Décret sur la cybersécurité - Principales implications pour l'industrie manufacturière
Le 16 janvier 2025, le président Joe Biden a publié le "décret sur le renforcement et la promotion de l'innovation dans la cybersécurité nationale", une directive globale conçue pour répondre à la complexité et à la sophistication croissantes des cybermenaces ciblant les États-Unis. Le décret vise à établir une stratégie nationale cohérente pour améliorer la cybersécurité dans les agences fédérales, les entreprises privées et les secteurs d'infrastructures critiques. Le décret régit un large éventail de questions essentielles, notamment de nouvelles normes de cybersécurité pour les entreprises fédérales, un meilleur partage des informations entre les secteurs public et privé, la promotion de technologies de pointe telles que la cryptographie à résistance quantique et l'intelligence artificielle (IA), et l'imposition de sanctions à l'encontre des cyberacteurs étrangers. Les initiatives du décret témoignent de la volonté de renforcer les défenses de la nation en matière de cybersécurité dans un paysage numérique en évolution rapide et intègrent des approches généralement considérées comme des pratiques exemplaires pour améliorer la cybersécurité.
Pour faire avancer les initiatives décrites dans le décret, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), une entité fédérale clé chargée de coordonner les efforts nationaux visant à protéger les infrastructures critiques, a complété la directive par des cadres de mise en œuvre détaillés et des orientations supplémentaires. L'implication de la CISA souligne son rôle crucial dans l'opérationnalisation du décret et la transformation de ses directives politiques en stratégies réalisables. En collaborant avec les leaders de l'industrie, les innovateurs technologiques et les parties prenantes du gouvernement, la CISA a relevé des défis spécifiques, notamment l'adoption d'une cryptographie résistante aux quanta, le déploiement de l'intelligence artificielle dans les défenses de cybersécurité et l'amélioration des mécanismes de partage d'informations entre les secteurs public et privé. Ces efforts visent à encourager l'innovation, à renforcer la résilience et à protéger l'écosystème numérique du pays contre les nouvelles menaces. En s'appuyant sur le décret, la CISA cherche à combler le fossé entre les objectifs politiques et les pratiques de cybersécurité sur le terrain, en veillant à ce que le dispositif de cybersécurité de la nation évolue en même temps que le paysage des menaces, qui change rapidement.
La transition de la présidence au président Donald Trump le 20 janvier 2025 a suscité des questions sur l'avenir du décret Biden. Historiquement, le président Trump a favorisé la déréglementation et, au cours de son premier mandat, a abrogé plusieurs décrets émis par les administrations précédentes. La possibilité de modifier ou d'abroger le décret est particulièrement importante pour le secteur manufacturier, qui est à la fois une composante essentielle de l'économie américaine et une cible fréquente des cyberattaques.
L'objectif de ce guide est triple. Tout d'abord, il examine les éléments clés du décret existant. Ensuite, il explore les modifications potentielles que l'administration Trump pourrait mettre en œuvre. Enfin, il fournit des conseils adaptés aux entreprises manufacturières pour naviguer dans cet environnement réglementaire et menaçant en constante évolution, en s'appuyant sur les ressources connexes précédentes publiées par Foley & Lardner et le Cybersecurity Manufacturing Innovation Institute (CyManII), qui sont référencées à la fin de cette alerte.
Principales dispositions du décret et leur impact sur l'industrie manufacturière
Normes minimales de cybersécurité pour les contractants fédéraux
L'une des principales dispositions du décret impose des mesures de base en matière de cybersécurité aux entreprises fédérales. Il s'agit notamment de sécuriser l'accès aux systèmes et aux données critiques à l'aide d'une authentification multifactorielle (MFA), d'intégrer des outils de détection et de réponse des points d'extrémité (EDR) pour surveiller, détecter et répondre aux menaces de cybersécurité, et d'utiliser le cryptage pour protéger les données sensibles à la fois pendant le transit et au repos.
Les fabricants qui fournissent des biens ou des services au gouvernement fédéral doivent se conformer à ces normes de cybersécurité pour conserver leur éligibilité aux contrats gouvernementaux. Pour de nombreuses entreprises, cela peut nécessiter des investissements substantiels dans la mise à niveau des systèmes, l'adoption de nouvelles technologies et la formation du personnel. Le non-respect de ces normes pourrait entraîner la perte de contrats fédéraux rentables et nuire à la réputation de l'entreprise.
Amélioration de l'échange d'informations entre les secteurs public et privé
Le décret ordonne aux agences fédérales d'améliorer les mécanismes de partage des renseignements sur les menaces avec les entités du secteur privé. Cette collaboration vise à fournir des informations opportunes et exploitables pour aider les entreprises à se défendre contre les cybermenaces émergentes.
