Infrastructure critique : actions nécessaires pour mieux sécuriser les appareils connectés à Internet
Ce que le GAO a trouvé
Les secteurs des infrastructures essentielles du pays reposent sur des systèmes électroniques, notamment l’Internet des objets (IoT) et les dispositifs et systèmes de technologie opérationnelle (OT). L’IdO fait généralement référence aux technologies et aux appareils qui permettent la connexion au réseau et l’interaction d’un large éventail d' »objets », dans des lieux tels que les bâtiments, les infrastructures de transport ou les maisons. Les OT sont des systèmes ou des dispositifs programmables qui interagissent avec l’environnement physique, tels que les systèmes d’automatisation des bâtiments qui contrôlent les machines pour réguler et surveiller la température.
Figure : Présentation de l’informatique connectée, de l’Internet des objets (IoT) et de la technologie opérationnelle
Pour aider les agences fédérales et les entités privées à gérer les risques de cybersécurité associés à l’IoT et à l’OT, la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security et le National Institute of Standards and Technology (NIST) ont publié des orientations et fourni des ressources. Plus précisément, la CISA a publié des directives, lancé des programmes, émis des alertes et des avis sur les vulnérabilités affectant les appareils IoT et OT, et établi des groupes de travail sur OT. Le NIST a publié plusieurs documents d’orientation sur l’IoT et l’OT, maintenu un centre d’excellence en cybersécurité et créé de nombreux groupes de travail. En outre, le Federal Acquisition Regulatory Council envisage de mettre à jour le Federal Acquisition Regulation afin de mieux gérer les risques de cybersécurité IoT et OT.
Des agences fédérales sélectionnées jouant un rôle de premier plan ont signalé diverses initiatives de cybersécurité pour aider à protéger trois secteurs d’infrastructure critiques avec une utilisation intensive d’appareils et de systèmes IoT ou OT.
Titre : Initiatives de cybersécurité de l’Internet des objets (IdO) ou de la technologie opérationnelle (OT) des organismes responsables du secteur
|
Secteur (agence fédérale responsable) |
Exemples d’initiatives IoT ou OT |
|---|---|
|
Énergie (Département de l’Énergie) |
Considérations pour les technologies de surveillance de la cybersécurité OT Les conseils fournissent des considérations d’évaluation suggérées pour les technologies de surveillance de la cybersécurité OT des systèmes qui, par exemple, distribuent de l’électricité via le réseau.
Cybersécurité pour l’environnement technologique opérationnel La méthodologie vise à améliorer la détection des menaces de comportement anormal dans le secteur de l’énergie dans les réseaux OT, tels que les réseaux de distribution d’électricité. |
|
Soins de santé et santé publique (ministère de la Santé et des Services sociaux) |
Conseils de pré-commercialisation pour la gestion de la cybersécurité identifie les problèmes liés à la cybersécurité que les fabricants doivent prendre en compte dans la conception et le développement de leurs dispositifs médicaux, tels que les équipements de diagnostic.
Gestion post-commercialisation de la cybersécurité des dispositifs médicaux fournit des recommandations pour gérer les vulnérabilités de la cybersécurité pour les dispositifs médicaux commercialisés et distribués, tels que les pompes à perfusion. |
|
Systèmes de transport (ministères de la Sécurité intérieure et des Transports) |
Boîte à outils de cybersécurité des transports de surface est conçu pour fournir des outils informatifs de gestion des cyberrisques et des ressources pour les systèmes de contrôle qui, par exemple, fonctionnent sur la mécanique du navire.
