Vingt

Sep 02, 2023

Note de l'éditeur : Cet article est le premier d'une série en deux parties sur les politiques de cybersécurité de la Maison Blanche. La partie 2 de cette série sera publiée dans les prochains jours.

Il y a vingt-cinq ans, le 22 mai 1998, l'administration Clinton publiait la toute première cyberpolitique nationale de la Maison Blanche : Presidential Decision 63 (PDD 63). Le 2 mars 2023, l'administration Biden a publié la dernière cyber-stratégie de la Maison Blanche, la Stratégie nationale de cybersécurité (NCS).

En comparaison avec d'autres problèmes nationaux persistants, tels que le changement climatique ou l'immigration, cet article met en évidence un large consensus en matière de cyberpolitique dans trois administrations démocrates et deux républicaines. Les nouvelles administrations n'ont pas démoli les initiatives de leurs prédécesseurs ; au contraire, chaque Maison Blanche les a construits et affinés. Il y a cependant un inconvénient à ce consensus et à ce travail d'équipe. Malgré les diverses itérations des cyber-stratégies (et les efforts de ceux qui ont travaillé à les créer et à les mettre en œuvre) au fil des ans, de nombreux cyber-problèmes sous-jacents auxquels sont confrontés les États-Unis aujourd'hui sont pires qu'ils ne l'étaient en 1998. Par conséquent, quelque chose doit changer si l'impact de cette stratégie doit être différent.

La comparaison de la nouvelle stratégie avec celles des dernières décennies met en évidence comment la cyberpolitique américaine a changé et où cette stratégie représente le plus la continuité ou le changement. Les sujets de comparaison les plus importants sont les promesses et les menaces du cyberespace, amener les marchés à assurer la sécurité, les partenariats entre les secteurs public et privé et la lutte contre les adversaires.

Concept stratégique et priorisation

Le changement le plus important dans le nouveau NCS (que j'ai aidé à rédiger en tant que délégué gouvernemental) ne concerne pas les actions qui font la une des journaux telles que la réglementation (mentionnées ci-dessous), mais celles qui définissent un concept stratégique réel plutôt qu'une simple liste d'actions nécessaires.

Les vrais concepts stratégiques doivent être simples et courts. La stratégie américaine de guerre froide était un seul mot (endiguement). La stratégie de contre-insurrection de l'armée pourrait être résumée en une phrase simple (en gros, gagner les cœurs et les esprits). De plus, un concept stratégique doit être extensible, c'est-à-dire que les praticiens peuvent prendre l'idée stratégique de base et la décompresser pour développer des objectifs plus profonds conformément au concept établi. Ils sont également tous deux niables, de sorte qu'un critique peut dire non, non pas "les cœurs et les esprits", mais "tuer les insurgés". Ensemble, ces efforts déterminent les priorités, de sorte que la bureaucratie, lorsqu'elle est confrontée à des priorités concurrentes qui améliorent la cybersécurité, peut décider dans lesquelles investir davantage et lesquelles déprécier.

Les cyberstratégies américaines passées manquaient d'un tel concept stratégique extensible et négociable. Ce n'étaient en grande partie que des listes d'actions, avec peu de liens et avec peu de moyens de hiérarchiser entre elles. Par exemple, la stratégie nationale du président George W. Bush pour sécuriser le cyberespace (2003) avait trois objectifs stratégiques - prévenir les cyberattaques, réduire la vulnérabilité nationale et minimiser les dommages et le temps de récupération - mais aucune indication sur lequel des trois était le plus important.

Le NCS innove donc en appelant à deux équipes et à une théorie du changement. Le NCS appelle d'abord à un transfert des charges des utilisateurs finaux vers les "acteurs cybernétiques les plus capables et les mieux placés" qui sont les plus à même d'apporter des améliorations à la cybersécurité à grande échelle. Plus précisément, la stratégie vise à transférer la responsabilité de la défense contre les cyberattaques des petites entreprises et des utilisateurs indépendants, par exemple, au gouvernement fédéral. Le deuxième changement appelle à un changement pour réaligner les incitations à des investissements à plus long terme. En d'autres termes, les ressources fédérales devraient être réaffectées et orientées vers l'obtention de deux guimauves demain plutôt qu'une seule aujourd'hui.

