87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité

Seules trois des 23 agences états-uniennes respectent les normes édictées dans le décret sur la cybersécurité de 2021 du président Joe Biden et dans une note ultérieure du Bureau de la gestion et du budget, relève FedScoop.

Le rapport du Government Accountability Office (GAO, l'équivalent de la Cour des comptes) relève cela dit que les 23 agences ont enregistré des progrès concernant les exigences de réponse aux incidents de cybersécurité.

Le GAO déplore néanmoins que « tant que les agences n'auront pas mis en œuvre toutes les exigences en matière de journalisation des événements, la capacité du gouvernement fédéral à détecter, enquêter et remédier pleinement aux cybermenaces sera limitée ».

Trois des 20 agences non conformes ont indiqué qu'elles devraient pouvoir répondre aux exigences en 2024, sept qu'elles devraient y parvenir « au cours de la période fiscale 2024-2026 », les dix restantes n'ayant pas partagé de calendrier de mises à jour.

Le GAO relève « trois principaux obstacles » empêchant les agences de « se préparer pleinement à répondre aux incidents de cybersécurité » : le manque de personnel, les défis techniques en matière de journalisation des événements, et les limites du partage d’informations sur les cybermenaces.

Les responsables informatiques fédéraux interrogés ont également cité, de leur côté, le « manque de financement », alors qu'aucun crédit supplémentaire n'avait été alloué à ces nouvelles exigences de cybersécurité.