lundi, 4 mars 2024

Feds à Microsoft: Nettoyez votre acte de sécurité – ou bien

Crédit : fourni

Le gouvernement fédéral des États-Unis, inquiet du développement continu de la cybercriminalité , les rançongiciels et des pays comme la Russie, l’Iran et la Corée du Nord piratant le gouvernement fédéral et les réseaux privés, est toujours en train de modifier considérablement sa méthode de cybersécurité.

Il ne s’appuiera plus en grande partie sur les organisations et les entreprises technologiques incitant à prendre volontairement des mesures de sécurité fondamentales telles que la correction des systèmes vulnérables pour les maintenir à jour.

Au lieu de cela, il souhaite maintenant développer des normes exigences de sécurité pour les entreprises et les entreprises technologiques et infliger des amendes à ceux qui ne s’y conforment pas.

Il n’y a pas que les affaires qui utiliser les systèmes qui pourraient éventuellement avoir besoin de suivre les réglementations. Les entreprises qui les fabriquent et les vendent, telles que Microsoft, Apple et d’autres, pourraient être tenues responsables. Les premiers indicateurs indiquent que les autorités fédérales ont déjà Microsoft dans leur ligne de mire : elles ont alerté l’entreprise que, à la minute, cela ne semble pas être la tâche.

D’abord, plongeons dans le stratégie émergente du gouvernement fédéral.

La nouvelle technique nationale de cybersécurité

Début mars, l’administration Biden a lancé une toute nouvelle stratégie nationale de cybersécurité ; cela oblige davantage l’industrie personnelle et les entreprises technologiques à suivre les meilleures pratiques de sécurité telles que les systèmes de correctifs pour lutter contre les vulnérabilités récemment découvertes et l’utilisation de l’authentification multifacteur dans la mesure du possible.

Les régulateurs américains recommandent depuis longtemps aux entreprises technologiques de le faire. La différence maintenant, selon le New York City Times, est que « la nouvelle stratégie nationale de cybersécurité conclut que de tels efforts de bonne foi sont précieux mais insuffisants dans un monde de tentatives constantes de pirates informatiques sophistiqués, souvent soutenus par la Russie, la Chine, l’Iran ou la Corée du Nord, pour entrer dans les réseaux gouvernementaux et privés vitaux. Au contraire, les entreprises doivent être nécessaires pour répondre aux normes minimales de cybersécurité. »

En théorie, si ces exigences ne sont pas remplies , des amendes seraient éventuellement appliquées. Glenn S. Gerstell, ancien avocat général de la société de sécurité nationale, en a parlé de cette manière au Times : « Dans le cybermonde, nous déclarons enfin que Ford est responsable des Pintos qui ont pris feu , parce qu’ils n’ont pas dépensé d’argent pour la sécurité. » C’est une référence à la Ford Pinto qui s’enflamme fréquemment lorsqu’elle est culbutée dans les années 1970. Cela a provoqué une série de poursuites et une montée en puissance des politiques fédérales de sécurité automobile.

Les exigences en matière de cybersécurité accompagnées d’amendes ne sont pas là. Allez dans le tout nouveau document et vous constaterez qu’en raison du fait que la toute nouvelle méthode n’est qu’un fichier de politique, elle n’a pas la morsure de la loi derrière elle. Pour qu’il entre totalement en vigueur, 2 choses doivent se produire. Le président Biden doit publier un décret exécutif pour faire respecter certaines des exigences. Et le Congrès exige d’adopter des lois pour le reste.

On ne sait pas quand les législateurs pourraient naviguer pour poursuivre la préoccupation, le cas échéant, bien que Biden puisse publier un décret exécutif pour certaines parties de celle-ci.

Tout cela peut donner l’impression que la nouvelle technique est édentée. Ce n’est pas plutôt le cas. Le gouvernement américain est la plus grande chaire d’intimidation du monde. Cela peut exercer une énorme pression sur les entreprises de services et de technologie pour qu’elles suivent la technique en les critiquant publiquement.

