Le 16 janvier 2025, l'ancien président américain Joe Biden a publié le « Décret exécutif sur le renforcement et la promotion de l'innovation dans la cybersécurité du pays », qui développe le Décret exécutif de 2021 sur l'amélioration de la cybersécurité du pays. Biden 2025 Décret exécutif (EO) 14144 vise à renforcer les défenses des États-Unis face à l'évolution des cybermenaces. Cette directive aborde les vulnérabilités des agences fédérales, des infrastructures critiques et des réseaux du secteur privé, en soulignant la nécessité d'une meilleure responsabilisation, de la promotion de l'innovation (technologies émergentes) et du renforcement des mesures de cybersécurité.
Principaux objectifs du décret
Le nouveau décret exécutif se concentre sur plusieurs domaines critiques pour renforcer la cybersécurité nationale :
Moderniser l'infrastructure fédérale de cybersécurité
- Elle exige que les agences adoptent une authentification multifactorielle et un cryptage pour protéger les données sensibles et mettent en œuvre une architecture zéro confiance pour assurer la vérification des utilisateurs et des appareils.
- Les agences doivent migrer vers des environnements cloud sécurisés dans un délai déterminé pour renforcer la protection des données.
- Oblige des mécanismes améliorés de détection et de réponse des points d'extrémité pour améliorer détection des menaces en temps réel.
Améliorer la collaboration et les communications public-privé
- Établir des partenariats plus solides entre agences fédérales, les entreprises du secteur privé et le monde universitaire pour partager des renseignements sur les menaces.
- Encourager le développement de technologies innovantes en matière de cybersécurité grâce à des financements et des subventions gouvernementales.
Renforcer la sécurité de la chaîne d'approvisionnement
- Mettre en œuvre des mesures rigoureuses évaluations de sécurité pour les fournisseurs de logiciels et de matériel fournissant le gouvernement fédéral.
- Introduction de directives de sécurité plus strictes pour le développement de logiciels, garantissant la transparence et la résilience face aux cybermenaces.
- Elle exige des sous-traitants technologiques qu'ils fournissent la preuve de pratiques de développement de logiciels sécurisées, qu'ils offrent une visibilité sur les logiciels et qu'ils rendent les données de sécurité accessibles au public.
Établir une norme pour les réponses aux vulnérabilités et aux incidents de cybersécurité
- Établir des exigences obligatoires en matière de déclaration des incidents pour les agences fédérales et les principaux partenaires de l’industrie.
- Renforcer les capacités de la Agence de cybersécurité et de sécurité des infrastructures (CISA) coordonner les réponses nationales en matière de cybersécurité.
- Améliorer les capacités d’analyse médico-légale pour mieux comprendre et atténuer les cybermenaces.
- Créer un manuel de jeu normalisé et des définitions pour la réponse aux incidents de cybervulnérabilité dans l’ensemble des ministères et organismes fédéraux.
- Veiller à ce que toutes les agences fédérales respectent une norme de base et suivent des procédures uniformes pour identifier et atténuer les menaces.
- Fournir un modèle aux organisations du secteur privé pour aligner leurs efforts de réponse sur les meilleures pratiques fédérales.
Intégrer l'intelligence artificielle (IA) pour la cybersécurité
- Diriger la recherche, le développement et l’utilisation responsable des technologies et processus de cybersécurité basés sur l’IA pour découvrir les vulnérabilités, détecter les menaces et permettre le signalement des incidents de sécurité et des vulnérabilités de l’IA.
- Développer des partenariats publics et privés pour exploiter l’IA pour la cyberdéfense des infrastructures critiques, telles que le secteur de l’énergie.
- Établir des lignes directrices pour garantir que les technologies d'IA sont déployées de manière éthique et sécurisée.
Implications pour les entreprises et les agences gouvernementales
Le décret exécutif introduit de nouvelles exigences de conformité qui auront un impact sur les organisations travaillant avec le gouvernement fédéral :
- Une plus grande responsabilité : Les entreprises doivent mettre en œuvre des mesures de sécurité plus strictes et démontrer leur conformité aux réglementations et cadres de cybersécurité mis à jour.
- Augmentation des possibilités de financement : Les organisations qui investissent dans l’innovation en matière de cybersécurité peuvent bénéficier de subventions et de contrats fédéraux.
- Collaboration améliorée : Les entreprises du secteur privé auront davantage de possibilités de s’associer à des agences fédérales dans le cadre d’initiatives de cybersécurité.
Comment les organisations devraient-elles s'aligner sur l'EO
Pour s’aligner sur les nouveaux mandats, les organisations devraient :
- Adopter des modèles de sécurité Zero Trust : Mettre en œuvre des mesures d’authentification et de vérification continues.
- Améliorer les capacités de détection des menaces : Exploitez les outils de sécurité basés sur l’IA pour une surveillance en temps réel.
- Améliorer la sécurité de la chaîne d’approvisionnement : Effectuer des évaluations approfondies des fournisseurs de logiciels et de matériel.
- Investir dans la formation des employés : Assurez-vous que les équipes disposent des compétences et des connaissances les plus récentes en matière de cybersécurité.
- Restez conforme aux nouvelles réglementations : Examiner et mettre à jour régulièrement les politiques de sécurité pour répondre aux normes fédérales.
Comment BigID peut aligner les organisations sur le décret
La plateforme de pointe de BigID en matière de confidentialité des données, de sécurité, de conformité et d'IA permet aux organisations de répondre aux exigences strictes du décret. En exploitant les solutions complètes de BigID en matière de sécurité des données et de conformité, les organisations peuvent s'aligner efficacement sur les directives du décret, renforçant ainsi leur cybersécurité et favorisant l'innovation dans un environnement sécurisé.
- Découverte et classification complètes des données : Identifiez et classez automatiquement les données sensibles sur toutes les sources de données structurées et non structurées, à la fois dans le cloud et sur site, pour comprendre votre paysage de données.
- Gestion des risques liés aux données : Bénéficiez d'une visibilité et d'un contrôle complets au sein de votre programme de sécurité des données et de réduction des risques en identifiant, en hiérarchisant et en corrigeant les risques et vulnérabilités critiques des données par niveau de gravité en fonction de la sensibilité, de l'emplacement, de l'accessibilité, etc.
- Gestion des risques de la chaîne d'approvisionnement : Évaluez la posture de sécurité des fournisseurs tiers en automatisant les évaluations et la surveillance des fournisseurs afin de réduire les risques liés aux tiers et de vérifier que tous les fournisseurs respectent les normes de sécurité et de protection des données.
- Gestion avancée des accès et protection des données : Automatisez et rationalisez la gestion des droits d'accès aux données sensibles et à risque dans toute l'organisation pour atteindre le Zero Trust et atténuer le risque d'exposition indésirable des données.
- Enquête et réponse en cas de violation : Accélérez la réponse aux violations en identifiant les utilisateurs concernés, en réduisant les délais d'évaluation des violations, en contenant les incidents et en garantissant une résolution plus rapide pour respecter les lois sur la notification des violations et autres exigences réglementaires.
- Conformité réglementaire et rapports : Générez des rapports complets et exploitables sur la posture de risque des données, la gouvernance et la conformité, garantissant ainsi la préparation aux examens des parties prenantes.
Obtenir une démo pour découvrir comment l'approche basée sur l'IA de BigID aide les agences à optimiser la gouvernance des données, à améliorer la sécurité et à garder une longueur d'avance sur l'évolution des exigences réglementaires.
Auteur
