Le président Joe Biden a signé le Strengthening American Cybersecurity Act (Renforcement de la cybersécurité américaine) en Mars 2022. La loi se compose de plusieurs règlements, mais ce sont les exigences en matière de rapports sur les incidents de sécurité qui suscitent des réactions au sein de la communauté informatique. Actuellement, les exigences en matière de rapports se concentrent sur les infrastructures critiques, mais il est fort possible que des entités de divers secteurs soient finalement soumises à ces exigences.
À l’heure où nous écrivons ces lignes, les détails de la loi peuvent encore être modifiés. En effet, la loi impose au directeur de la Cybersecurity and Infrastructure Security Agency (CISA) de publier un avis de proposition de réglementation dans les 24 mois suivant la date de signature de la loi. Le directeur dispose alors de 18 mois pour publier une règle finalisée pour son implémentation.
Cela signifie que la description de ce qui constitue une “entité couverte” est assez floue et que le type d’entreprises qui seront soumises à la loi pourrait changer en fonction des décisions finales du directeur.
Les spéculations vont bon train sur ce que cela signifiera à long terme pour les fournisseurs de services informatiques, mais l’hypothèse la plus sûre est de se préparer à ce que tout secteur relevant, même vaguement, de la définition “d’infrastructure critique” soit soumis à ces exigences.
Dans cet article, nous aborderons les bases de la loi sur la cybersécurité récemment adoptée et la manière dont les fournisseurs de services gérés (MSP) peuvent faire face aux changements qui en découlent.
Qu’est-ce que le Strengthening American CyberSecurity Act ?
Le 1er mars, le Sénat américain a adopté un projet de loi affectant la sécurité des agences fédérales et des organisations ayant une infrastructure critique.
Bénéficiant d’un soutien unanime, la loi de 2022 sur le renforcement de la cybersécurité américaine (Strengthening American Cybersecurity Act of 2022) établit des exigences de déclaration pour les “entités couvertes” et les infrastructures critiques, dans le but de renforcer la cyberdéfense de l’infrastructure américaine.
La loi Strengthening American Cybersecurity Act de 2022 (appelée “loi” dans le présent article) est composée de trois règlements :
- Loi de 2022 sur l’amélioration et l’emploi dans le domaine de l’informatique dématérialisée (Federal Secure Cloud Improvement and Jobs Act)
- Loi de 2022 sur la notification des incidents cybernétiques pour les infrastructures critiques (Cyber Incident Reporting for Critical Infrastructure Act)
- Loi de 2022 sur la modernisation de la sécurité de l’information fédérale (Federal Information Security Modernization Act)
Cette législation concerne principalement les infrastructures critiques, mais elle est très probablement annonciatrice d’une tendance. Il est certain que des réglementations similaires seront mises en œuvre à l’avenir et que l’intérêt croissant des gouvernements pour la sécurité numérique aura des conséquences importantes pour l’avenir.
Ce n’est pas une surprise, car les attaques et les vulnérabilités qui affectent les infrastructures critiques font la une des journaux à un rythme alarmant.
Ce que ce règlement signifie pour les fournisseurs de services gérés
Dans son état actuel, la loi crée de nombreuses questions de la part des entreprises MSP. Le simple fait que les “entités couvertes” soient définies de manière vague, et qu’elles changeront probablement à l’avenir, fait qu’il est difficile pour les fournisseurs de services informatiques d’en comprendre les implications.
En fait, de nombreux services informatiques et MSP ont conclu qu’ils n’étaient pas du tout concernés par cette nouvelle loi. Cependant, ils oublient probablement un détail essentiel dans cette évaluation :
La loi fait directement référence à la Presidential Policy Directive 21, créée en 2013. Cette politique définit le secteur des infrastructures critiques comme “les systèmes et les actifs, physiques ou virtuels, si vitaux pour les États-Unis que leur incapacité ou leur destruction aurait un grand impact sur la sécurité, la sécurité économique nationale, la santé ou la sécurité publique nationale, ou toute combinaison de ces éléments”.