Cela, à son tour, pourrait amener les consommateurs à éviter les produits et services de certains services. Et, naturellement, le gouvernement peut exiger que les entreprises respectent les pratiques fondamentales de cybersécurité si elles souhaitent des accords avec le gouvernement fédéral.

Ce que cela suggère pour Microsoft

Alors, qu’est-ce que tout cela concerne Microsoft ? Abondance. Les autorités fédérales ont expliqué qu’elles pensaient que Microsoft avait encore un long chemin à parcourir avant de satisfaire aux recommandations fondamentales en matière de cybersécurité. Au moins une des principales autorités gouvernementales chargées de la sécurité a déjà ouvertement dénoncé Microsoft pour ses mauvaises pratiques de sécurité.

La directrice de la société de cybersécurité et de sécurité des infrastructures, Jen Easterly, a récemment critiqué Microsoft lors d’un discours à l’université Carnegie Mellon. Elle a déclaré qu’environ un quart des entreprises clientes de Microsoft utilisent l’authentification multifacteur, un chiffre qu’elle a qualifié de « frustrant ».

Cela ne semble peut-être pas vraiment une condamnation, mais rappelez-vous, c’est du gouvernement fédéral dont nous parlons. Il analyse ses mots avec beaucoup de soin. « Frustrant » pour eux est l’équivalent d’un « travail horrible » partout ailleurs.

Easterly a également piqué Microsoft en faisant l’éloge d’Apple, mentionnant que 95 % des utilisateurs d’iCloud ont activé l’authentification multifacteur puisqu’elle est autorisée par défaut. « Apple s’approprie les résultats de sécurité de ses utilisateurs », a-t-elle déclaré. La critique implicite est que Microsoft ne l’est pas.

Finalement, la nouvelle stratégie de cybersécurité du gouvernement fédéral pourrait être un problème sérieux pour Microsoft à moins qu’elle ne respecte les exigences recommandées.

Si des décrets exécutifs sont publiés et des lois adoptées, l’entreprise pourrait être tenue responsable si elle ne fait pas plus pour s’assurer que l’application logicielle de ses clients est fréquemment corrigée ou que ses clients utilisent l’authentification multifacteur. Il incombera à Microsoft de concevoir des systèmes qui peuvent être couverts plus rapidement, sont peut-être même auto-correctifs, ou qui utilisent l’authentification multifacteur par défaut.

Même sans lois ni décrets, l’entreprise pourrait être en inquiéter. Le gouvernement américain dépense des milliards de dollars sur les systèmes et services Microsoft chaque année, une source de revenus qui pourrait être menacée si Microsoft ne respecte pas les normes.

Certains membres du Congrès voient actuellement l’entreprise d’un œil vrillé depuis des imperfections antérieures de la cybersécurité. Deux ans plus tôt, la Cybersecurity Facilities Security Agency avait inclus 150 millions de dollars dans son budget pour payer Microsoft afin d’améliorer la sécurité du cloud.

Ces dépenses sont intervenues après « deux cyberattaques massives qui ont exploité les points faibles des éléments Microsoft pour atteindre les réseaux de systèmes informatiques d’entreprises fédérales et régionales et de dizaines de milliers d’entreprises », selon Reuters.

L’ironie de donner à Microsoft 150 millions de dollars en raison du fait que son application logicielle n’est pas sécurisée n’a pas échappé au Congrès. Le sénateur Ron Wyden (D-OR), membre du comité du renseignement, a averti : « Si le seul service à une brèche importante dans laquelle des pirates informatiques ont utilisé un défaut de style longtemps ignoré par Microsoft est de fournir à Microsoft plus d’argent, le gouvernement nécessite de réévaluer sa dépendance vis-à-vis de Microsoft. Le gouvernement ne devrait pas récompenser une entreprise qui lui a proposé une application logicielle non sécurisée avec des accords gouvernementaux encore plus importants. »

Il y a 2 ans, Microsoft a obtenu l’argent. Cependant, si la toute nouvelle technique nationale de cybersécurité du gouvernement fédéral a la moindre force, cela ne se reproduira plus.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici