Cyber ​​EO vise à contribuer au partage des menaces en corrigeant le langage des contrats informatiques fédéraux

  • FrançaisFrançais



  • Le président Biden en février dernier s’exprime publiquement avant de signer un décret sur l’économie. Trois mois plus tard, il signera un autre OCOM conçu pour améliorer la cyber-posture du pays. (Photo par Doug Mills-Pool / Getty Images)

    Le décret du président Joe Biden sur l’amélioration de la cybersécurité de la nation propose de nombreux objectifs ambitieux, mais parmi les passages les plus nébuleux et les plus difficiles du document se trouve une section qui appelle à la révision et à la normalisation des contrats gouvernementaux avec les fournisseurs de services informatiques et opérationnels afin de supprimer les obstacles au partage des informations sur les menaces.

    L’OE évoque des contrats avec des fournisseurs de services informatiques et ergonomiques pour exécuter «un éventail de fonctions quotidiennes sur les systèmes d’information fédéraux». L’ordonnance désigne spécifiquement les fournisseurs de services cloud parmi les entreprises ayant accès aux informations sur les cybermenaces et les incidents et un aperçu de celles-ci. Dans le même temps, les conditions ou restrictions contractuelles actuelles peuvent limiter le partage de ces informations sur les menaces ou les incidents avec les départements et agences exécutifs chargés d’enquêter ou de remédier aux cyberincidents.

    En effet, les défis en matière de passation de marchés souvent liés au Federal Acquisition Regulation, ou FAR, peuvent inclure de lourdes restrictions sur la manière dont les informations peuvent être propagées, affirment les experts. Dans d’autres cas, les contrats sont trop vagues, ce qui permet aux fournisseurs de services informatiques et OT de se décharger de leurs responsabilités en matière de partage des menaces.

    SC Media s’est entretenu avec divers experts et consultants connaissant bien l’espace des marchés publics du gouvernement fédéral pour obtenir leurs opinions sur les défauts actuels des contrats et sur la manière dont ils pourraient être modifiés pour satisfaire la commande de Biden.

    Erreur d’omission

    L’erreur d’omission peut être l’un des plus gros problèmes. Un fournisseur de services ne communiquera pas nécessairement les détails de certaines activités malveillantes dont il a connaissance, à moins qu’un contrat informatique / OT gouvernemental n’oblige explicitement l’entreprise à le faire, ou que l’agence soit directement et substantiellement affectée.

    «Du côté fédéral, il n’y a aucune obligation FAR standard pour les entrepreneurs de signaler au gouvernement les informations sur les menaces», a déclaré Alan Chvotkin, associé du cabinet d’avocats Nichols Liu, et ancien vice-président exécutif et avocat du Conseil des services professionnels.

    Bien que l’accord d’une agence fédérale individuelle avec un fournisseur de TI / OT puisse exiger la divulgation en temps opportun de certains événements de violation de données à cette agence contractante spécifique, les conditions et les stipulations peuvent varier d’un contrat à l’autre. Et même ainsi, le fournisseur de services n’est toujours pas obligé d’alerter une agence fédérale extérieure qui pourrait juger utile d’enquêter, telle que la Cybersecurity and Infrastructure Security Agency ou le FBI, a poursuivi Chvotkin.

    «Parce que vous ne demandez pas spécifiquement aux entreprises de faire certaines choses, elles indiqueront le contrat et diront:« Eh bien, ce n’est pas là, donc nous ne le faisons pas »», a déclaré Chris Cummisky, PDG de Cummisky Strategic Solutions et ancien sous-secrétaire à la gestion au Département de la sécurité intérieure sous le président Barack Obama. «Les entreprises sont heureuses d’utiliser cette omission à leur avantage pour dire: ‘Ce n’est pas là-dedans, et en plus, nous n’étions pas intéressés à la partager avec vous de toute façon.’»

    À certains égards, le FAR est «très prescriptif sur ce qui peut être demandé aux entreprises et ce qui ne le peut pas». Par conséquent, lorsque quelque chose est omis, cela est significatif du point de vue du contexte. Et comme les contrats gouvernementaux sont rédigés comme ça depuis des années, c’est devenu un langage standard qui continue de se retrouver dans plusieurs cycles de contrats. Une fois que cela se produit, «il est très difficile de forcer une entreprise à se conformer aux nouvelles exigences émergentes en matière de cybersécurité que le gouvernement peut ou non vouloir imposer à ses partenaires du secteur privé», a expliqué Cummisky.

