Joe Biden a signé ce mercredi un nouveau décret qui, relève le New York Times, à l'image des normes de sécurité dans l'industrie automobile ou sanitaires dans les restaurants, imposera de nouvelles normes strictes en termes de cybersécurité aux éditeurs de logiciel mais également aux agences fédérales.

Si tous les présidents depuis George W. Bush avaient eux aussi publié de nouvelles directives pour renforcer les défenses numériques du pays, celui de M. Biden, rédigé suite à la cyberattaque SolarWinds, est « destiné à pénétrer profondément dans le secteur privé », souligne le NYT, et s'avère « beaucoup plus détaillé que les efforts passés ».

Le document de 34 pages – « anormalement long pour un décret exécutif », souligne le WaPo - oblige notamment la notification au gouvernement des cyberincidents graves dans les trois jours, appelle à la création d'un comité chargé d'examiner les incidents importants, à l'élimination des obstacles contractuels au signalement des violations à la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security, et au renforcement d'un programme permettant à une agence fédérale de tester la sécurité d'un produit avant qu'il ne soit vendu au gouvernement.

Les États-Unis vont ainsi exiger que tous les logiciels achetés par le gouvernement fédéral satisfassent, dans un délai de six mois, une série de nouvelles normes de cybersécurité. Si le mécanisme reposera sur l'autocertification, les contrevenants seront retirés des listes de fournisseurs agréés, avec le risque de pertes afférentes à la clef.

Le décret présidentiel (Executive Order en anglais) oblige également les agences fédérales à chiffrer leurs données, tant en flux qu'en stock, dans les 180 prochains jours, ainsi qu'à passer à l'authentification multi-factorielle.

Le décret organise également un processus public-privé visant à développer « des approches nouvelles et innovantes pour sécuriser le développement de logiciels », et crée un programme pilote pour créer une étiquette de type « Energy Star » afin que le gouvernement – et le grand public – « puisse rapidement déterminer si le logiciel a été développé en toute sécurité ». 

« Dans de nombreux domaines de la sécurité informatique, ce que le gouvernement fédéral fait en premier, le secteur privé suit », a déclaré Ari Schwartz, qui était un cyber-responsable de la Maison Blanche au sein de l'administration Obama, au WaPo. « Ce que le gouvernement fédéral exige ici deviendra probablement la norme pour tous les logiciels à l'avenir - non seulement aux États-Unis mais à l'échelle internationale. »