Directive sur l’amélioration de la cybersécurité ferroviaire de la Transportation Security Administration du Department of Homeland Security nécessite des actions, telles que la réalisation d’une évaluation de la vulnérabilité de la cybersécurité et l’élaboration de plans d’intervention en cas d’incident de cybersécurité pour les chemins de fer à haut risque. |
Source : Analyse GAO de la documentation de l’agence │ GAO-23-105327
Cependant, aucun des organismes chefs de file sélectionnés n’avait élaboré de paramètres pour évaluer l’efficacité de ses efforts. De plus, les agences n’avaient pas effectué d’évaluations des risques de cybersécurité IoT et OT. Ces deux activités sont des pratiques exemplaires. Les responsables de l’agence principale ont noté la difficulté d’évaluer l’efficacité du programme lorsqu’ils s’appuient sur des informations volontaires provenant d’entités du secteur. Néanmoins, sans tentatives pour mesurer l’efficacité et évaluer les risques de l’IdO et de l’OT, le succès des initiatives visant à atténuer les risques est inconnu.
La loi de 2020 sur l’amélioration de la cybersécurité de l’Internet des objets interdit généralement aux agences de se procurer ou d’utiliser un appareil IoT après le 4 décembre 2022, si cet appareil est considéré comme non conforme aux normes développées par le NIST. Conformément à la loi, en juin 2021, le NIST a publié un projet de document d’orientation qui, entre autres, fournit des informations aux agences, aux entreprises et à l’industrie pour recevoir les vulnérabilités signalées et aux organisations pour signaler les vulnérabilités trouvées. La loi exige également que le Bureau de la gestion et du budget (OMB) établisse un processus normalisé permettant aux agences fédérales de lever l’interdiction d’acheter ou d’utiliser des appareils IoT non conformes si les critères de renonciation détaillés dans la loi sont remplis.
Au 22 novembre 2022, l’OMB n’avait pas encore élaboré le processus obligatoire pour lever l’interdiction d’acheter ou d’utiliser des appareils IoT non conformes. Les responsables de l’OMB ont noté que le processus de dérogation nécessite une coordination et une collecte de données avec d’autres entités. Selon l’OMB, il vise novembre 2022 pour la publication d’orientations sur le processus de dérogation. Compte tenu des restrictions imposées par la loi sur l’utilisation par les agences d’appareils IoT non conformes à partir de décembre 2022, l’absence d’un processus de dérogation uniforme pourrait entraîner une série d’actions incohérentes entre les agences.
Pourquoi le GAO a fait cette étude
Les cybermenaces pour les infrastructures critiques IoT et OT représentent un défi important pour la sécurité nationale. Des incidents récents, tels que les attaques de rançongiciels ciblant les soins de santé et les services essentiels pendant la pandémie de COVID-19, illustrent les cybermenaces auxquelles sont confrontées les infrastructures critiques du pays. Le Congrès a inclus des dispositions dans la loi de 2020 sur l’amélioration de la cybersécurité de l’IoT pour que le GAO rende compte des efforts de cybersécurité de l’IoT et de l’OT.
Ce rapport (1) décrit les initiatives fédérales globales de cybersécurité IoT et OT ; (2) évalue les actions d’agences fédérales sélectionnées avec une responsabilité sectorielle principale pour améliorer la cybersécurité de l’IdO et de l’OT ; et (3) identifie les principales orientations pour aborder la cybersécurité IoT et détermine l’état du processus d’OMB pour la levée des exigences de cybersécurité pour les appareils IoT. Pour décrire les initiatives globales, le GAO a analysé les orientations pertinentes et la documentation connexe de plusieurs agences fédérales.
Pour évaluer les actions de l’agence principale, le GAO a d’abord identifié les six secteurs d’infrastructures critiques considérés comme présentant le plus grand risque de cyber-compromis. Parmi ces six, le GAO a ensuite sélectionné pour examen trois secteurs qui utilisaient largement les dispositifs et systèmes IoT et OT. Les trois secteurs étaient l’énergie, les soins de santé et la santé publique, et les systèmes de transport. Pour chacun d’entre eux, le GAO a analysé la documentation, interrogé des responsables du secteur et comparé les actions de l’agence principale aux exigences fédérales.
Le GAO a également analysé la documentation, interrogé des responsables des secteurs sélectionnés et comparé les efforts de cybersécurité de ces secteurs aux exigences fédérales. Le GAO a également interrogé des responsables de l’OMB sur l’état du processus de dérogation obligatoire.