Plus précisément, la “Policy Directive 21” énonce les secteurs suivants :
- Alimentation et agriculture
- Installations gouvernementales
- Soins de santé et santé publique
- Technologie de l’information
- Produits chimiques
- Installations commerciales
- Communications
- Systèmes de transport
- Systèmes de traitement des déchets et des eaux usées
- Industrie manufacturière essentielle
- Barrages
- Base industrielle de défense
- Services d’urgence
- Énergie
- Services financiers
- Réacteurs nucléaires, matériaux et déchets
Le secteur des technologies de l’information est cité spécifiquement, ce qui signifie que les départements informatiques et les MSP seront soumis à cette nouvelle loi.
Cela signifie également que les MSP et les fournisseurs de services informatiques seront doublement touchés s’ils fournissent des services à une autre entité couverte, comme les soins de santé, les communications, les services financiers ou la défense. Ils devront veiller à ce que leurs clients concernés respectent la loi ainsi que leur propre activité.
Signalement des incidents de cybersécurité
L’un des éléments clés de la loi est la création d’une voie claire pour les exigences de déclaration à la CISA. La voie ainsi définie facilite le partage transversal d’informations entre la CISA et d’autres agences fédérales telles que le FBI. En effet, ces exigences permettront aux agences de collecter des données et d’identifier plus rapidement les acteurs de la menace. De plus, cette loi énonce les exigences minimales en matière de déclaration pour les paiements de ransomware et d’autres incidents de cybersécurité.
En cas d’incident de cybersécurité, la loi exige les mesures suivantes :
- Une notification doit être adressée à la CISA dans un délai de 24 à 72 heures.
- Cet avis doit comprendre une description complète de l’incident et des vulnérabilités exploitées, ainsi que des défenses qui étaient en place au moment de l’incident.
- Le rapport doit indiquer le type d’informations susceptibles d’avoir été compromises.
- Toute information de contact ou toute autre information supplémentaire sur les parties responsables (l’attaquant) doit être divulguée.
- Les coordonnées de l’organisation touchée doivent être communiquées par la CISA.
- Si une attaque par ransomware est signalée, la date du paiement, les instructions de paiement, la demande de paiement de la rançon et le montant de la rançon doivent être divulgués.
Comme vous pouvez l’imaginer, ces exigences mettront à rude épreuve de nombreuses entreprises qui n’ont pas la capacité d’identifier rapidement une violation et de la classer avant de la signaler.
Nous savons tous que les grandes entreprises peuvent se permettre de disposer d’un personnel informatique interne ou d’un fournisseur de services gérés capable de signaler ces incidents rapidement et efficacement, mais les petites entreprises n’ont pas forcément cette capacité. Il est encore moins probable qu’une PME lambda sache comment collecter les informations pertinentes et soumettre un rapport par elle-même.
Évaluation et atténuation des risques
Bien que le Strengthening Cybersecurity Act de 2022 puisse ne pas affecter immédiatement les entités opérant en dehors des infrastructures critiques, les MSP devraient informer tous leurs clients que la protection de la cybersécurité est une étape cruciale de l’évaluation et de l’atténuation des risques.
Les normes définies dans cette loi affecteront probablement le secteur privé dans le futur. Il s’agit d’un pas dans la bonne direction pour la sécurité, et les entreprises devraient commencer à se préparer en évaluant leurs risques de cybersécurité et en prenant les mesures nécessaires pour y remédier avant que les nouvelles réglementations n’entrent en vigueur.
Voici quelques bonnes pratiques que toute entreprise devrait prendre en compte :
- Adopter une architecture de confiance zéro et un contrôle des accès: De nombreuses entreprises fonctionnent encore avec un accès illimité aux données et systèmes sensibles. En mettant en œuvre la confiance zéro et en configurant le contrôle d’accès selon le principe du moindre privilège, ils peuvent restreindre l’accès aux réseaux et à l’environnement informatique et minimiser leur risque global.
- Améliorer la sécurité mobile et à distance : La prédominance du travail à distance et les politiques “Bring Your Own Device” (BYOD) ont créé des risques supplémentaires pour de nombreuses entreprises. Comme les cybercriminels ciblent souvent les appareils mobiles et les postes de travail distants, les utilisateurs doivent prendre les mesures appropriées pour sécuriser ces surfaces de menace.
- Atténuation des vecteurs de menace les plus courants : De simples mesures visant à améliorer les pratiques de sécurité peuvent changer la donne pour de nombreuses PME. La mise en place d’un gestionnaire de mots de passe, l’activation de l’authentification multifactorielle dans la mesure du possible et l’organisation d’une formation à la cybersécurité peuvent réduire considérablement le risque cybernétique d’une entreprise.
Autres considérations
Nous commençons à observer une plus grande normalisation dans la manière dont les entreprises préviennent les incidents de cybersécurité et y remédient dans tous les domaines. La signature de cette loi a quelques implications supplémentaires qui méritent d’être prises en compte.
Le FedRAMP a été créé pour faciliter l’adoption et l’utilisation des technologies cloud par le gouvernement fédéral, et aide les agences à mettre en œuvre des technologies cloud modernes en mettant l’accent sur la sécurité. Le déploiement de la loi Strengthening American Cybersecurity Act of 2022 crée une opportunité pour les organisations du Federal Risk and Authorization Management Program (FedRAMP) d’évoluer vers des technologies basées sur le cloud.
Nous supposons que les réglementations concernant le secteur privé sont déjà en cours d’élaboration, bien qu’il faille attendre des années avant de voir quoi que ce soit de concret. Cela dit, nous savons que les exigences en matière de sécurité et de rapports définies par la loi sont souvent prohibitives pour les petites entreprises, et il pourrait bientôt être nécessaire que le gouvernement subventionne le financement de la surveillance et des mesures correctives.
Beaucoup s’accordent à dire qu’une incitation fiscale pour les PME qui renforcent leur cybersécurité pourrait voir le jour. Ce serait probablement une aubaine pour les fournisseurs de services gérés qui ont souvent du mal à convaincre leurs clients que les coûts liés à la cybersécurité sont justifiés.
Comment les MSP peuvent-ils rester en conformité avec l’American CyberSecurity Act de 2022 ?
La loi sur le renforcement de la cybersécurité américaine (Strengthening American Cybersecurity Act) prévoit à la fois des sanctions en cas de non-respect et des avantages en cas de respect des exigences.
En ce qui concerne la responsabilité des MSP, il est important de noter que la CISA dispose d’un grand nombre de pouvoirs pour demander des informations à une entité concernée, y compris le pouvoir d’émettre des citations à comparaître. Si une entreprise ou une MSP ne se conforme pas aux enquêtes de la CISA, l’affaire pourrait être portée devant le ministère américain de la justice (U.S. Department of Justice) pour l’application de la réglementation au moyen d’amendes, de pénalités, voire d’une incarcération.
D’autre part, les entités qui se conforment aux règles bénéficieront d’un certain niveau de protection de la part du gouvernement. En se mettant en conformité, une entreprise serait exemptée de toute poursuite civile et les informations qu’elle fournit ne pourraient pas être utilisées contre elle, même si la vulnérabilité était due à une erreur de la part de l’entreprise.
Pour mieux comprendre comment la loi pourrait affecter votre MSP, examinons cinq sections spécifiques :
Section 107. Obligation pour les agences de notifier les entités du secteur privé touchées par les incidents
Cette section décrit comment les entités concernées doivent signaler les incidents susceptibles d’affecter la confidentialité ou l’intégrité d’informations sensibles, en particulier les informations liées à une exigence légale ou réglementaire. Cette section décrit également les exigences en matière de notification des incidents susceptibles d’avoir un impact sur les systèmes d’information utilisés pour transmettre ou stocker des informations sensibles.
