La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis propose des exigences de sécurité pour empêcher les États adversaires d’accéder aux données personnelles des Américains ainsi qu’aux informations relatives au gouvernement.
Les exigences s’adressent aux entités qui effectuent des transactions restreintes impliquant des données personnelles sensibles en vrac aux États-Unis ou des données liées au gouvernement américain, en particulier si les informations sont exposées à des « pays préoccupants » ou à des « personnes couvertes ». »
La proposition est liée à la mise en œuvre du décret exécutif 14117, signé par le président Biden plus tôt cette année, visant à remédier aux graves responsabilités en matière de sécurité des données qui s’étendent ou amplifient les risques pour la sécurité nationale.
Les organisations touchées peuvent inclure des entreprises technologiques telles que des développeurs d’IA et des fournisseurs de services cloud, des entreprises de télécommunications, des organisations de santé et de biotechnologie, des institutions financières et des entrepreneurs de la défense.
Les pays préoccupants désignent généralement les pays que le gouvernement américain considère comme contradictoires ou présentant un risque pour la sécurité en raison d’antécédents de cyberespionnage, de violations de données et de campagnes de piratage parrainées par l’État.
Exigences de sécurité
CISA propose des mesures de sécurité classées en exigences organisationnelles/au niveau du système et exigences au niveau des données. Voici un résumé de certains d’entre eux:
- Maintenir et mettre à jour mensuellement un inventaire des actifs, avec des adresses IP et des adresses MAC matérielles
- Remédiez aux vulnérabilités exploitées connues dans les 14 jours
- Remédiez aux vulnérabilités critiques (de statut d’exploitation inconnu) dans les 15 jours et aux failles de gravité élevée dans les 30 jours
- Maintenir une topologie de réseau précise pour faciliter l’identification et la réponse aux incidents
- Appliquez l’authentification multifacteur (MFA) sur tous les systèmes critiques, exigez des mots de passe d’au moins 16 caractères et révoquez l’accès à toute personne immédiatement après la cessation d’emploi ou un changement de rôle dans l’organisation
- Empêcher la connexion de matériel non autorisé, tel que des périphériques USB, à des systèmes couverts
- Collectez des journaux sur les événements liés à l’accès et à la sécurité (ID / IPS, pare-feu, prévention des pertes de données, VPN, événements de connexion)
- Réduisez la quantité de données collectées ou masquez-les pour empêcher tout accès non autorisé ou toute possibilité de liaison avec des personnes américaines, et appliquez un cryptage pour protéger les données couvertes lors des transactions restreintes
- Ne stockez pas les clés de chiffrement avec les données couvertes ou dans un pays préoccupant
- Appliquer des techniques telles que le cryptage homomorphe ou la confidentialité différentielle pour empêcher la reconstruction de données sensibles à partir de données traitées
CISA est à la recherche de commentaires du public pour développer davantage la proposition dans sa forme finale. Ceux qui sont intéressés à le faire peuvent visiter regulations.gov, entrez CISA-2024-0029 dans le champ de recherche, cliquez sur » Commenter maintenant! »icône, puis entrez leurs commentaires dans les champs.