La NDAA américaine entre dans la dernière ligne droite avec d’importants amendements à la cybersécurité en attente
Fin juin, le House Armed Services Committee a approuvé sa version de la loi sur l’autorisation de la défense nationale (NDAA) pour l’exercice 2023 avec une augmentation de financement de 37 milliards de dollars par rapport à ce que le président Joe Biden avait demandé. Cette semaine, toute la Chambre débattra de l’incontournable projet de loi sur le financement.
La NDAA, promulguée chaque année pour financer l’armée américaine, a été au cours des années précédentes un véhicule par lequel une large bande de législation sur la cybersécurité a été adoptée, compte tenu des difficultés rencontrées par les projets de loi autonomes sur la cybersécurité. Selon l’organisation de recherche à but non lucratif Third Way, de 2017 à 2021, les membres du Congrès ont inclus 290 dispositions liées à la cybersécurité dans les NDAA, les deux dernières NDAA représentant 60 % de ces dispositions.
Les 179 cyberdispositions des NDAA 2020 et 2021 ont largement dépassé les 14 projets de loi sur la cybersécurité adoptés par le 116e Congrès (dont deux étaient ces NDAA). En outre, à partir de 2020 environ, le nombre de cyberdispositions non liées au ministère de la Défense (DoD) a commencé à augmenter, portant sur la sécurité de la chaîne d’approvisionnement et la politique industrielle, la protection des infrastructures critiques et la sécurité des élections. Bien qu’aucune analyse comparable ne soit disponible pour l’exercice 2022 NDAA, une analyse du texte final de ce projet de loi révèle bien plus de 30 sections distinctes consacrées à la cybersécurité.
L’exercice 2023 NDAA s’annonce également comme un véhicule législatif important en matière de cybersécurité, bien que, comme l’a voté le Comité des services armés, légèrement moins axé sur la cybersécurité que les années précédentes, avec 29 sections axées sur la cybersécurité, la plupart mais pas toutes liées à forces armées. La tâche consiste maintenant pour la Chambre à passer au crible 1 200 amendements, dont 38 concernent la cybersécurité.
Voici les principales dispositions non militaires en matière de cybersécurité dans la version du projet de loi dirigée vers le parquet de la Chambre et les amendements les plus importants en matière de cybersécurité à surveiller une fois que la poussière sera retombée après le vote du parquet.
Dispositions clés en matière de cybersécurité non militaire votées par la commission
- Rapport sur les rôles et responsabilités en matière de cybersécurité du Département de la sécurité intérieure, qui exigerait qu’un rapport soit remis au plus tard un an après la date de promulgation de la loi par le secrétaire à la Sécurité intérieure, en coordination avec le directeur de la Cybersecurity and Infrastructure Security Agency (CISA), sur les rôles et responsabilités du Department of Homeland Security (DHS) et ses composantes relatives à la réponse aux incidents cybernétiques.
- Examen des questions liées à la cybersécurité au Département du Trésor, qui obligerait le secrétaire au Trésor à effectuer un examen complet des efforts du Département du Trésor consacrés à l’amélioration de la capacité, de la préparation et de la résilience en matière de cybersécurité du secteur des services financiers. L’examen serait dû au plus tard 270 jours après la date de promulgation de la loi.
Amendements soutenus par Langevin
De nombreux amendements sur la cybersécurité en attente d’un vote à la Chambre proviennent d’un leader du Congrès sur la cybersécurité, le représentant Jim Langevin (D-RI), qui a aidé à diriger le sous-comité cyber des services armés de la Chambre pendant 11 ans et a été l’un des principaux membres de la très influente Cyberspace Solarium Commission. Langevin, qui prend sa retraite à la fin de l’année, a introduit les modifications suivantes :
- Infrastructure critique d’importance systémique, qui désigne certaines entités d’infrastructures critiques comme étant d’importance systémique pour la continuité des fonctions critiques nationales et établit des avantages et des exigences uniques pour ces entités, l’un des objectifs de la Commission Solarium. L’amendement établit en outre un conseil interinstitutions pour la coordination de la cybersécurité des infrastructures critiques afin d’harmoniser la future politique et les exigences en matière de cybersécurité élaborées par les agences fédérales. Cet amendement s’aligne sur ce que la directrice de la CISA, Jen Easterly, appelle les principales entités d’importance systémique.
- Bureau des statistiques sur la cybersécurité, un autre objectif de la Commission Solarium, obligerait la CISA à collecter, traiter, analyser et diffuser des données statistiques essentielles sur la cybersécurité, les cyberincidents et le cyberécosystème au public américain, au Congrès, aux autres agences fédérales, aux gouvernements des États et locaux et au secteur privé.
