Depuis sa campagne présidentielle de 2008, on savait que Barack Obama était un utilisateur des technologies de l’information plutôt averti. Ce côté technoïde le rend probablement plus sensible aux problématiques bien réelles de cybersécurité que n’importe lequel de ses prédécesseurs.
Son administration fait feu de tout bois et, après avoir émis des propositions en ce qui concerne les moyens fédéraux pour la cybersécurité (lire mon précédent billet), c’est au niveau international que les États-Unis vont tenter de structurer cette problématique. L’annonce des propositions et des initiatives, qui ne manqueront pas d’être portées dans les mois qui viennent, vient d'être faite (16 mai 2011). J’y reviendrai ultérieurement et, en attendant, un compte-rendu sans partie pris prononcé pourra être avantageusement lu ici (en anglais). On lira également avec beaucoup d'intérêt l'analyse de Cidris sur ce vaste sujet (en français).
La plupart du temps, il est vain (et parfois inutile) de comparer ce qui se fait chez l’oncle Sam avec ce qui se fait ici, en France ou en Europe, en grande partie du fait –entre autre - des écarts culturels, politiques et administratifs (le fédéralisme est le pendant du modèle jacobin et centralisateur français). Je me plais néanmoins à relayer toute initiative que j’estime intéressante et qui, moyennant des efforts d’adaptation, serait transposable et pertinente à nos contextes.
L’une d’entre elles, annoncée lundi 16 mai également, illustre le côté décentralisé (décloisonné ?) de la réponse intérieure américaine, leur ferme volonté d’avancer sur le sujet (pas d’effet d’annonce mais des mots suivis d’actions), les résultats tangibles de ces efforts engagés pour certains depuis plusieurs années. La NRECA, une association créée en 1942 qui regroupe plus de 900 acteurs de l’électricité aux USA (producteurs & municipalités de 47 états), vient de publier un outillage méthodologique unique à destination de ses membres (mais aussi au-delà).
Cette boîte à outils comprend un guide pour déployer la cybersécurité et des plans de mitigation des risques, un modèle de plan pour établir les contrôles de sécurité et une checklist de 69 questions permettant la qualification rapide des actions à mener en priorité. Ayant parcouru certains de ces documents, ils sont complets et applicables, charge seulement que ces outils soient portés et utilisés par des spécialistes de la sécurité. Pour les autres, cela demeure complexe voire compliqué (Identification des ‘assets’, analyses de risques, exigences de sécurité, contrôles, revues, etc.). Nous sommes donc en possession d'un kit outillé de description formelle et guidée de l’intégration d'un processus (cyber)sécurité au sein d’une structure industrielle de production et/ou d'exploitation.
Pour finir, on notera que ce résultat « concret » a été produit dans le cadre d’un ensemble de projets de coopération entre le CRN (Cooperative Research Network, le département R&T de la NRECA) et le département de l’Energie (DoE). Et qu’il s’appuie sur les recommandations du NIST, en particulier une « Interagency Report » (NIST-IR 7628 ‘Strategy for improving smart grid interoperability and security’) applicable aux réseaux électriques.
