Publié dans DroitSécurité

3

87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité

Une main tenant de gros paquets de dollars

Seules trois des 23 agences états-uniennes respectent les normes édictées dans le décret sur la cybersécurité de 2021 du président Joe Biden et dans une note ultérieure du Bureau de la gestion et du budget, relève FedScoop.

Le rapport du Government Accountability Office (GAO, l'équivalent de la Cour des comptes) relève cela dit que les 23 agences ont enregistré des progrès concernant les exigences de réponse aux incidents de cybersécurité.

Le GAO déplore néanmoins que « tant que les agences n'auront pas mis en œuvre toutes les exigences en matière de journalisation des événements, la capacité du gouvernement fédéral à détecter, enquêter et remédier pleinement aux cybermenaces sera limitée ».

Trois des 20 agences non conformes ont indiqué qu'elles devraient pouvoir répondre aux exigences en 2024, sept qu'elles devraient y parvenir « au cours de la période fiscale 2024-2026 », les dix restantes n'ayant pas partagé de calendrier de mises à jour.

Le GAO relève « trois principaux obstacles » empêchant les agences de « se préparer pleinement à répondre aux incidents de cybersécurité » : le manque de personnel, les défis techniques en matière de journalisation des événements, et les limites du partage d’informations sur les cybermenaces.

Les responsables informatiques fédéraux interrogés ont également cité, de leur côté, le « manque de financement », alors qu'aucun crédit supplémentaire n'avait été alloué à ces nouvelles exigences de cybersécurité.

3

Tiens, en parlant de ça :

Spécialiste des signalements, Point de Contact s’apprête à déposer le bilan

Silence éloquent

17:49 SocialsSociété 4
Façade du bâtiment du New York Times

OpenAI contre-attaque et accuse le New York Times d’avoir « hacké » ses produits

16:27 DroitIA 3
Photo de la Maison-Blanche

Chine, Russie… Joe Biden veut interdire l’envoi de données sensibles américaines à six pays

Fort de roquefort

15:30 DroitSécu 2
Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

3

Commentaires (3)


SebGF Abonné
Le 11/12/2023 à 08h 49
> le manque de personnel, les défis techniques en matière de journalisation des événements, et les limites du partage d’informations sur les cybermenaces (...) « manque de financement »

Soit comme dans toutes les entreprises privées également...

Pas de bras pour réaliser et suivre la remédiation des alertes de sécurité ou la validité des pratiques avec la posture.

La journalisation absente de solutions logicielles, ou alors sont coût de stockage/analyse qui sont très élevés.

Quant au financement, c'est le nerf de la guerre. Cf tous les memes "la demande du client / le budget du client".
Modifié le 11/12/2023 à 08h49
Le 11/12/2023 à 09h 54
@SebGF.

Ca implique aussi la création d'une équipe de cybersécurité dédiée et permanente au sein de l'agence/entreprise.

Une équipe qui a des activités transverses et le pouvoir d'approuver/bloquer une décision prise par d'autres. Ce qui rebat les cartes du pouvoir en interne... et ça, l'agence/entreprise elle n'aime pas trop avoir un nouveau intervenant à la table des décideurs.
SebGF Abonné
Le 11/12/2023 à 10h 36
Un changement aussi structure ne peut se faire sans le sponsoring du management et de la direction, oui.