CM – Décret exécutif sur l’amélioration de la cybersécurité nationale

0
26

Par l’autorité qui m’est conférée en tant que Président par la Constitution et les lois des États-Unis d’Amérique, il est ordonné comme suit:

Section 1. Politique. Les États-Unis sont confrontés à des cyber-campagnes malveillantes persistantes et de plus en plus sophistiquées qui menacent le secteur public, le secteur privé et, en fin de compte, la sécurité et la vie privée du peuple américain. Le gouvernement fédéral doit redoubler d’efforts pour identifier, dissuader, se protéger, détecter et répondre à ces actions et acteurs. Le gouvernement fédéral doit également examiner attentivement ce qui s’est produit lors de tout cyberincident majeur et appliquer les leçons apprises. Mais la cybersécurité nécessite plus qu’une action gouvernementale. La protection de notre nation contre les cyber-acteurs malveillants exige que le gouvernement fédéral s’associe au secteur privé. Le secteur privé doit s’adapter à un environnement de menaces en constante évolution, veiller à ce que ses produits soient construits et fonctionnent en toute sécurité, et s’associer avec le gouvernement fédéral pour favoriser un cyberespace plus sûr. En fin de compte, la confiance que nous accordons à notre infrastructure numérique doit être proportionnelle à la fiabilité et à la transparence de cette infrastructure et aux conséquences que nous subirons si cette confiance est déplacée.

Des améliorations progressives ne nous donneront pas la sécurité dont nous avons besoin; au lieu de cela, le gouvernement fédéral doit faire des changements audacieux et des investissements importants afin de défendre les institutions vitales qui sous-tendent le mode de vie américain. Le gouvernement fédéral doit mettre à profit toute l’étendue de ses pouvoirs et de ses ressources pour protéger et sécuriser ses systèmes informatiques, qu’ils soient basés sur le cloud, sur site ou hybrides. L’étendue de la protection et de la sécurité doit inclure les systèmes qui traitent les données (technologie de l’information (TI)) et ceux qui exécutent les machines vitales qui garantissent notre sécurité (technologie opérationnelle (OT)).

La politique de mon administration est que la prévention, la détection, l’évaluation et la correction des cyberincidents sont une priorité absolue et sont essentielles à la sécurité nationale et économique. Le gouvernement fédéral doit montrer l’exemple. Tous les systèmes d’information fédéraux doivent respecter ou dépasser les normes et exigences de cybersécurité énoncées et émises en vertu de la présente ordonnance.

(a) Le gouvernement fédéral passe des contrats avec des fournisseurs de services informatiques et ergonomiques pour exécuter un éventail de fonctions quotidiennes sur les systèmes d’information fédéraux. Ces fournisseurs de services, y compris les fournisseurs de services cloud, ont un accès unique et un aperçu des informations sur les cybermenaces et les incidents sur les systèmes d’information fédéraux. Dans le même temps, les conditions contractuelles ou les restrictions actuelles peuvent limiter le partage de ces informations sur les menaces ou les incidents avec les départements et agences exécutifs (agences) chargés d’enquêter sur les cyberincidents ou d’y remédier, tels que la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et d’autres éléments de la communauté du renseignement (IC). L’élimination de ces barrières contractuelles et l’augmentation du partage d’informations sur ces menaces, incidents et risques sont des étapes nécessaires pour accélérer les efforts de dissuasion, de prévention et de réponse aux incidents et pour permettre une défense plus efficace des systèmes des agences et des informations collectées, traitées et maintenues. par ou pour le gouvernement fédéral.

b) Dans les 60 jours suivant la date de la présente ordonnance, le directeur du Bureau de la gestion et du budget (OMB), en consultation avec le secrétaire à la Défense, le procureur général, le secrétaire à la Sécurité intérieure et le directeur du renseignement national , examinera les exigences contractuelles du Federal Acquisition Regulation (FAR) et du Defense Federal Acquisition Regulation Supplement ainsi que la langue de passation des contrats avec les fournisseurs de services informatiques et OT et recommandera des mises à jour de ces exigences et de ces termes au Conseil des FAR et aux autres agences appropriées. Les recommandations doivent inclure des descriptions des entrepreneurs devant être couverts par la langue du contrat proposé.

