Des talents insuffisants et des équipements obsolètes ont rendu difficile la lutte contre les vulnérabilités. Qui va le réparer ? Congrès? Beaucoup s’interrogent également sur les problèmes du Congrès.
Systèmes informatiques fédéraux vieillissants
Défauts informatiques
De nombreuses failles de cybersécurité ont été mises en évidence dans une directive de la Maison Blanche demandant aux agences fédérales de corriger des centaines de vulnérabilités en ligne. Cette directive découle du système informatique vieillissant du gouvernement, selon les chefs de technologie nationaux actuels et anciens et les analystes de l’industrie.
Mais les efforts en cours pour mettre à niveau ces systèmes ont tendance à être étouffés par les restrictions budgétaires. En outre, les pénuries chroniques de talents, ainsi que les portes tournantes des leaders des technologies de l’information des agences, jouent un rôle.
L’administration Biden a publié la directive mercredi dernier.
L’administration Biden a noté que certains des vulnérabilités proviennent d’anciennes versions de logiciels de Microsoft Corp. ou d’autres grandes entreprises technologiques. Les agences peuvent ne pas mettre à niveau ces applications et d’autres. Une protection inadéquate contre les attaques sophistiquées et organisées a ravagé les systèmes des secteurs public et privé ces dernières années.
Michael Kratsios est le directeur général et responsable de la stratégie de Scale AI Inc., une startup de gestion de données. Il était auparavant le directeur fédéral de la technologie sous le président Trump. M. Kratsios a déclaré que cette initiative est cruciale.
Cette directive s’applique à toutes les agences et départements exécutifs, à l’exception du ministère de la Défense, de la Central Intelligence Agency et du Bureau du directeur du renseignement national. Il répertorie environ 290 failles de sécurité que les professionnels de la cybersécurité ont identifiées.
Les failles informatiques posent un « risque important pour l’entreprise fédérale ».
Ordinateurs vulnérables
De nombreuses vulnérabilités ont été découvertes cette année. Y compris certains avec Microsoft Office », a déclaré Chronis Kapalidis. (Directeur du Information Security Forum basé au Royaume-Uni), une entreprise de gestion de la sécurité dont les clients comprennent des agences gouvernementales et des entreprises.
Il a dit : « On pourrait penser que la plupart des organisations ont déjà traité de cela »,
Selon la directive, la date limite pour traiter les vulnérabilités les plus graves est le 17 novembre 2021 et le 3 mai 2022, pour les moins graves.
Bien que découvert il y a des années, les délais de résolution sont encore dans six mois.
Selon le Government Accountability Office (GAO), l’unité de cybersécurité et l’informatique estiment que le logiciel utilisé dans l’ensemble du gouvernement fédéral a environ sept ans. Cela comprend un système du département des transports de 35 ans qui contient des informations sensibles sur les avions et un système du département de l’éducation de près de 50 ans qui stocke les données des prêts étudiants.
De nombreuses agences gouvernementales (dans les 50 États et dans d’autres pays) ont des systèmes informatiques plus anciens.
Cela leur rend difficile la gestion d’une infrastructure informatique complexe et coûteuse. Dans certains cas, ils s’appuient sur des processus manuels. Adelaide O’Brien, directrice de recherche à l’unité Government Insights d’International Data Corp., a déclaré.
Un porte-parole de l’agence a déclaré que le Bureau de la gestion et du budget est concerné. Cependant, ils reconnaissent que les systèmes existants posent de nombreux défis aux agences. Cela inclut des risques de cybersécurité supplémentaires.
Déploiement de correctifs
La directive aborde un large éventail de vulnérabilités informatiques. Cependant, le porte-parole a déclaré que le déploiement de correctifs pouvait être complexe lors de la prise en charge d’opérations de mission critiques avec une infrastructure existante.
Les agences fédérales doivent se conformer à la loi fédérale sur la gestion de la sécurité de l’information de 2002. Daniel Castro, vice-président de l’Information Technology and Innovation Foundation, Washington, DC, think tank, a déclaré que les agences fédérales doivent déjà respecter des normes de sécurité de l’information spécifiques en vertu de la loi fédérale. Loi sur la gestion de la sécurité de l’information.
Castro a déclaré que l’annonce de mercredi était « un peu surprenante ». Il a ajouté: « C’est assez choquant qu’il s’agisse d’une directive. » Il a déclaré : « Cela dit au personnel de cybersécurité du gouvernement fédéral qu’il doit corriger les systèmes informatiques présentant une vulnérabilité connue. » « Bien sûr qu’ils devraient. »
Il a suggéré de mettre à niveau les systèmes hérités du gouvernement plutôt que de créer de nouvelles politiques. M. Castro a déclaré que les conceptions plus récentes ont plus de fonctionnalités. Que de nombreux systèmes basés sur le cloud n’exigent pas que les utilisateurs installent les correctifs manuellement.
Stratégies numériques
Jonathan Alboum est le principal stratège en informatique numérique au gouvernement fédéral pour la société de logiciels d’entreprise ServiceNow. Il a déclaré que, malgré tous les obstacles, les agences fédérales prennent des « mesures courageuses » pour mettre à niveau les systèmes obsolètes. M. Alboum a déclaré que certaines agences utilisent la loi sur la modernisation des technologies gouvernementales, vieille de quatre ans, qui leur permet de reprogrammer les allocations budgétaires informatiques pour financer les futurs projets de modernisation.
Alboum a déclaré que la nouvelle directive émise par l’administration Biden « servira probablement à habiliter de force davantage d’agences fédérales à moderniser et à améliorer leur posture de cybersécurité ».
La sénatrice Maggie Hassan (DNH) a déclaré qu’elle était encouragée par la directive de la Maison Blanche. Il a qualifié la cybersécurité de « nouvelle frontière » dans la guerre.
« Nous savons également qu’il reste encore du travail à faire », a déclaré Mme Hassan. Elle préside le sous-comité sénatorial sur les menaces émergentes et la surveillance des dépenses.
Les contribuables ne sont pas encore allés sur le sentier de la guerre avec leurs législateurs sur cette question. Mais il ne faudra pas trop d’attaques de ransomwares supplémentaires pour déclencher une révolte populaire.
On s’attend à ce que la NSA participe également à la mise à jour des systèmes.
Crédit d’image : Michael Judkins ; Pexels; Merci!
L’article Les systèmes informatiques fédéraux vieillissants mis en lumière est apparu en premier sur zimo news.