Section 108. Normes de sécurité mobile
Cette section concerne l’évaluation de la sécurité des applications mobiles et donne des orientations sur la tenue d’un inventaire permanent de tous les appareils mobiles utilisés par l’entreprise. Naturellement, il décrit la posture de sécurité mobile souhaitée et la manière dont les données pertinentes doivent être partagées avec la CISA au moyen de l’automatisation (le cas échéant).
Section 109. Conservation des données et des logs pour la réponse aux incidents
Les détails sont encore en cours d’élaboration, mais la loi déterminera en fin de compte les types de journaux et de données que vous devrez stocker pour les entités concernées, ainsi que la durée pendant laquelle ces données devront être conservées. Une méthodologie précise sera mise en place pour garantir que les journaux restent accessibles à certaines agences gouvernementales pour l’établissement de rapports, tout en restant confidentiels afin de protéger les informations personnelles identifiables. Les détails précis de cette section devraient être finalisés au cours des deux prochaines années.
Section 112. Programme permanent de chasse aux menaces
Cette section stipule que les entités couvertes doivent “mettre en place un programme visant à fournir des services continus de chasse aux menaces fondés sur des hypothèses sur le réseau de chaque agence”. Elles devront être en mesure de rendre compte de la nature de ces activités, des menaces ou des vulnérabilités qu’elles ont pu révéler, ainsi que des enseignements tirés de ces activités de chasse aux menaces.
La chasse aux menaces fait partie d’une approche plus proactive de la cybersécurité. Cette section montre que les législateurs ne se contentent plus de laisser les entités attendre une attaque et réagir si nécessaire. Cela crée de nombreuses opportunités pour les MSP spécialisés dans la cybersécurité qui peuvent fournir ces services de chasse aux menaces.
Section 114. Mise en œuvre d’une architecture de confiance zéro
La confiance zéro est une méthodologie qui augmente la sécurité des systèmes de réseaux internes en supposant qu’aucun logiciel, utilisateur ou donnée ne peut être considéré comme sûr ou légitime. Dans le cadre de cette approche, seules les personnes qui ont besoin d’un accès doivent pouvoir en bénéficier. Cela signifie que les utilisateurs, les administrateurs et les applications ne peuvent accéder qu’aux zones du réseau qui sont essentielles à leur rôle.
En bref, la loi stipule que les départements informatiques doivent :
- Constituer une équipe ou affecter des ressources à l’identification, à l’isolement et à l’élimination des menaces aussi rapidement que possible. Dans de nombreux cas, l’entreprise MSP ou MSSP répondra à cette suggestion en assumant cette responsabilité.
- Cesser de penser que les réseaux sont fiables, mais plutôt “assumer l’accès” et mettez toujours en œuvre des contrôles basés sur l’hypothèse de l’existence d’un risque ou d’une menace.
- Adopter le principe du moindre privilège lors de la création de programmes de sécurité de l’information et de la gestion des accès administratifs.
- Utiliser des méthodes et une architecture qui limitent les mouvements latéraux à travers un réseau, par exemple en utilisant la micro-segmentation.
Partenariat avec NinjaOne
NinjaOne est là pour aider les entreprises MSP à gérer leur activité de manière efficace et sécurisée. Des milliers d’utilisateurs font confiance à notre logiciel RMM de pointe pour gérer les complexités de la gestion informatique moderne.
Vous n’êtes pas encore partenaire de NinjaOne ? Nous voulons vous aider à développer votre entreprise ! Visitez notre blog pour des ressources MSP et des guides utiles, inscrivez-vous à Bento pour recevoir des conseils importants dans votre boîte aux lettres électronique, et participez à nos Live Chats pour des discussions en tête-à-tête avec des experts du canal.
Si vous êtes prêt à devenir un partenaire NinjaOne, planifiez une démonstration ou profitez d’un essai pour voir pourquoi plus de 17 000 clients ont déjà choisi NinjaOne comme partenaire en matière de sécurité et de gestion à distance.