    Cela dit, «le gouvernement s’est beaucoup amélioré au cours des dernières années, car il a eu plus d’occasions d’insérer un langage plus avantageux pour le gouvernement autour de ces types de divulgations cybernétiques – qui est une condition pour faire des affaires avec le gouvernement. , vous divulguerez, vous rendrez disponibles, des informations que nous pouvons partager avec d’autres entités », a noté Cummisky. Le décret visera à faciliter davantage ces progrès.

    Cela ne veut pas dire que les fournisseurs de services font nécessairement preuve de négligence lorsqu’ils retiennent des informations. Il peut parfois y avoir des raisons de risque et de responsabilité pour lesquelles ils ne partagent pas certains détails avec certaines agences, en particulier dans les situations où les dispositions contractuelles mettent l’accent sur la confidentialité et la discrétion du client.

    De nombreux fournisseurs de services IT et OT ont conclu des accords commerciaux séparés avec les maîtres d’œuvre, ce qui apporte «des dispositions de confidentialité qui limitent la divulgation par le fournisseur de services à quiconque autre que son client du secteur privé», a déclaré Chvotkin. «Ainsi, l’autorité et la responsabilité» d’un tel partage incombent aux clients des prestataires de services – et ces clients n’ont souvent pas les compétences nécessaires pour enquêter sur les informations sur les menaces, et doivent faire face à la fois à des problèmes de responsabilité et de relations publiques s’ils devaient signaler ces informations au gouvernement. . »

    Le gouvernement lui-même cherche de la même manière à imposer des limites au partage entre plusieurs agences. Dans un article de blog en décembre dernier, le président de Microsoft, Brad Smith, a critiqué «l’insistance du gouvernement fédéral à restreindre, par le biais de ses contrats, notre capacité à laisser même une partie du gouvernement fédéral savoir quelle autre partie a été attaquée».

    «Au lieu d’encourager un besoin de partage, cela transforme le partage d’informations en une rupture de contrat», a écrit Smith.

    Par conséquent, Cummisky a décrit la position des agences sous contrat comme suit: «Si nous voulons vous fournir ces informations, vous allez nous fournir une protection en matière de responsabilité dans nos combats avec le ministère de la Justice ou toute autre personne à qui nous devons nous adresser. faire face à de futurs litiges. »

    Définir un standard d’opérations

    Cela dit, il existe certaines circonstances dans lesquelles les entreprises peuvent partager plus librement les détails des attaques, mais souvent les définitions de ces cas ne sont pas claires ou sont trop étroites, ont déclaré les experts.

    «De nombreuses exigences en matière de rapports sont vraiment liées à des informations personnellement identifiables», a déclaré Stan Soloway, président et chef de la direction de Celero Strategies LLC et ancien sous-secrétaire adjoint à la réforme de la défense / acquisition et directeur de la réforme de la défense au département de la Défense. Si les informations personnelles ne sont pas impliquées, il est moins probable que le fournisseur de services ait l’obligation de partager généreusement les détails avec le gouvernement fédéral.

    Mais cela semble être une notion désuète, car comme le démontre l’incident du ransomware Colonial Pipeline, une cyberattaque n’a pas besoin d’impliquer des informations personnelles pour qu’elle soit suffisamment sérieuse pour mériter d’être divulguée aux agences gouvernementales.

    Par conséquent, «je pense que l’un des grands changements ici sera la mesure dans laquelle le gouvernement exigera des entrepreneurs qu’ils signalent tout type de piratage opérationnel, par opposition à ceux qui impliquent la divulgation d’informations personnelles», a déclaré Soloway.

    Cela soulève un point clé: les leaders d’opinion qui rédigent des recommandations pour un nouveau langage contractuel devront affiner les seuils de déclaration du cyber-renseignement au gouvernement. Tout comme on peut s’attendre à ce que les fournisseurs de services IT / OT partagent davantage, ils doivent également être conscients que trop de partage cause des problèmes – y compris la fatigue des alertes et le partage inutile d’informations sensibles.

    «Il y a toujours une tension entre le gouvernement et les entreprises quant à ce qu’il faut signaler, quand faire un rapport, comment faire un rapport et l’étendue du rapport. Les entreprises ont des préoccupations commerciales et propriétaires légitimes, il y a des préoccupations légitimes du gouvernement », a déclaré Soloway. «Vous pouvez imaginer les dommages qui pourraient être causés, sur le plan de la réputation et des affaires, à une entreprise qui doit à plusieurs reprises rapporter des choses vraiment, vraiment mineures, parce que la nuance est perdue dans le brassage. Et tout cela ressemble à des ratés constants », même s’il ne s’agit que de problèmes quotidiens standard.

    C’est pourquoi «le plus important est de définir les informations dont nous avons besoin», a conclu M. Soloway. «Quel type d’informations est vraiment important pour vous?»

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *