Alors que le COVID-19 se propageait à travers les États-Unis au cours des dix derniers mois, une autre menace pour la sécurité et la prospérité des États-Unis avait simultanément infiltré le pays, mais plus discrètement et sous le radar: la faille logicielle massive de SolarWinds qui affectait jusqu’à 18000 organisations clientes.
SolarWinds est une «attaque de chaîne d’approvisionnement» très sophistiquée dans laquelle des pirates étrangers ont accédé à un éditeur de logiciels américain et installé des logiciels malveillants dans une mise à jour logicielle accessible aux agences gouvernementales, aux entreprises privées, aux organisations à but non lucratif et même aux grandes entreprises de sécurité comme Microsoft. À la mi-décembre 2020, le FBI, la Cybersecurity and Infrastructure Security Agency (CISA) et le Bureau du directeur du renseignement national (ODNI) ont annoncé que plusieurs agences fédérales utilisant le logiciel SolarWinds avaient subi des menaces «importantes et continues» depuis mars 2020. Ces comprennent les ministères de la Défense, de l’Énergie, du Commerce et de l’État, ainsi que d’autres organisations des secteurs public et privé, exposant efficacement les infrastructures critiques à des risques et dommages actuellement indéterminés.
Divisions dans l’approche de Trump à l’égard de la Russie et de la cybersécurité
À la suite de la découverte de SolarWinds, plusieurs hauts responsables de l’administration Trump ont désigné la Russie comme l’auteur probable, et les membres républicains du Congrès ont appelé à des mesures de représailles immédiates. Trump, en revanche, a jeté le doute sur l’implication de la Russie et a décrit la violation comme «beaucoup plus grande dans les Fake News Media qu’en réalité».
À cet égard, SolarWinds démontre une certaine dissonance entre le président Trump et une grande partie du reste du gouvernement. Plutôt que de fortifier les réseaux fédéraux à la suite de la découverte de SolarWinds, Trump a plutôt opposé son veto à la loi 2021 sur l’autorisation de la défense nationale (NDAA) pour des critiques apparemment sans rapport avec l’article 230 et les entreprises de médias sociaux. Puis, le 1er janvier, le Congrès a voté pour annuler le veto de Trump, avec environ 150 membres républicains rompant avec le président. La NDAA 2021, devenue loi, comprend des dispositions visant à créer un nouveau poste de directeur informatique à la Maison Blanche, à accorder des pouvoirs supplémentaires à CISA et à exiger un examen de la certification du modèle de maturité de la cybersécurité.
Mais la dissonance n’est pas nouvelle pour Trump: sa présidence a longtemps été caractérisée par des contradictions et des conflits avec les professionnels de la cybersécurité au sein de sa propre administration. Un exemple récent s’est produit le 12 novembre, lorsque la CISA a publié une déclaration de responsables électoraux affirmant qu’aucune preuve de fraude ou de compromis n’avait été trouvée lors des élections de 2020. Au lieu de considérer la sécurité électorale comme une réalisation, Trump a riposté à la déclaration en renvoyant le directeur de la CISA, Christopher Krebs. Même avant cela, la présidence de Trump a vu le départ de trois conseillers à la sécurité nationale et de huit conseillers adjoints à la sécurité nationale, sans parler de la directrice adjointe de la CISA Jeanette Manfra et du conseiller à la sécurité intérieure Tom Bossert.
Sous Trump, la Maison Blanche a manqué de coordination et de clarté sur ses propres politiques – un problème exacerbé par l’élimination du poste de cyber-coordinateur de la Maison Blanche. Bien que Trump ait signé des décrets exécutifs en 2017 et 2019 – l’un pour renforcer les infrastructures essentielles et les réseaux fédéraux et l’autre pour soutenir le personnel de cybersécurité au sein des agences fédérales – aucun n’est venu avec une action de suivi substantielle. La Maison Blanche a publié une cyber-stratégie nationale en 2018, mais il y avait une incertitude sur la façon dont ce document complétait la stratégie cybernétique et la vision de commandement du département de la Défense pour le cybercommandement américain, qui appelaient respectivement à des stratégies d ‘«engagement persistant» et de «défense vers l’avant» de manière proactive. arrêter les cybermenaces. Ces deux termes sont ambigus dans la pratique, en particulier sur la manière dont ils s’appliquent à la Russie – après tout, Trump a évité de critiquer la Russie, et ces stratégies n’ont pas empêché l’attaque de SolarWinds.