La théorie du changement qui sous-tend les deux changements ci-dessus est l'effet de levier. Le plus petit investissement de ressources, le plus petit changement, "produira les plus grands gains en matière de défense et de résilience systémique". Cet accent mis sur l'effet de levier, tiré du New York Cyber ​​​​Task Force, devrait aider à faire des choix difficiles en matière de décisions d'investissement.

Promesse et menaces du cyberespace

Les documents de la Maison Blanche des 25 dernières années présentent la tension entre la promesse des nouvelles technologies de l'information aux États-Unis et leurs périls correspondants.

Alors que le PDD 63 (1998) a lancé cette tendance, le Plan national pour la protection des systèmes d'information de 2000 l'a décrit plus clairement, en commençant par le tout premier paragraphe du "Message du président", qui est essentiellement l'élément immobilier le plus cher pour le texte dans n'importe quel document du gouvernement américain :

En moins d'une génération, la révolution de l'information et l'introduction de l'ordinateur dans pratiquement toutes les dimensions de notre société ont changé le fonctionnement de notre économie, la façon dont nous assurons notre sécurité nationale et dont nous structurons notre vie quotidienne. … Pourtant, cette nouvelle ère de promesses comporte des périls. Tous les systèmes pilotés par ordinateur sont vulnérables à l'intrusion et à la destruction. Une attaque concertée contre les ordinateurs de l'un de nos principaux secteurs économiques ou agences gouvernementales pourrait avoir des effets catastrophiques [sic].

Depuis lors, chaque président a utilisé un langage généralement similaire dans son message personnel pour couvrir ce dilemme promesse / péril afin de dynamiser l'accent mis sur la cybersécurité.

Alors que la stratégie nationale du président Bush pour sécuriser le cyberespace (2003) a formulé le problème de la même manière que la PDD 63, la revue de la cybersécurité du président Barack Obama (2009) attribue la responsabilité de la mauvaise sécurité à la «large portée d'une infrastructure numérique lâche et légèrement réglementée».

Comparativement, la National Cyber ​​Strategy du président Donald Trump (2018) a reconnu le dilemme promesse/péril, mais a mis l'accent sur les adversaires malveillants et implacables plutôt que sur la vulnérabilité américaine. Unique pour une telle stratégie, dans l'introduction de sa stratégie 2023, le président Joe Biden esquive presque la moitié « péril » du dilemme, se concentrant non pas sur les menaces mais sur les opportunités si les États-Unis réussissent en matière de sécurité :

La technologie numérique touche aujourd'hui presque tous les aspects de la vie américaine. … Cette [stratégie détaille l'approche] pour mieux sécuriser le cyberespace et garantir que les États-Unis sont dans la position la plus solide possible pour réaliser les avantages et le potentiel de notre avenir numérique.

Pendant 25 ans, les présidents ont reconnu les avantages incroyables d'une société et d'une économie connectées, mais ont également déploré les dangers. Même avec ce large consensus sur la reconnaissance du problème (en particulier par rapport, par exemple, au racisme systémique ou au changement climatique), peu de progrès semblent avoir été réalisés, car les stratégies ultérieures déplorent les mêmes préoccupations.

Faire fonctionner les marchés

La meilleure façon d'améliorer la cybersécurité est-elle de laisser les marchés fonctionner ou, si les marchés ont échoué, de réglementer ? Cela a été le débat le plus controversé de la cyberpolitique et c'est là que la stratégie Biden fait la rupture la plus nette avec les politiques précédentes de la Maison Blanche.

Jusqu'à la nouvelle stratégie, les positions des administrations précédentes sur les marchés et les réglementations sont restées généralement cohérentes depuis qu'elles ont été énoncées pour la première fois il y a 25 ans dans le PDD 63 :

Les incitations fournies par le marché sont le premier choix pour résoudre le problème de la protection des infrastructures critiques ; la réglementation ne sera utilisée que face à une défaillance matérielle du marché pour protéger la santé, la sécurité ou le bien-être du peuple américain.

