Les graves conséquences d’opérations récentes obligent les États-Unis à repenser leur stratégie de défense. La réponse à l’échelle internationale manque de cohérence.
Plus nombreuses, les cyberattaques montrent qu’elles sont aussi désormais capables de plonger dans le chaos des secteurs critiques ou de menacer des vies humaines. Les récentes attaques au rançongiciel contre les sociétés Colonial Pipeline et JBS ont plongé le domaine cyber dans une zone de turbulences, obligeant les grands États occidentaux à repenser leurs stratégies en matière de défense.*
Déstabilisés en décembre dernier par la gigantesque attaque SolarWinds, ébranlés par des rançongiciels qui impactent directement des infrastructures critiques et la vie de ses concitoyens, les États-Unis musclent leur réponse face à ce qu’ils élèvent désormais au rang de «menaces pour la sécurité nationale».
Dans une lettre ouverte diffusée jeudi dernier, la Maison-Blanche exhorte les sociétés privées américaines à prendre d’urgence des mesures pour mieux se protéger contre les attaques par rançongiciel. Car les assaillants choisissent des cibles de plus en plus stratégiques. «Lorsqu’ils sont touchés par un “ransomware”, les fournisseurs d’infrastructures critiques doivent choisir entre la suspension pendant une période indéfinie de processus opérationnels ou le paiement de la rançon. Or l’arrêt d’une ressource cruciale pendant une durée indéterminée n’est tout simplement pas une option viable pour une entreprise», explique Allie Mellen, analyste chez Forrester.
Laissé à l’appréciation d’entreprises peu friandes de régulations contraignantes en la matière, le risque cyber a été jusqu’ici sous-investi par nombre d’entre elles: trop lointain pour certaines ou investissements trop coûteux à réaliser pour d’autres. Or l’accélération de la digitalisation – qui a multiplié les points de vulnérabilité – et l’interdépendance accrue de systèmes informatiques entre différents partenaires (entreprises, sous-traitants, éditeurs de logiciels…) obligent à repenser le problème dans sa globalité et de façon urgente.
La Maison-Blanche veut donc non seulement élever le niveau général de protection des systèmes informatiques, mais aussi que les entreprises revoient leur organisation interne pour qu’une attaque contre des fonctions commerciales, par exemple, ne paralysent pas toute une chaîne de production ou un approvisionnement. Mais le gouvernement américain ne souhaite toujours pas imposer de mesures contraignantes.
Le 12 mai, quelques jours après l’attaque contre Colonial Pipeline, Joe Biden avait signé un premier décret introduisant de nouvelles normes logicielles pour les agences gouvernementales et leurs sous-traitants. D’autres mesures imposent un certain niveau de maturité en matière de cybersécurité aux opérateurs d’infrastructures énergétiques…
Lire la suite : Le Figaro du 8/6/21 page 20