Cette initiative profite au secteur manufacturier, qui est une cible privilégiée des attaques par ransomware et des vols de propriété intellectuelle. L'accès à des informations en temps réel sur les menaces permet aux fabricants d'identifier les vulnérabilités, de réagir rapidement aux incidents et d'atténuer les risques plus efficacement. Un plan d'intervention en cas de ransomware axé sur l'industrie manufacturière est disponible ici : Ransomware Playbook.
Transition vers la cryptographie résistante aux quanta
Le décret souligne la nécessité urgente d'adopter des algorithmes cryptographiques résistants à l'informatique quantique pour faire face à la menace à long terme découlant des progrès de l'informatique quantique. L'industrie manufacturière intégrant de plus en plus de technologies numériques et de systèmes interconnectés, il est essentiel pour les entreprises de protéger les dessins exclusifs, les données de la chaîne d'approvisionnement et d'autres informations sensibles. L'adoption rapide d'un chiffrement résistant aux quanta peut offrir un avantage concurrentiel et protéger les actifs critiques contre les menaces actuelles et futures. Des lignes directrices pour aborder la cryptographie résistante aux quanta sont disponibles auprès du NIST et les premières normes de cryptage post-quantique sont disponibles ici.
L'IA au service de la cybersécurité
Le décret encourage l'utilisation d'outils de cybersécurité pilotés par l'IA pour identifier et contrer les cybermenaces avancées en temps réel. L'IA est potentiellement transformatrice pour le secteur manufacturier car elle peut automatiser les stratégies de détection et de réponse aux menaces. L'IA est également un outil éprouvé pour minimiser les perturbations opérationnelles, protéger la propriété intellectuelle et garantir l'intégrité des chaînes de production. Les programmes pilotes décrits dans le décret pourraient servir de modèle pour une adoption plus large dans l'ensemble de l'industrie. L'IA pourrait accélérer considérablement la détection et l'atténuation des cyberattaques, un domaine en cours de développement par CyManII.
Sanctions à l'encontre des cyberacteurs étrangers
Le décret donne au gouvernement fédéral le pouvoir d'imposer des sanctions aux personnes et aux entités responsables de cyberattaques visant des organisations américaines. Les sanctions ont un effet dissuasif sur les cyberattaques parrainées par des États et sur l'espionnage industriel. Pour les fabricants, cette disposition offre une protection supplémentaire et souligne l'engagement du gouvernement à protéger les industries critiques.
Changements potentiels sous l'administration Trump
Déréglementation des normes de cybersécurité
L'accent mis par le président Trump sur la réduction des charges réglementaires pourrait entraîner un recul des exigences en matière de cybersécurité prévues par le décret. Cela pourrait faire passer la responsabilité de la mise en œuvre de mesures de cybersécurité robustes du gouvernement fédéral aux entreprises individuelles.
Mettre l'accent sur la résilience de la chaîne d'approvisionnement
Compte tenu de la criticité de l'industrie manufacturière américaine et de son rôle dans la compétitivité mondiale et la stabilité économique, nous prévoyons que le président Trump publiera des orientations sur la résilience de la chaîne d'approvisionnement afin d'améliorer la productivité des fabricants américains. Nous surveillerons ces changements anticipés et publierons de futures alertes le cas échéant.
Redéfinir les priorités des initiatives en matière de cybersécurité
Alors que le décret actuel met l'accent sur la cryptographie et l'IA résistantes au quantum, l'administration Trump pourrait se concentrer d'abord sur les défis immédiats en matière de cybersécurité et retarder les solutions à plus long terme qui nécessitent des investissements importants.
Moins d'importance accordée à la collaboration entre les secteurs public et privé
Les changements apportés aux initiatives d'échange d'informations pourraient réduire le soutien du gouvernement aux efforts du secteur privé en matière de cybersécurité, ce qui pourrait contraindre les fabricants à rechercher d'autres sources de renseignements sur les menaces.
Application sélective des sanctions
Une approche plus sélective des sanctions pourrait modifier l'effet dissuasif sur les cyberacteurs étrangers, ce qui pourrait accroître le risque d'attaques ciblées contre les entreprises manufacturières américaines.
Orientations pour les entreprises manufacturières
Compte tenu de l'incertitude qui entoure l'avenir du décret, les fabricants doivent adopter une approche proactive de la cybersécurité. Vous trouverez ci-dessous des mesures concrètes pour améliorer la résilience :
Renforcer les mesures essentielles de cybersécurité
- Adopter les meilleures pratiques du secteur : Assurer le déploiement de MFA, EDR, et le cryptage sur tous les systèmes critiques.
- Sécuriser les technologies opérationnelles (OT) : protéger les systèmes de contrôle industriel (ICS) et d'autres composants OT essentiels aux opérations de fabrication.
- Procéder à des évaluations régulières : Des audits réguliers peuvent aider à identifier les vulnérabilités et à prioriser les efforts de remédiation.