La Stratégie nationale pour sécuriser le cyberespace de 2003 a réitéré cette approche dépendante du marché (ou peut-être timide vis-à-vis de la réglementation) :

La réglementation fédérale ne deviendra pas le principal moyen de sécuriser le cyberespace. Des réglementations générales imposant à toutes les entreprises la configuration de leurs systèmes d'information pourraient détourner des efforts plus fructueux en créant une approche du plus petit dénominateur commun de la cybersécurité, que la technologie en évolution marginaliserait rapidement. … Selon la loi, certaines agences de réglementation fédérales incluent déjà des considérations de cybersécurité dans leur activité de surveillance. Cependant, le marché lui-même devrait fournir l'impulsion majeure pour améliorer la cybersécurité.

Bien qu'il ait qualifié les "infrastructures numériques lâches et peu réglementées" de facteur clé de la mauvaise sécurité, l'examen d'Obama n'avait pas grand-chose à dire sur les marchés et la réglementation. Au-delà de certains appels à la déclaration obligatoire des incidents cybernétiques, l'accent a été mis en grande partie sur les incitations à améliorer le fonctionnement des marchés, et non sur la réglementation là où ils avaient échoué.

La stratégie de Trump, à son tour, a évité de se demander directement s'il y a eu une défaillance du marché pour laquelle une réglementation est nécessaire. La stratégie comporte cependant plusieurs objectifs visant à améliorer le marché, tels que la promotion « des meilleures pratiques et le développement de stratégies pour surmonter les obstacles du marché à l'adoption de technologies sécurisées » et l'amélioration de « la sensibilisation et la transparence des pratiques de cybersécurité pour créer une demande du marché pour des produits et services plus sûrs ».

En revanche, la stratégie Biden affirme au moins cinq fois que les marchés ont échoué. La toute première grande action de la stratégie, l'objectif stratégique 1.1, appelle à plus de réglementation :

Bien que les approches volontaires de la sécurité des infrastructures essentielles aient produit des améliorations significatives, l'absence d'exigences obligatoires a entraîné des résultats inadéquats et incohérents. Le marché actuel ne récompense pas suffisamment (et parfois désavantage) les propriétaires et les exploitants d'infrastructures critiques qui investissent dans des mesures proactives pour prévenir ou atténuer les effets des cyberincidents. La réglementation peut uniformiser les règles du jeu, permettant une concurrence saine sans sacrifier la cybersécurité ou la résilience opérationnelle.

Le rôle de la réglementation est l'un des rares sujets de cyberpolitique qui montre cette division partisane. Les stratégies des administrations républicaines prétendent que les nouvelles réglementations aggravent le problème ou ne les mentionnent pas du tout. Les administrations démocratiques reconnaissent que les marchés pourraient échouer, ou qu'ils ont échoué, et qu'il faut donc agir. En particulier, la différence entre les stratégies Biden et Bush pourrait difficilement être une description plus nette du problème et de la solution.

Partenariats public-privé

Toutes les stratégies depuis 25 ans ont mis en avant des partenariats public-privé. Bien que la stratégie Biden aille beaucoup plus loin que les stratégies précédentes, ce n'est qu'une différence d'échelle et de ton plutôt que de nature.

La PDD 63 a donné le ton d'un partenariat public-privé, arguant que « puisque les cibles des attaques contre nos infrastructures essentielles incluraient probablement à la fois les installations de l'économie et celles du gouvernement, l'élimination de notre vulnérabilité potentielle nécessite un effort étroitement coordonné du gouvernement et du secteur privé. »

Bien que le PDD 63 appelait à un « partenariat », les nouvelles organisations et processus qu'il appelait concernaient le partage d'informations, et non la collaboration opérationnelle, et il semblait souvent que le gouvernement fédéral se considérait comme le premier parmi ses pairs. Il s'agissait, après tout, d'un partenariat public-privé et non privé-public.

Mais le partage d'informations n'allait jamais suffire à lui seul. Les équipes qui réussissent partagent des informations alors qu'elles s'efforcent ensemble d'atteindre des objectifs communs plutôt que de se concentrer principalement sur le partage d'informations. Les stratégies ultérieures vont donc au-delà du simple partage.

