Alliance dévoile le plan de cybersécurité à coût zéro pour les États-Unis

Un plan pour renforcer la cybersécurité du pays qui ne coûtera pratiquement rien n’a été dévoilé mardi par la Internet Security Alliance (ISA).

Dans un document de 21 pages, l’alliance propose cinq recommandations selon lesquelles il maintient «ne coûtera pratiquement rien au gouvernement fédéral» et, en prime, à économiser des milliards d’industrie privée.

Le document intitulé «Une voie à coût zéro vers la cybersécurité américaine» décrit les initiatives qui opérationnalisent la philosophie du gouvernement de l’administration Trump.

« Ce sont des programmes pragmatiques qui peuvent être mis en œuvre rapidement », a noté le document. «Ils généreront des améliorations matérielles importantes dans la cybersécurité de notre pays presque immédiatement.

«Ces étapes mettront également la sécurité intermédiaire et à long terme de notre pays sur une voie de manière mesurable et économiquement durable qui nous permettra de lutter contre les menaces nouvellement croissantes d’échec systémique», a-t-il poursuivi.

« Avec le soutien de la Maison Blanche », a-t-il ajouté, « ces initiatives peuvent transformer la cybersécurité d’un fardeau de conformité en un avantage concurrentiel – et garantir à la fois l’avenir numérique du pays et l’héritage du président en tant que leader qui a transformé la déréglementation en triomphe de la sécurité nationale. »

Couper les règles en double

Une recommandation de l’alliance est que le Federal Office of Management and Budget (OMB) devrait utiliser son pouvoir existant pour éliminer les réglementations de cybersécurité en double.

«La portée des réglementations de cybersécurité duplicative est stupéfiante», a déclaré David Bader, directeur de l’Institute for Data Science au New Jersey Institute of Technology (NJIT) à Newark, NJ

« Une récente analyse du GAO a révélé que parmi seulement quatre principales agences fédérales, 49% à 79% des paramètres des exigences de cybersécurité étaient en conflit direct les uns avec les autres », a-t-il déclaré à Technewsworld. «L’exemple le plus flagrant est la déclaration des incidents, où nous avons actuellement 45 exigences de rapports de cyber-incidents différentes réparties dans 22 agences fédérales, chacune avec ses propres formulaires et sites Web.»

«Ce chaos réglementaire sape gravement nos capacités de cybersécurité», a-t-il poursuivi. «Les grandes institutions financières rapportent que leurs cyber-équipes passent désormais plus de 70% de leur temps à la conformité réglementaire plutôt que d’améliorer réellement la sécurité. Certaines entreprises dépensent près de la moitié de leur budget de cybersécurité qui remplit simplement les rapports de conformité en double.»

« Lorsque les professionnels de la cybersécurité sont enterrés dans des documents au lieu de défendre les réseaux, nous faisons essentiellement le travail des attaquants pour eux », a-t-il déclaré. «L’élimination de ces exigences en duplication libérerait immédiatement des milliards de dollars de ressources qui pourraient être redirigées vers la détection réelle des menaces, la réponse aux incidents et les améliorations de la sécurité.»

Le problème n’est pas seulement que les réglementations en duplication perdent du temps pour toute personne impliquée avec eux, mais ils sont souvent différents et parfois à percer les uns avec les autres, a ajouté Roger Grimes, un évangéliste de défense chez Knowbe4, un fournisseur de formation de sensibilisation à la sécurité, à Clearwater, en Floride.

« NIST (National Institute of Standards and Technology) recommande de ne pas avoir une taille de mot de passe minimale, de supprimer la nécessité de la modifier périodique et de supprimer les besoins en complexité », a-t-il déclaré à Technewsworld. «La plupart des autres guides de cybersécurité, y compris de nombreuses réglementations gouvernementales, nécessitent exactement le contraire.»

Il peut également y avoir un obstacle important dans la mise en œuvre de la recommandation de l’ISA par le biais de l’OMB. « Le rôle de l’OMB est de coordonner les réglementations et de chercher à voir s’ils sont incohérents ou en double ou autre », a déclaré Berin Szóka, présidente de TechFreedom, un groupe de défense de la technologie, à Washington, DC, « ils ne peuvent pas abroger les réglementations comme le prétend ce document. »

« C’est aux agences d’abroger les règles », a-t-il déclaré à Technewsworld. « Ensuite, la question dans laquelle vous vous posez est de savoir si les agences peuvent court-circuiter le processus normal de réglementation. L’administration Trump a affirmé que les agences n’avaient pas à passer par une réglementation normale si elles pensent qu’une règle est illégale. Ce n’est tout simplement pas vrai. Ce n’est pas ainsi que le fonctionnement de la procédure administrative fonctionne. »

Analyse des coûts-avantages cyber règles

L’ISA recommande également qu’une analyse coûts-avantages soit requise pour toutes les réglementations de cybersécurité. « Malgré des milliards de dollars de dollars en conformité réglementaire de la cybersécurité, aucune étude n’a jamais documenté que le règlement de la cybersécurité améliore réellement la sécurité », a-t-il soutenu.

Cependant, Heath Renfrow, CISO et co-fondateur de FENIX24, une entreprise de reprise après sinistre à Chattanooga, Tenn., A souligné que, si en surface, une analyse coûts-avantages semble être une sauvegarde économique, en cybersécurité, le côté coût est tangible tandis que le côté avantageux est probabiliste.

«Comment quantifiez-vous le coût évité d’un événement de ransomware qui n’a pas eu lieu à cause de l’adoption du MFA?» il a demandé. «Les cadres coûts-avantages traditionnels, comme l’OMB circulaire A-4, se décomposent parce que les cyberattaques sont des événements à basse fréquence et à fort impact avec des effets de second ordre en cascade.»

« Cela dit, forcer les agences à articuler au moins les hypothèses, les scénarios du modèle et la proportionnalité de test augmenteraient la qualité de la rédaction réglementaire », a-t-il déclaré à Technewsworld. «Le danger est dans l’armement. Les entreprises peuvent affirmer qu’à moins que vous ne puissiez prouver qu’une violation coûtera x montant d’argent, le règlement n’en vaut pas la peine. Le solde garantit que l’analyse informe la réglementation, sans la paralyser.»

Bader de NJIT a convenu que le risque d’utiliser une analyse coûts-avantages pour éviter les réglementations nécessaires est réelle et préoccupante. «De nombreux avantages en cybersécurité sont préventifs et systémiques, ce qui les rend difficiles à capturer dans des modèles économiques traditionnels», a-t-il déclaré. «Les effets en cascade que nous avons vus des attaques de chaîne d’approvisionnement comme les solarwinds démontrent que le véritable coût des cyber-incidents dépasse souvent de loin les estimations initiales.»

«Cependant», a-t-il poursuivi, «lorsqu’il est correctement implémenté avec des méthodologies qui tiennent compte de ces incertitudes, l’analyse coûts-avantages pourrait en fait améliorer la cybersécurité en garantissant aux ressources les mesures de sécurité les plus percutantes. La clé est de développer des modèles suffisamment sophistiqués pour gérer les caractéristiques uniques du cyber-risque, plutôt que d’appliquer des frameworks réglementaires réglementaires standard qui n’étaient pas conçus pour ce domaine».

Revoir la loi sur les informations sur la cybersécurité

Une autre recommandation de l’ISA est que la Loi sur le partage des informations sur la cybersécurité de 2015 devrait être réautorisée et modernisée.

La Cybersecurity Information Sharing Act (CISA 2015) – la Fondation juridique de la cyber-collaboration publique-privée – expirera le 30 septembre 2025, à moins que la réautorisation, ait expliqué l’ISA. «Le permettre de s’allonger limiterait gravement la capacité du gouvernement à partager des renseignements sur les menaces avec l’industrie, pour saper la sécurité nationale», a-t-il maintenu.

Bader a soutenu que la CISA a besoin d’une modernisation urgente car elle a été écrite pour un paysage de menace qui n’existe plus. « La loi de 2015 a été conçue avant de comprendre les attaques compatibles AI, les compromis sophistiqués de la chaîne d’approvisionnement ou les vulnérabilités uniques de l’infrastructure cloud », a-t-il déclaré. Les définitions de ce qui constitue des informations de cybersécurité partageables sont trop étroites pour l’environnement des menaces d’aujourd’hui. »

« Avec l’avènement de l’IA et la capacité de construire du code malveillant beaucoup plus rapidement que nous n’en avons jamais vu auparavant, les façons traditionnelles de partager les informations ne peuvent pas suivre la menace », a ajouté Matt Stern, directeur de sécurité chez Hypori, une société de sécurité des infrastructures mobiles, à Reston, en Virginie.

« Si nous voulons même obtenir la parité avec la menace », a-t-il déclaré à Technewsworld. «Nous devons être en mesure de moderniser le règlement afin qu’il puisse gérer les informations de menace entre les mains des personnes qui en ont besoin d’une manière beaucoup plus réaliste et plus rapide.»