- Centre d’échange CISA sur les systèmes satellitaires commerciaux est un amendement bipartisan de Langevin et de plusieurs de ses collègues de la Chambre qui oblige la CISA à collecter, traiter, analyser et diffuser des données statistiques essentielles sur la cybersécurité, les cyberincidents et le cyberécosystème au public américain, au Congrès, à d’autres agences fédérales, étatiques et les gouvernements locaux et le secteur privé. Il exige également que le Government Accountability Office (GAO) étudie et rende compte des actions fédérales visant à soutenir la cybersécurité des systèmes satellitaires commerciaux, y compris pour les secteurs d’infrastructures critiques.
- Loi sur le leadership CISA, un autre amendement bipartite soutenu par Langevin et plusieurs collègues, établit une limite de mandat de cinq ans et précise le processus de nomination du directeur du CISA.
L’enquête SolarWinds et le corps de réserve numérique sont parmi d’autres amendements
Parmi les autres modifications notables apportées à la NDAA, citons :
- Enquête SolarWinds est un amendement parrainé par Ritchie Torres (D-NY) qui oblige le directeur de la CISA à mener une enquête sur l’incident de SolarWinds pour évaluer son impact et publier un rapport au congrès sur les conclusions et les recommandations pour combler les lacunes de sécurité, améliorer les efforts de réponse aux incidents , et prévenir les cyberincidents similaires. L’amendement demande également un rapport du GAO sur le Comité d’examen de la cybersécurité créé en vertu du décret 14028.
- Loi sur les immunités souveraines étrangères est un amendement bipartisan soutenu par près de deux douzaines de membres qui crée une exception de cyberattaque en vertu de la Foreign Sovereign Immunities Act pour protéger les ressortissants américains contre les cyberattaques parrainées par des États étrangers sur des secteurs d’infrastructures critiques.
- Une nouvelle section pour le renforcement de la cybersécurité du secteur financier La loi est un amendement soutenu par le représentant Bill Foster (D-IL) qui habiliterait la National Credit Union Administration (NCUA) à superviser les pratiques de cybersécurité des fournisseurs tiers employés par les entités relevant de leur compétence.
- Assistance à la planification de la cybersécurité SBA est un amendement bipartisan par le représentant Andrew Garbarino (D-NY) et Chrissy Houlahan (R-PA) qui oblige la Small Business Administration (SBA) à établir un programme de certification d’au moins 5% ou 10% du nombre total d’employés de un centre de développement des petites entreprises pour fournir une aide à la planification de la cybersécurité aux petites entreprises.
- Corps national de réserve numérique est un amendement bipartite soutenu par 22 membres qui établit le National Digital Reserve Corps pour permettre aux experts en cybersécurité, IA et numérique du secteur privé de travailler temporairement pour le gouvernement fédéral.
- Centre d’excellence académique en cyber-éducation Support est un amendement bipartisan qui ordonne au secrétaire à la Défense d’établir un programme de soutien financier pour la poursuite de programmes d’enseignement dans des établissements d’enseignement supérieur qui ont été désignés comme centre d’excellence académique en cyber-éducation. Les bénéficiaires de l’aide financière encourront une obligation d’emploi post-attribution pour une période égale à la durée de la bourse dans une mission de relation technologique cyber ou numérique du ministère de la Défense.
je pense un bon nombre [of the amendments] fera partie du projet de loi, a déclaré Mark Montgomery, directeur exécutif du projet CSC 2.0, successeur de l’influente Cyberspace Solarium Commission. Il pense également que lorsque le chaos du processus d’amendement se dissipera, cette année, la NDAA sera sur la bonne voie avec les projets de loi sur les dépenses de défense des années précédentes concernant le volume considérable de dispositions liées à la cybersécurité. Je pense que plus sera fait dans la NDAA que partout ailleurs combiné, dit-il.
Mary J. Hildebrand, associée, fondatrice et présidente de la pratique Confidentialité et cybersécurité chez Lowenstein Sandler, pense que la NDAA fournira probablement beaucoup de très bonnes idées. Par exemple, j’aime l’idée de créer le corps national de réserve numérique pour permettre au secteur privé, à la cybersécurité, à l’IA et aux experts du numérique de travailler temporairement pour le gouvernement fédéral, dit-elle au CSO. J’aime beaucoup ça parce que j’espère que ça donnerait [the government] accès au meilleur et au plus grand et au plus récent.
Une fois que la Chambre a adopté sa version de la NDAA de l’exercice 2023, le projet de loi se dirige vers le Sénat pour reconsolidation avec cette version du projet de loi. Une NDAA complète est attendue d’ici la fin du mois de septembre, prête pour la signature des présidents.
Copyright © 2022 IDG Communications, Inc.