L'Obama Cybersecurity Review a séparé le partage d'informations des partenariats, y compris pour la planification collective (mais pas l'action collective). Tout en diagnostiquant de nombreux problèmes liés au partage et aux partenariats et aux recommandations d'appariement, l'examen n'était pas clair sur les objectifs de ces partenariats, à part quelques exceptions telles que l'élaboration d'une image opérationnelle commune.

La cyberstratégie nationale de 2018 comportait toujours le partage d'informations et ne mentionnait que vaguement les partenariats, peut-être avec un élément condescendant. Étant donné que les entreprises des technologies de l'information et des communications (TIC) sont dans une « position unique pour détecter, prévenir et atténuer les risques avant qu'ils n'affectent leurs clients[,]… le gouvernement fédéral doit travailler avec ces fournisseurs pour améliorer la sécurité et la résilience des TIC de manière ciblée et efficace ». Cela caractérise les partenariats fédéraux lorsque le gouvernement dit au secteur privé « laissez-nous vous aider à faire votre travail » plutôt que de le reconnaître comme un véritable partenaire.

En comparaison, le ton de la stratégie nationale de cybersécurité de Biden a été donné très tôt par Chris Inglis, le premier directeur national de la cybersécurité, qui avait un point de vue radicalement différent. Il a compris que la relation public-privé s'étendait bien au-delà du simple partage d'informations et dans l'action collective - pas seulement des partenaires mais des alliés. Il était d'avis que le gouvernement américain devait se tenir « au coude à coude » avec le secteur privé afin que les adversaires doivent « nous battre tous pour battre l'un d'entre nous ». La stratégie appelle donc à un "" réseau de réseaux qui renforce la connaissance de la situation et conduit une action collective et synchronisée parmi les cyber-défenseurs ".

Construire vers cet objectif plus large de collaboration opérationnelle puise dans une force américaine durable : exploiter le secteur privé. Aucun des adversaires autoritaires de l'Amérique, qui étouffent ou contrôlent leur secteur privé, ne peut égaler cet avantage. Les entreprises de TIC apportent une expertise unique en la matière, une agilité et la capacité de transformer directement le cyberespace pour améliorer la sécurité. En tant qu'entités privées, elles peuvent prendre toutes les mesures qu'elles souhaitent, tant qu'elles ne sont pas spécifiquement interdites par la loi, à l'opposé de ce qui s'applique au gouvernement américain, qui ne peut faire que ce qui est spécifiquement autorisé. Malgré des poches d'excellence, le gouvernement n'a généralement pas la capacité d'égaler ces atouts dont jouit le secteur privé.

Au contraire, le gouvernement américain a d'autres atouts : une légitimité présumée ; des budgets conséquents et, avec cela, la capacité de rester concentré sur les problèmes pendant des années même si ce n'est pas rentable ; et l'accès à d'autres leviers de pouvoir, y compris les plus coercitifs, jusqu'aux arrestations et à l'usage de la force meurtrière.

L'effort pour aligner ces forces prendra des années, voire des décennies, car le gouvernement américain et le secteur privé travaillent avec des méthodes différentes et à des vitesses différentes. Même lorsque leurs intérêts s'alignent, il est toujours difficile de se synchroniser.

Contrer les adversaires

Les premières stratégies n'incluaient aucune action spécifique pour contrer les adversaires; ils se sont concentrés presque entièrement sur des actions défensives, à l'exception peut-être de quelques références à la dissuasion. Au fil du temps, les stratégies successives ont ajouté plus d'actions pour faire face aux attaquants.

La principale mention des adversaires dans le PDD 63 était assez limitée et passive : étant donné que "les futurs ennemis… peuvent chercher à nous nuire de manière non traditionnelle", le gouvernement doit améliorer "la collecte et l'analyse des informations sur la menace étrangère de guerre cyber/information pour notre infrastructure critique". Il n'y avait aucune mention de perturbation ou de démantèlement de leur infrastructure. En effet, le Département de la Défense est à peine mentionné, et la dissuasion était une mission du Département de la Justice pour "répondre à la délinquance informatique des mineurs".