Un nouvel agenda de cybersécurité pour l’administration Biden
Étant donné que l’enquête SolarWinds continuera à se dérouler au cours des prochains mois, la réponse du gouvernement fédéral – et tout changement de politique associé – reviendra par défaut à l’administration Biden. Et donc, contrairement à la passivité de Trump, on peut s’attendre à des changements concrets d’approche de SolarWinds après le 20 janvier, pour trois raisons principales.
Premièrement, Biden – contrairement à Trump – a promis de faire de la réponse à SolarWinds «une priorité absolue dès notre prise de fonction» et d’investir dans l’infrastructure et le personnel de cybersécurité, d’améliorer les partenariats avec le secteur privé et de travailler avec les alliés américains pour prendre des mesures contre les parties qui portent les cyberattaques. Biden avait déjà nommé plusieurs dirigeants d’agences expérimentés dans les cyberattaques, notamment Alejandro Mayorkas pour le DHS, Avril Haines pour l’ODNI et Lloyd Austin pour le DoD, et d’autres nominations politiques sont à venir. Surtout, le directeur informatique de la Maison Blanche et le Conseil national de sécurité seront chargés d’améliorer la coordination entre les agences afin de mieux détecter et atténuer les risques futurs. Dans le cadre d’une réponse de suivi à SolarWinds, les agences fédérales peuvent également envisager de fournir des directives ou des ressources de cybersécurité mises à jour pour les entreprises privées.
Deuxièmement, le Congrès a voté pour annuler le récent veto de Trump sur la NDAA 2021 et travaillera probablement avec Biden sur une réponse de SolarWinds. Des membres des deux parties ont demandé des informations sur l’attaque SolarWinds au FBI, CISA, ODNI et DHS et ont déclaré leur intention de travailler sur une législation bipartite sur la cybersécurité en 2021. Cette dernière pourrait également être liée à des négociations sur une législation fédérale complète sur la le 116e Le Congrès exigerait des entreprises qu’elles mettent en œuvre des mesures de cybersécurité «raisonnables» (notamment le SAFE DATA Act et COPRA). D’autres domaines d’intérêt du Congrès peuvent inclure le renforcement du programme EINSTEIN du Department of Homeland Security, la poursuite du financement et la mise en œuvre du programme de diagnostic et d’atténuation continus de CISA, et la facilitation du recrutement et de la rétention du personnel informatique au sein du gouvernement fédéral.
Troisièmement, les relations des États-Unis avec la Russie changeront une fois que Trump ne sera plus au pouvoir. Les deux pays chercheront probablement à renforcer leurs mécanismes de sécurité et de dissuasion des menaces. Biden a promis d’imposer des «coûts substantiels» aux parties responsables de SolarWinds, et le nouveau chef de cabinet de la Maison Blanche, Ron Klain, a laissé entendre que de telles actions pourraient aller «au-delà des sanctions». Pendant ce temps, pour que l’administration Biden dissuade les futures cyberattaques parrainées par l’État, elle devra cultiver les relations géopolitiques existantes au-delà de la réponse à un seul cyber-incident. Une collaboration tournée vers l’avenir avec des alliés américains sur les questions de cybersécurité pourrait impliquer l’établissement de principes communs, le partage de ressources et la coopération sur des stratégies de dissuasion.
Surtout, l’administration Biden est susceptible de mettre l’accent sur une approche multiforme, bien financée et stratégique des menaces de cybersécurité qui ne font que devenir de plus en plus complexes et de plus en plus vastes. De nombreuses priorités de l’administration Biden – infrastructures, commerce international, réponse à une pandémie, déploiement du haut débit, intégrité électorale – en dépendront.
Microsoft est un donateur général et sans restriction de la Brookings Institution. Les résultats, interprétations et conclusions de cet article sont uniquement ceux de l’auteur et ne sont influencés par aucun don.