(c) Le libellé du contrat recommandé et les exigences décrites au paragraphe (b) du présent article doivent être conçus de manière à garantir que:

(i) les fournisseurs de services collectent et conservent les données, les informations et les rapports relatifs à la prévention, à la détection, à la réponse et aux enquêtes des événements de cybersécurité sur tous les systèmes d’information qu’ils contrôlent, y compris les systèmes exploités pour le compte des agences, conformément aux exigences des agences;

(ii) les fournisseurs de services partagent ces données, informations et rapports, en ce qui concerne les cyberincidents ou les incidents potentiels concernant toute agence avec laquelle ils ont passé un contrat, directement avec cette agence et toute autre agence que le directeur de l’OMB, en consultation avec le secrétaire à la Défense, le procureur général, le secrétaire à la Sécurité intérieure et le directeur du renseignement national jugent approprié, conformément aux lois, règlements et politiques applicables en matière de protection de la vie privée;

(iii) les fournisseurs de services collaborent avec les agences fédérales de cybersécurité ou d’enquête dans leurs enquêtes et réponses aux incidents ou incidents potentiels sur les systèmes d’information fédéraux, y compris en mettant en œuvre des capacités techniques, telles que la surveillance des réseaux pour détecter les menaces en collaboration avec les agences qu’ils soutiennent, au besoin; et

(iv) les fournisseurs de services partagent des informations sur les cybermenaces et les incidents avec les agences, le faisant, dans la mesure du possible, dans des formats reconnus par l’industrie pour la réponse aux incidents et la correction.

(d) Dans les 90 jours suivant la réception des recommandations décrites au paragraphe (b) de la présente section, le Conseil des FAR examinera le texte et les conditions du contrat proposé et, le cas échéant, publiera pour commentaires du public les mises à jour proposées des FAR.

(e) Dans les 120 jours suivant la date de la présente ordonnance, le secrétaire à la sécurité intérieure et le directeur de l’OMB prendront les mesures appropriées pour s’assurer, dans la mesure du possible, que les fournisseurs de services partagent des données avec les agences, la CISA et le FBI, le cas échéant. nécessaire pour que le gouvernement fédéral réponde aux cybermenaces, incidents et risques.

(i) les fournisseurs de services de technologies de l’information et de la communication (TIC) qui concluent des contrats avec des agences doivent signaler rapidement à ces agences lorsqu’ils découvrent un cyberincident impliquant un produit logiciel ou un service fourni à ces agences ou impliquant un système de support pour un produit logiciel ou un service fournis à ces agences;

(ii) les fournisseurs de services de TIC doivent également rendre compte directement à la CISA chaque fois qu’ils font rapport en vertu de la sous-section (f) (i) de cette section aux agences de la branche exécutive civile fédérale (FCEB), et la CISA doit collecter et gérer ces informations de manière centralisée; et

(iii) les rapports relatifs aux systèmes de sécurité nationale, tels que définis à la section 10 (h) de la présente ordonnance, doivent être reçus et gérés par l’organisme approprié comme déterminé en vertu de la sous-section (g) (i) (E) de la présente section.

(g) Pour mettre en œuvre la politique énoncée au paragraphe (f) de cette section:

(i) Dans les 45 jours suivant la date de la présente ordonnance, le secrétaire à la Sécurité intérieure, en consultation avec le secrétaire à la Défense agissant par l’intermédiaire du directeur de l’Agence de sécurité nationale (NSA), du procureur général et du directeur de l’OMB, doit: recommander au Conseil des FAR un langage contractuel qui identifie:

(A) la nature des cyberincidents qui doivent être signalés;

(B) les types d’informations concernant les cyberincidents qui doivent être signalés pour faciliter une réponse et une remédiation efficaces aux cyberincidents;

(C) des protections appropriées et efficaces de la vie privée et des libertés civiles;

(D) les délais dans lesquels les contractants doivent signaler les cyber-incidents sur la base d’une échelle de gravité graduée, les rapports sur les cyber-incidents les plus graves ne devant pas dépasser 3 jours après la détection initiale;

(E) les exigences en matière de rapports sur les systèmes de sécurité nationale; et

(F) le type de contractants et de prestataires de services associés à couvrir par la langue du contrat proposé.

(ii) Dans les 90 jours suivant la réception des recommandations décrites au paragraphe (g) (i) de la présente section, le Conseil des FAR examinera les recommandations et publiera pour commentaires publics les mises à jour proposées des FAR.

(iii) Dans les 90 jours suivant la date de la présente ordonnance, le secrétaire à la Défense agissant par l’intermédiaire du directeur de la NSA, le procureur général, le secrétaire à la sécurité intérieure et le directeur du renseignement national élaborent conjointement des procédures pour garantir que le cyberincident les rapports sont rapidement et correctement partagés entre les agences.

(h) Les exigences actuelles en matière de cybersécurité pour les contrats de système non classifiés sont largement mises en œuvre par le biais de politiques et de réglementations spécifiques aux agences, y compris les exigences de cybersécurité des services cloud. La normalisation des exigences contractuelles communes en matière de cybersécurité entre les agences rationalisera et améliorera la conformité pour les fournisseurs et le gouvernement fédéral.

