécurité nationale, je suis témoin quotidiennement de l’ampleur et de la sophistication d’une telle méchanceté de la part de Russie, Chine, L’Iran et Corée du Nord. Tous tirent parti des différents secteurs de pouvoir à leur disposition – y compris les entreprises commerciales et publiques ainsi que les agences d’espionnage – pour se dresser contre les entreprises et les citoyens américains en force.

Pourtant, les États-Unis n’ont pas de réponse organisée. Les rapports hebdomadaires de attaques de rançongiciels et violations de données qu’il soit clair que nous perdons cette bataille. C’est pourquoi les dirigeants américains doivent repenser le système de cyberdéfense actuel et se rallier autour d’un régulateur centralisé pour défendre à la fois les citoyens et le secteur privé contre les attaques actuelles et futures.

La nature décentralisée du gouvernement américain ne se prête pas à la lutte contre les cybermenaces étrangères. Les agences gouvernementales gèrent la cyberréglementation et les menaces dans les secteurs qu’elles surveillent – un moyen inefficace et inefficace de résoudre un problème qui touche l’ensemble de notre économie. Au cours des derniers mois seulement, l’agence de sécurité des transports du DHS a annoncé de nouvelles exigences en matière de cybersécurité pour pipelines et chemins de fer; la Commission fédérale des communications a publié son propre proposition pour les entreprises de télécommunications ; la Securities and Exchange Commission voter sur règles applicables aux conseillers en placement et aux fonds; et la Commission fédérale du commerce menacer de poursuivre légalement entreprises qui ne parviennent pas à corriger une vulnérabilité logicielle nouvellement détectée dans de nombreuses applications professionnelles. Et sur Capitol Hill, il y a environ 80 comités et sous-comités qui revendiquent la compétence sur divers aspects de la cyberrégulation.

Il est peu probable que ces efforts dispersés réduisent le cyber, et encore moins arrêtent, la crème.

En écho à un certain nombre d’experts étudesnotre premier directeur cyber national dit que les États-Unis ont besoin d’une nouvelle approche qui “modifie de manière significative la relation entre les secteurs public et privé”. Mais l’inertie sociale et bureaucratique, la résistance de l’industrie et les divisions partisanes ont fait obstacle à la centralisation des efforts et des réglementations en matière de cyberdéfense. Lors d’un récent congrès audienceplusieurs représentants de l’industrie et des membres républicains du Congrès se sont opposés à des exigences plus strictes pour notification des manquements. Il est temps de passer de la partisanerie et des objectifs standards à la réglementation.

Du point de vue du secteur privé, le cas d’un effort centralisé est également logique. Presque toutes les industries utilisent leurs ordinateurs sur l’un des trois systèmes d’exploitation : Windows, macOS et Linux. Dans de nombreux cas, ils utilisent également le même logiciel d’entreprise – le système de paie d’un entrepreneur de la défense n’est pas très différent de celui d’une pharmacie. Cela signifie que les vulnérabilités sont similaires dans tous les secteurs et nécessiteront donc des solutions similaires. Un centre de réponse gouvernemental centralisé est donc logique. Obtenir des informations sur les piratages et les vulnérabilités circulant rapidement et efficacement entre le gouvernement et le secteur privé – comme le ferait une agence centrale – est essentiel pour arrêter les cyberattaques avant qu’elles ne se propagent trop loin. Et une telle agence aiderait à normaliser les produits et services de sécurité, ce qui réduirait la charge globale des entreprises en réduisant les coûts.

L’objectif primordial d’un cyberrégulateur central serait d’avoir des normes appliquées de manière uniforme, mais spécifiquement adaptées, le cas échéant, aux besoins d’un secteur particulier. Je n’envisage pas une politique rigide à taille unique, mais il devrait être possible de concevoir une réglementation interprofessionnelle suffisamment efficace pour protéger le public sans entraver l’innovation.

Un certain nombre d’autres démocraties industrialisées adoptent déjà une approche centralisée : Avec son récent Directive sur la sécurité des réseaux et de l’information, l’Union européenne propose désormais des normes de cybersécurité uniformes dans tous les secteurs et ses 27 pays membres. Certes, les Américains ont tendance à se méfier davantage de la réglementation que les Européens. Mais certains des alliés les plus proches de l’Amérique – Grande-Bretagne, Canada et Australie – ont également décidé de consolider leurs fonctions de cybersécurité en une seule agence qui travaille avec le secteur privé, tout en conservant des fonctions spécialisées pour la collecte de renseignements et l’application de la loi.

Ces mouvements ne doivent pas être rejetés. S’il est encore trop tôt pour évaluer pleinement le succès de ces nouvelles mesures de consolidation, les États-Unis accusent un net retard : la Grande-Bretagne vient d’adopter son deuxième cyberstratégie nationale pluriannuelletandis que les États-Unis peinent à proposer leur premier.

Des plans existent déjà qui pourraient guider la création d’un cyberrégulateur central. La SEC a travaillé avec des banques d’investissement et des bourses dans ses premières années pour façonner un cadre de divulgation entièrement nouveau pour les entreprises publiques de tous les secteurs. Par conséquent, la divulgation rapide par une entreprise publique des nouvelles qui font bouger le marché (bonnes ou mauvaises) est désormais tenue pour acquise, tout comme le délit d’initié et la dissimulation des développements de l’entreprise étaient des pratiques courantes à l’époque précédant les lois sur les valeurs mobilières.

Le mois dernier, le Agence de protection de l’environnement et ses partenaires fédéraux a exhorté les 52 000 systèmes d’approvisionnement en eau privés et municipaux du pays à renforcer les défenses contre une éventuelle cyberattaque russe qui pourrait perturber ou contaminer notre eau potable. Un régulateur central simplifierait grandement ce processus. Cela pourrait garantir que les gestionnaires de chaque système d’eau étaient pleinement conscients des détails critiques d’une éventuelle attaque russe. Il pourrait immédiatement diffuser des informations critiques concernant l’attaque. Et cela pourrait éduquer les victimes potentielles sur la façon de minimiser la propagation de l’attaque.

Rien de tout cela ne sera facile ou mis en place rapidement. le Commission Solarium Cyberespacecréé en 2019 pour développer un consensus bipartisan sur une approche stratégique de la défense des États-Unis dans le cyberespace, récemment signalé que même certaines de ses recommandations les moins détaillées pourraient nécessiter une “urgence future” pour “créer l’impulsion politique nécessaire pour surmonter les obstacles existants”.

La guerre de la Russie contre l’Ukraine pourrait être cette « future urgence ». Si nous ne voulons pas avoir à nous soucier des hackers russes contaminer notre eau potable Chaque fois que nous ouvrons le robinet, il est maintenant temps de repenser notre approche.

Glenn S. Gerstell est conseiller principal au Centre d’études stratégiques et internationales axé sur la technologie et la sécurité nationale. Il a été avocat général de l’Agence de sécurité nationale et du Service central de sécurité de 2015 à 2020.

Le Times s’engage à publier une diversité de lettres Pour l’éditeur. Nous aimerions savoir ce que vous pensez de cet article ou de l’un de nos articles. Voilà quelque conseils. Et voici notre email : lettres@nytimes.com.

Suivez la section Opinion du New York Times sur Facebook, Twitter (@NYTopinion) et Instagram.

Leave a Comment