C’est un scénario catastrophique : un groupe menaçant d’un État-nation obtient un accès persistant aux systèmes informatiques qui gèrent les infrastructures critiques aux États-Unis, telles que l’approvisionnement en eau et les hôpitaux, puis menace de perturber ces infrastructures si la politique étrangère américaine interfère avec la leur.
Ce n’est pas seulement un cauchemar pour Joshua Corman et d’autres experts en cybersécurité qui travaillent avec le gouvernement fédéral. À partir de cette année, cela est devenu une réalité sous la forme de la campagne Volt Typhoon menée par le gouvernement chinois. Cette menace a été détectée et supprimée de l’infrastructure réseau, y compris des routeurs, grâce à une opération menée par le ministère de la Justice et rendue publique en janvier. Mais cela constituait un coup de semonce de la part de la Chine envers les États-Unis pour qu’ils ne s’immiscent pas dans leurs opérations contre Taiwan.
Pour Corman, co-auteur de Le manifeste robuste en 2010 et défenseur de longue date des nomenclatures logicielles (SBOM) pour la sécurité de la chaîne d’approvisionnement logicielle au sein du gouvernement fédéral, cela a également été un signal d’alarme.
“Le grand public ignore que nous sommes actuellement autant exposés aux accidents et aux adversaires, et je ne pense pas qu’il soit réconfortant que nous persistions face à la volonté de nos adversaires, qu’il s’agisse de la Chine ou de quelqu’un d’autre”, a-t-il déclaré lors d’un entretien avec Beth Pariseau de TechTarget Editorial sur le IT Ops Query Saison 2 : L’état du SecOps podcast. “Nous vivons dans des serres et les gens sont sur le point de commencer à jeter des pierres. S’il y a une guerre, ce sera un conflit hybride, et nombre de nos adversaires ont démontré qu’ils étaient à la fois disposés et capables de perturber les infrastructures critiques.”
En réponse, Corman dirige un projet pilote financé par l’Institute for Security and Technology, un groupe de réflexion à but non lucratif basé dans la région de la baie de San Francisco, où il est cadre en résidence pour la sécurité publique et la résilience. Le projet, nommé UnDisruptable27, se concentre sur les menaces de cybersécurité au lien entre l’approvisionnement en eau et l’accessibilité aux soins de santé, où la Chine reste une menace crédible. Le 27 dans le nom signifie 2027, date à laquelle les responsables américains pensent que la Chine pourrait agir contre Taiwan.
Les attaques d’autres puissances étrangères hostiles, comme la Russie ou l’Iran, pourraient survenir plus tôt. Mais il y a « une moyenne élevée pour les choses déclarées ouvertement par les dirigeants de ce pays en matière de politique publique, et pour leur mise en œuvre », a déclaré Corman.
Corman a également exprimé sa frustration face à ce qu’il considère comme des excuses avancées par les fournisseurs du secteur privé pour éviter la transparence sur le contenu de leurs logiciels. Faute de compréhension des composants open source vulnérables qui pourraient exister dans les logiciels qui gèrent leurs installations, ainsi que d’un manque de fonds et de personnel pour mettre en œuvre une meilleure cybersécurité, le plan le plus sûr pour certains opérateurs d’infrastructures critiques pourrait être de « passer à l’analogique » et de se déconnecter. systèmes numériques dans leur ensemble, a-t-il déclaré.
« Quoi qu’il en soit, nous devrions probablement faire des simulations de crise. Demandez à l’hôpital : « Combien de temps pouvez-vous rester sans eau ? ou : « Que pouvons-nous faire pour donner la priorité à l’approvisionnement en eau de l’hôpital ? » », a déclaré Corman. “Ou demandez à la communauté d’avoir quelques jours ou semaines d’eau à portée de main, ou des LifeStraws, afin qu’elle soit moins dépendante de la récupération de la ville.”
Pendant ce temps, à un niveau supérieur, Corman envisage de « donner l’exemple des pires contrevenants qui ont mis en danger la sécurité publique, économique et nationale » parmi les éditeurs de logiciels. Il n’a pas précisé ce qu’impliquaient exactement ces projets ni à quels fournisseurs il pensait.
“Nous avons détourné le regard sur les failles évitables de notre infrastructure numérique”, a-t-il déclaré. “Et quand je dis ‘Le temps est écoulé’, [and] Le SBOM arrive… Je tourne la page. Je tourne le chapitre. Et plusieurs d’entre nous vont faire preuve de beaucoup plus d’ardeur en matière de responsabilité, de responsabilité.”
Beth Pariseau, rédactrice principale pour TechTarget Editorial, est une vétéran primée du journalisme informatique couvrant DevOps. Vous avez un conseil ? Envoyez-lui un email ou contactez @PariseauTT.