Les quatre dernières années ont vu des progrès significatifs dans la lutte contre le « fléau du ransomware », comme l’a qualifié le président Biden. Mais avec le retour de Donald Trump à la Maison Blanche en janvier prochain, l’industrie de la cybersécurité se prépare à un changement de cap. Malgré l’offensive gouvernementale récente, le nombre de cyberattaques visant les organisations américaines continue d’augmenter. Alors, à quoi pourrait ressembler la politique de cybersécurité sous un second mandat Trump ?
Un premier mandat en demi-teinte sur la cybersécurité
Du point de vue de la cybersécurité, le premier mandat de Trump à la présidence a été mitigé. L’un de ses premiers décrets, bien que retardé, a obligé les agences fédérales à évaluer immédiatement leurs risques en matière de cybersécurité. Puis en 2018, l’administration Trump a dévoilé la première stratégie nationale de cybersécurité du gouvernement américain depuis plus d’une décennie, conduisant à des politiques d’attribution plus agressives et à l’assouplissement des règles permettant aux agences de renseignement de riposter aux adversaires par des cyberattaques offensives.
Fin 2018, le Congrès a adopté une loi fondant la CISA, une nouvelle agence fédérale de cybersécurité chargée de protéger les infrastructures critiques américaines. Mais deux ans plus tard, Trump a limogé par tweet son premier directeur, Chris Krebs, pour avoir déclaré que l’élection de 2020 était « la plus sûre de l’histoire américaine », contredisant les fausses allégations de Trump selon lesquelles l’élection était « truquée ».
Attendez-vous à un déluge de déréglementation
La volonté de Trump de réduire les budgets fédéraux dans le cadre de sa promesse de réduire les dépenses publiques suscite des inquiétudes quant à la possibilité pour les agences de disposer de moins de ressources pour la cybersécurité, ce qui pourrait rendre les réseaux fédéraux plus vulnérables aux cyberattaques. Et ce, à un moment où les réseaux américains sont déjà attaqués par des nations adverses, les agences fédérales mettant récemment en garde contre la « menace large et implacable » des pirates informatiques soutenus par la Chine.
Le Project 2025, un plan détaillé rédigé par l’influent think tank conservateur The Heritage Foundation, qui servirait de « liste de souhaits » de propositions à adopter au cours d’un second mandat de Trump, veut également que le président poursuive une législation qui démantellerait l’ensemble du département de la Sécurité intérieure et transférerait la CISA sous le département des Transports.
La déréglementation sera un thème dominant de l’administration Trump. Cela pourrait avoir un impact sur le rôle de la CISA dans l’élaboration des réglementations en matière de cybersécurité pour les infrastructures critiques, en mettant potentiellement l’accent sur l’autorégulation.
Lisa Sotto, avocate chez Hunton Andrews Kurth
Sotto indique également que les nouvelles directives proposées par la CISA en mars, qui obligeraient les entreprises d’infrastructure critique à divulguer les violations dans les trois jours à partir de l’année prochaine, « pourraient également être considérablement révisées pour réduire les exigences en matière de notification des incidents de cybersécurité et les obligations connexes. » Cela pourrait signifier moins de notifications obligatoires de violations de données pour les incidents de ransomware et, en fin de compte, moins de visibilité sur les paiements de rançons, que les chercheurs en sécurité considèrent depuis longtemps comme un problème.
Un œil vers plus de perturbation ?
Avec une attention moindre portée à la réglementation, un second mandat de Trump pourrait reprendre là où il s’était arrêté avec les cyberattaques offensives et adopter une approche plus agressive pour tenter de s’attaquer au problème des ransomwares. Casey Ellis, fondateur de la plateforme de sécurité participative Bugcrowd, déclare qu’il s’attend à une intensification des capacités offensives américaines en matière de cyberguerre, y compris une utilisation accrue du piratage en retour.
Trump a un historique de soutien aux initiatives qui visent un résultat dissuasif pour les ennemis de la sécurité souveraine des États-Unis. Je m’attendrais à ce que cela inclue l’utilisation de capacités offensives en matière de cyberguerre, ainsi que l’intensification des activités de type « hack-back » que nous avons vues dans le cadre du partenariat entre le FBI et le ministère de la Justice ces dernières années.
Casey Ellis, fondateur de Bugcrowd
Ellis fait référence aux efforts de perturbation du gouvernement ces dernières années contre les botnets, les sites de booters DDoS et les opérations malveillantes. « Le type d’infrastructure des ransomwares, des courtiers en accès initial, des cybercriminels et des opérations quasi-gouvernementales précédemment ciblées par le gouvernement américain continuerait d’être une priorité», a-t-il ajouté.
Cependant, Allan Liska, expert en ransomware et analyste des menaces chez Recorded Future, met en garde contre le fait qu’une grande partie du travail acharné effectué par les États-Unis au cours des quatre dernières années, y compris la création d’une coalition internationale de gouvernements s’engageant à ne pas payer la rançon d’un pirate, pourrait devenir une des premières victimes d’une déréglementation gouvernementale à grande échelle.
Le groupe de travail mondial sur les ransomwares mis en place par le président Biden a accéléré de nombreuses activités d’application de la loi parce qu’il a ouvert l’échange d’informations. Il y a de fortes chances que cela disparaisse, ou du moins que les États-Unis n’en fassent plus partie.
Allan Liska, expert en ransomware chez Recorded Future
Liska avertit également d’un risque d’augmentation des attaques par ransomware avec moins de partage de renseignements entre pays. Bien qu’il soit difficile de prédire à quoi ressembleront les quatre prochaines années de politique de cybersécurité, une chose est sûre : les attaques de ransomware ne s’arrêteront pas, quel que soit le président en fonction. Il incombera donc à l’administration Trump de trouver un équilibre entre une approche réglementaire allégée et le maintien d’une pression suffisante sur les cybercriminels pour protéger les réseaux américains critiques.