La stratégie de Bush de 2003 avait des objectifs légèrement plus actifs, tels que "[r]éduire les menaces et dissuader les acteurs malveillants grâce à des programmes efficaces pour les identifier et les punir" et appelait à "contrer" les attaques, éventuellement en développant de nouvelles capacités pour "dissuader ceux qui ont les capacités et l'intention de nuire à nos infrastructures critiques". Même si cette stratégie comprenait la première déclaration cyber déclarative (qu'en cas d'attaque, « les États-Unis se réservent le droit de réagir de manière appropriée »), la lutte contre les adversaires n'était tout simplement pas un objectif majeur de la stratégie.

L'approche plus musclée de l'administration Bush est apparue plus tard, dans la Comprehensive National Cyber ​​Initiative (CNCI) classifiée de la National Security Presidential Directive-54/Homeland Security Presidential Directive-23. Publié en janvier 2008, moins de deux semaines avant l'investiture d'Obama, le CNCI incluait le premier appel connu de la Maison Blanche à utiliser les cyber-forces offensives à des fins défensives, appelant à une "stratégie globale et coordonnée pour dissuader les interférences et les attaques dans le cyberespace" et un plan coordonné "pour la coordination et l'application de capacités offensives pour défendre les systèmes d'information américains". Une fois le président Obama au pouvoir, son administration a adopté la stratégie.

La stratégie de l'administration Trump en 2018 était nettement plus axée sur les adversaires. Par exemple, la sous-section "comment nous en sommes arrivés là" de l'introduction se concentre sur les attaques malveillantes des adversaires, plutôt que sur les vulnérabilités des États-Unis, comme c'était le cas dans les stratégies des administrations précédentes. En conséquence, il existe un sous-pilier consacré aux tâches visant à "[i] identifier, contrer, perturber, dégrader et dissuader les comportements dans le cyberespace qui sont déstabilisants et contraires aux intérêts nationaux, tout en préservant la supériorité des États-Unis dans et à travers le cyberespace. "

Alors que la stratégie Biden conserve une concentration plus traditionnelle sur la vulnérabilité des États-Unis en tant que principal problème à résoudre, elle va plus loin que toute stratégie antérieure en appelant à des adversaires activement en compétition. Alors que la stratégie Trump - qui est ostensiblement plus axée sur la perturbation des adversaires - ne l'inclut que comme sous-pilier, consacrant une page sur 40 au sujet, la stratégie Biden l'élève à un pilier complet et lui consacre cinq pages et demie sur 35.

Le NCS de Biden engage les États-Unis à :

utiliser tous les instruments du pouvoir national pour perturber et démanteler les acteurs de la menace dont les actions menacent nos intérêts[.] … Notre objectif est de rendre les acteurs malveillants incapables de monter des campagnes cyber-activées soutenues qui menaceraient la sécurité nationale ou la sécurité publique des États-Unis.

La lutte contre les adversaires, contrairement à l'utilisation de la réglementation, est passée d'une action classifiée parmi d'autres à une sagesse acceptée et à une priorité politique bipartite.

Debout sur les épaules

La stratégie 2023 fait encore une chose bien, et différemment : elle dit spécifiquement qu'elle est enracinée dans les nombreuses stratégies républicaines et démocrates précédentes de la Maison Blanche, y compris celles résumées ci-dessus. La stratégie "remplace la Stratégie nationale de cybersécurité de 2018 mais poursuit bon nombre de ses priorités" et "poursuit et fait évoluer bon nombre des efforts stratégiques initiés" par la CNCI.

Non seulement cela indique du respect pour les membres du personnel de la Maison Blanche qui sont venus avant, mais cela reconnaît également que les défis sont de longue date. Les auteurs de ces premières stratégies ne s'attendaient pas à ce que le succès prenne plus de 25 ans (PDD 63 appelait au succès "au plus tard dans cinq ans à compter d'aujourd'hui"), pourtant nous y sommes.

Avec les changements importants apportés à la Stratégie nationale de cybersécurité 2023 et au plan de mise en œuvre actuellement en cours d'élaboration au Bureau du directeur national de la cybersécurité, nous espérons que le succès ne prendra pas encore 25 ans.