Une feuille de route bipartite en matière de cyberpolitique pour la prochaine administration présidentielle recommande de renforcer le Bureau du directeur national de la cybersécurité pour aider à renforcer la coordination du gouvernement sur les menaces pressantes en matière de cybersécurité.
Le rapport, publié la semaine dernière par l’Institut McCrary de l’Université d’Auburn, comprend un ensemble complet de recommandations en matière de cyberpolitique pour la prochaine administration présidentielle. Ils ont été élaborés par 40 anciens responsables des administrations démocrate et républicaine.
“Peut-être que je suis pollyaniste, mais je suis optimiste que cette question continuera à évoluer de la même manière, quelle que soit la direction que prend le pays”, a déclaré Frank Cilluffo, directeur de l’Institut McCrary, dans une interview.
« En fait, nous avons pris du recul : qu’est-ce qui fonctionne, qu’est-ce qui ne fonctionne pas, et où devons-nous aller à partir de là, et où devons-nous redoubler d’efforts ? il a ajouté.
Le groupe a formulé des dizaines de recommandations couvrant huit « thèmes critiques », allant de l’harmonisation de la cyberréglementation au développement de la main-d’œuvre.
Mais en ce qui concerne les machinations internes du gouvernement fédéral, le rapport se concentre sur le renforcement de la coordination intergouvernementale pour « briser les silos, améliorer le partage d’informations et créer des mécanismes pour des réponses rapides et coordonnées aux cybermenaces ».
La clé de ce succès réside dans le nouveau bureau du directeur national de la cybersécurité au sein du bureau exécutif du président. Créé par la loi en 2021, l’ONCD conseille le président sur la politique et la stratégie de cybersécurité.
Le groupe de travail a estimé que le rôle de l’ONCD était « crucial », mais que pour « remplir son mandat efficacement, l’ONCD a besoin de pouvoirs et de ressources renforcés ».
Le rapport recommande de le faire en établissant le bureau comme « principal coordinateur de la réponse aux cyberincidents » afin qu’il puisse organiser les efforts de la National Security Agency, du ministère de la Défense, de la Cybersecurity and Infrastructure Security Agency, du FBI et des agences de gestion des risques sectoriels ( SRMA).
“La raison pour laquelle nous avons besoin de la NCD est que les problèmes de cybersécurité touchent tellement de départements et d’agences différents qu’il faut une fonction à la Maison Blanche pour les rassembler tous”, Michael Daniel, membre du groupe de travail et ancien coordinateur cyber du NCD. » a déclaré le Conseil de sécurité nationale de l’administration Obama dans une interview.
Le groupe de travail suggère que la prochaine administration « dote l’ONCD de pouvoirs supplémentaires pour piloter la coordination inter-agences, y compris la capacité d’influencer les allocations budgétaires pour les initiatives de cybersécurité entre les agences ».
« Mettre en œuvre des examens de portefeuille intégrés dirigés par l’ONCD pour évaluer et coordonner les investissements en matière de cybersécurité au sein du gouvernement fédéral, en garantissant la participation du Bureau de la gestion et du budget », poursuit le rapport. « Créer un mécanisme formel permettant à l’ONCD de s’engager et de coordonner les efforts des SRMA, favorisant une approche plus cohérente face aux défis de cybersécurité spécifiques au secteur. »
Daniel a déclaré que le rôle de l’ONCD devrait couvrir toute la gamme des questions de cybersécurité, y compris les ressources, les autorités, la main-d’œuvre et la stratégie. Le groupe de travail recommande également que, dans les 100 premiers jours de la nouvelle administration, l’ONCD mène un effort « pangouvernemental » pour harmoniser les réglementations en matière de cybersécurité.
“Nous devons nous assurer que ce bureau peut fonctionner et qu’il peut faire le travail que je considère comme un rôle d’organisation, de formation et d’équipement”, a déclaré Daniel. « Le rôle du NCD est de veiller à ce que le gouvernement fédéral puisse mener à bien sa cyber-mission. »
Rôles SRMA
Mais le rapport ne se concentre pas uniquement sur le rôle de l’ONCD. Il recommande également à la prochaine administration de renforcer les agences « SRMA » qui supervisent chacune des secteurs d’infrastructures critiques distincts.
« Établir des lignes de responsabilité claires au sein des SRMA, en garantissant que ceux qui détiennent le pouvoir de décision ont également la capacité d’influencer l’allocation des ressources et la mise en œuvre des mesures de cybersécurité », recommande le rapport. « Développer des mesures et des indicateurs de performance clairs pour évaluer l’efficacité des SRMA dans l’amélioration de la posture de cybersécurité de leurs secteurs. »
Le groupe de travail suggère également que l’administration Biden a raté une occasion avec le mémorandum sur la sécurité nationale-22 de réviser la manière dont les agences abordent les infrastructures critiques, ainsi que la possibilité d’ajouter de nouveaux secteurs, tels que le secteur spatial.
« NSM-22 a maintenu une structure sectorielle qui est probablement obsolète et a raté une occasion de mieux s’harmoniser avec les alliés de l’OTAN », indique le rapport. « La structure du secteur doit être fraîchement évaluée sur la base d’un ensemble de critères définis et transparents pour capturer l’environnement des cyber-risques.
Renforcer la CISA
Le rapport recommande en outre de renforcer la CISA. La cyberagence coordonne les opérations de cybersécurité entre les agences civiles. Il sert également de « coordinateur national » pour les infrastructures critiques.
La CISA s’est développée à la fois en termes d’autorité et de ressources tout au long de l’administration Biden. Mais le groupe de travail a constaté que « des défis subsistent en termes de son autorité à contraindre à l’action d’autres agences fédérales, de sa capacité à rationaliser et/ou à intégrer l’engagement du gouvernement fédéral auprès du secteur privé, et de sa propre capacité, compte tenu des limitations de ressources de longue date, à s’engager efficacement avec le secteur privé. »
Le renforcement de la CISA impliquera de fournir « un financement adéquat aux systèmes opérationnels et aux
offres de services gérés pour les agences fédérales », ainsi que de clarifier les rôles et responsabilités de l’agence « pour éviter la duplication avec d’autres agences tout en garantissant qu’elle dispose des autorités, des ressources et du personnel nécessaires à sa mission », selon le groupe de travail.
Daniel a déclaré que la CISA devrait jouer un rôle beaucoup plus important dans la gestion de la cybersécurité au sein des agences civiles fédérales, à l’instar de la manière dont l’Administration des services généraux fournit des produits et des technologies à l’ensemble du gouvernement fédéral.
« Une partie de l’accord pour les agences est : « Hé, vous pouvez vous débarrasser de quelque chose que vous n’aimez pas, ce qui concerne un grand nombre de cyber-éléments », a déclaré Daniel. « En échange, vous pouvez concentrer votre temps et vos efforts sur les applications qui comptent pour votre agence, sur des choses qui comptent pour votre personnel, sur des choses qui vous aident réellement à mieux accomplir votre mission, au lieu de vous soucier de ces problèmes informatiques et de cybersécurité. cela sera toujours un problème de second ordre pour vous.
Copyright © 2024 Réseau d’information fédéral. Tous droits réservés. Ce site Web n’est pas destiné aux utilisateurs situés dans l’Espace économique européen.