Renfrow de FENIX24 a ajouté que la participation du secteur privé au partage est toujours faible en vertu de la loi existante. «La modernisation devrait inclure des ports de responsabilité en toute sécurité pour les entreprises qui partagent des indicateurs de compromis de bonne foi et des obligations réciproques pour le gouvernement de renvoyer des Intel exploitables en temps réel», a-t-il déclaré.

Résolution de la pénurie de cyber-travail

L’ISA recommande également qu’une main-d’œuvre de cybersécurité rentable soit créée pour le gouvernement, en grande partie grâce à la loi sur le Congrès, actuellement devant le Congrès.

Sous Pivott (offrant aux individus diverses possibilités de formation technique), les étudiants peuvent s’inscrire à des programmes de cybersécurité existants offerts par les collèges, les collèges communautaires et les programmes de certificat. Le gouvernement fédéral paierait ses frais de scolarité. En retour, les étudiants seraient tenus d’effectuer un montant spécifié de services gouvernementaux.

L’objectif de Pivott est de s’inscrire jusqu’à 10 000 étudiants par an. « À ce rythme, Pivott résoudrait l’écart de la main-d’œuvre de la cybersécurité du gouvernement fédéral (35 000) en moins de 4 ans », a noté l’ISA.

« Le modèle d’apprentissage et de rotation du Pivott Act est prometteur car il traite les cyber-talents comme une ressource renouvelable », a déclaré Renfrow. «Vous déplacez des praticiens qualifiés à travers les agences plutôt que chaque agence essayant de développer son propre pipeline à cloisons.»

« Quatre ans, c’est optimiste », a-t-il ajouté, « mais sans changement structurel comme Pivott, le problème persistera indéfiniment. »

Tout en trouvant le concept Pivott un bon, Ida Byrd-Hill, PDG et fondatrice d’Automation Workz, une société de conseil en reskilling et en diversité à Détroit, Michigan, a fait valoir que plus d’argent devrait s’adresser au système de développement de la main-d’œuvre au ministère du Travail. «La plupart des gens ne se rendent pas compte que la simple formation technologique dans une université, un collège ou un collège communautaire n’est pas suffisante si vous n’avez pas de certification», a-t-elle déclaré à Technewsworld.

« Le problème aurait pu être résolu depuis longtemps si le gouvernement soutenait des programmes Learn and Get », a-t-elle ajouté. «Le gouvernement n’a pas encore acquiescé à le faire. Ils doivent intensifier. Il ne s’agit pas seulement de bourses et de formation.»

Construire un tableau de bord national de cybersécurité

Une cinquième recommandation d’Isa consiste à établir un tableau de bord de cybersécurité macroéconomique national.

L’ISA a expliqué que le gouvernement fédéral dépensait des dizaines de milliards de dollars chaque année sur une vaste gamme de projets de cybersécurité. «Pourtant, sans un modèle sophistiqué, les décideurs politiques sont aveugles au coût économique complet des cybermenaces, au ROI des défenses, à l’utilité de méthodes alternatives telles que les programmes incitatifs plutôt que la réglementation, les impacts systémiques des incidents majeurs et les moyens les plus rentables d’éliminer, d’atténuer ou de transférer les risques», a-t-il noté.

Il a conseillé au Cyber ​​Directeur national de collaborer avec les agences gouvernementales fédérales pour promouvoir une méthodologie d’évaluation des cyber-risques plus sophistiquée basée sur le cadre éprouvé du NACD-ISA.

« Nous avons désespérément besoin d’un tableau de bord national de cybersécurité parce que notre approche actuelle de l’évaluation des cyber-risques est fondamentalement rompue », a déclaré Bader. «À l’heure actuelle, nous avons des dizaines d’agences qui font leurs propres évaluations de cyber-risques sans coordination ni méthodologie commune. C’est comme essayer de comprendre la santé de l’économie américaine en examinant 22 rapports financiers différents et incompatibles.»

« Le cadre NACD-ISA qui sous-tendre ce tableau de bord a été validé indépendamment par la recherche sur le MIT et PWC », a-t-il poursuivi. «Les organisations utilisant ces principes ont 85% de cyber-incidents en moins et des résultats de gestion des risques nettement meilleurs. Ce n’est pas théorique – c’est une approche éprouvée qui fonctionne au niveau de l’entreprise.»

« Considérez-le comme un indice Cyber ​​Dow Jones – ne prédisant pas les mouvements quotidiens mais mesurant la santé structurelle de l’économie sous le cyber stress », a ajouté Renfrow. «Sans cette visibilité, les décideurs politiques sont à l’aveugle dans un domaine où les adversaires traitent déjà le cyber comme une guerre macroéconomique.»