- Investir dans la formation des employés : Plus de 80 % des ransomwares et autres cyberattaques sont imputables à un "humain dans la boucle". La formation à la cybersécurité est donc un investissement solide pour protéger votre entreprise et ses activités.
Suivre l'évolution de la réglementation
- Restez informé : Restez informé des mises à jour du décret et des autres politiques pertinentes en matière de cybersécurité.
- Faites appel à un conseiller juridique : Consultez des experts en droit et en conformité pour évaluer l'impact potentiel des changements de politique sur les activités de votre entreprise.
Investir dans les technologies de pointe en matière de cybersécurité
- Découvrez les solutions d'IA : Tirez parti des outils d'IA pour prédire les menaces, identifier les anomalies et automatiser les réponses aux incidents.
- Passer à une cryptographie résistante aux quanta : Commencez à planifier des mises à niveau cryptographiques pour protéger les données sensibles contre les nouvelles menaces.
- Collaborer avec des pairs du secteur : Participer à des forums et à des consortiums afin d'échanger les meilleures pratiques et d'établir des protocoles de cybersécurité normalisés.
Sécuriser la chaîne d'approvisionnement
- Évaluer les risques liés aux fournisseurs : Effectuer des évaluations complètes de la cybersécurité des fournisseurs et des partenaires tiers.
- Élaborer des plans de redondance : Identifier les dépendances critiques de la chaîne d'approvisionnement et élaborer des plans d'urgence pour atténuer les perturbations potentielles.
- Chiffrer les communications : Protéger les transferts de données tout au long de la chaîne d'approvisionnement afin de minimiser le risque d'interception.
Élaborer des plans de réponse aux incidents robustes
- Établir des protocoles complets : Élaborer des plans de réponse aux incidents adaptés aux menaces spécifiques à la fabrication, telles que les attaques de ransomware sur les systèmes de production. Un exemple d'orientation et de modèle pour l'industrie est disponible dans le guide de préparation aux ransomwares de CyManII : Prevention, Mitigation, and Recovery for Manufacturers de CyManII.
- Former les employés : Proposez une formation continue en matière de cybersécurité afin d'améliorer la prise de conscience et de minimiser les erreurs humaines.
- Tester et affiner les plans : Effectuer régulièrement des simulations pour évaluer l'efficacité des stratégies de réponse et mettre en œuvre les ajustements nécessaires.
Réflexions finales
Le "décret sur le renforcement et la promotion de l'innovation dans la cybersécurité de la nation" souligne le besoin urgent de mesures de cybersécurité solides, en particulier dans le secteur manufacturier, vital pour la sécurité nationale, la stabilité économique et la compétitivité mondiale. Ce secteur est confronté à un nombre croissant de menaces sophistiquées, notamment des attaques par ransomware, des vulnérabilités dans la chaîne d'approvisionnement et le vol de propriété intellectuelle. Bien que l'avenir du décret sous l'administration Trump soit incertain, les fabricants ne peuvent pas se permettre de retarder leur action. Les cyber-attaques contre les fabricants vont continuer à augmenter en volume et en sophistication dans les années à venir. Des mesures proactives telles que la mise en œuvre de technologies de sécurité avancées, le renforcement des défenses de la chaîne d'approvisionnement et le suivi des changements réglementaires sont essentielles pour atténuer les risques et assurer la continuité opérationnelle.
En outre, le respect de normes strictes en matière de cybersécurité permet aux fabricants d'obtenir des contrats fédéraux, d'établir une relation de confiance avec les parties prenantes et d'acquérir un avantage concurrentiel sur le marché. Étant donné que les modifications éventuelles du décret pourraient conduire à un paysage réglementaire fragmenté, couvrant les niveaux fédéral, étatique et international, les fabricants doivent se préparer à diverses exigences de conformité. En accordant la priorité à la cybersécurité, le secteur manufacturier protège non seulement ses actifs et processus essentiels, mais renforce également son rôle vital dans la croissance économique et l'innovation technologique.
À propos de CyManII
Lancé en 2020 par le ministère américain de l'énergie, CyManII travaille avec l'industrie manufacturière, les instituts de recherche et les universités, ainsi qu'avec les agences du gouvernement fédéral pour développer des technologies qui favorisent la sécurité et la croissance du secteur manufacturier américain. Foley & Lardner est actuellement membre de CyManII.
Des informations supplémentaires sur les risques de cybersécurité auxquels sont confrontés les fabricants sont disponibles dans des articles antérieurs rédigés par Foley & Larder et CyManII, notamment :
Recommandations pour la gestion des menaces de cybersécurité dans le secteur manufacturier
Vous considérez la cybersécurité uniquement comme un centre de coûts ? Détrompez-vous.
Auteurs
Aaron Tantleff
Partenaire
312.832.4367
Howard Grimes
Directeur général
Cybersecurity Manufacturing Innovation Institute