87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité
Le 11 décembre 2023 à 06h54
2 min
Droit
Droit
Seules trois des 23 agences états-uniennes respectent les normes édictées dans le décret sur la cybersécurité de 2021 du président Joe Biden et dans une note ultérieure du Bureau de la gestion et du budget, relève FedScoop.
Le rapport du Government Accountability Office (GAO, l'équivalent de la Cour des comptes) relève cela dit que les 23 agences ont enregistré des progrès concernant les exigences de réponse aux incidents de cybersécurité.
Le GAO déplore néanmoins que « tant que les agences n'auront pas mis en œuvre toutes les exigences en matière de journalisation des événements, la capacité du gouvernement fédéral à détecter, enquêter et remédier pleinement aux cybermenaces sera limitée ».
Trois des 20 agences non conformes ont indiqué qu'elles devraient pouvoir répondre aux exigences en 2024, sept qu'elles devraient y parvenir « au cours de la période fiscale 2024 - 2026 », les dix restantes n'ayant pas partagé de calendrier de mises à jour.
Le GAO relève « trois principaux obstacles » empêchant les agences de « se préparer pleinement à répondre aux incidents de cybersécurité » : le manque de personnel, les défis techniques en matière de journalisation des événements, et les limites du partage d’informations sur les cybermenaces.
Les responsables informatiques fédéraux interrogés ont également cité, de leur côté, le « manque de financement », alors qu'aucun crédit supplémentaire n'avait été alloué à ces nouvelles exigences de cybersécurité.
Le 11 décembre 2023 à 06h54
Commentaires (3)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousModifié le 11/12/2023 à 08h49
Pas de bras pour réaliser et suivre la remédiation des alertes de sécurité ou la validité des pratiques avec la posture.
La journalisation absente de solutions logicielles, ou alors sont coût de stockage/analyse qui sont très élevés.
Quant au financement, c'est le nerf de la guerre. Cf tous les memes "la demande du client / le budget du client".
Le 11/12/2023 à 09h54
Ca implique aussi la création d'une équipe de cybersécurité dédiée et permanente au sein de l'agence/entreprise.
Une équipe qui a des activités transverses et le pouvoir d'approuver/bloquer une décision prise par d'autres. Ce qui rebat les cartes du pouvoir en interne... et ça, l'agence/entreprise elle n'aime pas trop avoir un nouveau intervenant à la table des décideurs.
Le 11/12/2023 à 10h36