(i) Dans les 60 jours suivant la date de la présente ordonnance, le secrétaire à la Sécurité intérieure agissant par l’intermédiaire du directeur de la CISA, en consultation avec le secrétaire à la Défense agissant par l’intermédiaire du directeur de la NSA, du directeur de l’OMB et de l’administrateur général Les services, examineront les exigences de cybersécurité spécifiques à l’agence qui existent actuellement en tant que loi, politique ou contrat et recommanderont au Conseil des FAR un langage contractuel standardisé pour les exigences de cybersécurité appropriées. Ces recommandations doivent tenir compte de la portée des contractants et des prestataires de services associés à couvrir par le libellé du contrat proposé.

(j) Dans les 60 jours suivant la réception du libellé du contrat recommandé élaboré conformément au paragraphe (i) de la présente section, le Conseil des FAR examinera le libellé du contrat recommandé et publiera pour commentaires du public les mises à jour proposées du FAR.

(k) À la suite de toute mise à jour du FAR effectuée par le Conseil des FAR après la période de commentaires publics décrite au paragraphe (j) de la présente section, les agences doivent mettre à jour leurs exigences de cybersécurité propres à l’agence afin de supprimer toute exigence qui fait double emploi avec ces mises à jour des FAR.

(l) Le directeur de l’OMB doit intégrer dans le processus budgétaire annuel une analyse des coûts de toutes les recommandations formulées dans le cadre de la présente section.

a) Pour suivre le rythme de l’environnement dynamique et de plus en plus sophistiqué des cybermenaces, le gouvernement fédéral doit prendre des mesures décisives pour moderniser son approche de la cybersécurité, notamment en augmentant la visibilité du gouvernement fédéral sur les menaces, tout en protégeant la vie privée et les libertés civiles. Le gouvernement fédéral doit adopter les meilleures pratiques en matière de sécurité; avancer vers l’architecture Zero Trust; accélérer le mouvement pour sécuriser les services cloud, y compris le logiciel en tant que service (SaaS), l’infrastructure en tant que service (IaaS) et la plateforme en tant que service (PaaS); centraliser et rationaliser l’accès aux données de cybersécurité pour conduire des analyses pour identifier et gérer les risques de cybersécurité; et investir dans la technologie et le personnel pour atteindre ces objectifs de modernisation.

b) Dans les 60 jours suivant la date de la présente ordonnance, le chef de chaque agence:

(i) mettre à jour les plans existants des agences afin de hiérarchiser les ressources pour l’adoption et l’utilisation de la technologie cloud comme indiqué dans les directives pertinentes de l’OMB;

(ii) élaborer un plan de mise en œuvre de l’architecture Zero Trust, qui incorporera, le cas échéant, les étapes de migration que l’Institut national des normes et de la technologie (NIST) au sein du Département du commerce a décrites dans les normes et les directives, décrivent toutes les étapes qui ont déjà été achevées, identifiez les activités qui auront l’impact le plus immédiat sur la sécurité et incluez un calendrier pour les mettre en œuvre; et

(iii) présenter un rapport au directeur de la CAMO et à l’adjoint du président et conseiller à la sécurité nationale (APNSA) sur les plans requis en vertu des sous-sections (b) (i) et (ii) de la présente section.

(c) Au fur et à mesure que les agences continuent d’utiliser la technologie cloud, elles doivent le faire d’une manière coordonnée et délibérée qui permet au gouvernement fédéral de prévenir, détecter, évaluer et remédier aux cyberincidents. Pour faciliter cette approche, la migration vers la technologie cloud adoptera l’architecture Zero Trust, dans la mesure du possible. La CISA modernisera ses programmes, services et capacités de cybersécurité actuels pour être pleinement fonctionnels avec les environnements de cloud computing avec l’architecture Zero Trust. Le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de la CISA, en consultation avec l’administrateur des services généraux agissant par l’intermédiaire du programme fédéral de gestion des risques et des autorisations (FedRAMP) au sein de l’administration des services généraux, élabore des principes de sécurité régissant les fournisseurs de services cloud (CSP) pour intégration dans les efforts de modernisation des agences. Pour faciliter ce travail:

(i) Dans les 90 jours suivant la date de la présente ordonnance, le directeur de l’OMB, en consultation avec le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de la CISA, et l’administrateur des services généraux agissant par l’intermédiaire de FedRAMP, développera un système fédéral de sécurité cloud. stratégie et fournir des conseils aux agences en conséquence. Ces orientations visent à garantir que les risques pour le FCEB liés à l’utilisation de services basés sur le cloud sont largement compris et traités efficacement, et que les agences du FCEB se rapprochent de l’architecture Zero Trust.

(ii) Dans les 90 jours suivant la date de la présente ordonnance, le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de la CISA, en consultation avec le directeur de l’OMB et l’administrateur des services généraux agissant par l’intermédiaire de FedRAMP, élaborera et émettra, pour le FCEB , documentation sur l’architecture de référence technique sur la sécurité du cloud qui illustre les approches recommandées pour la migration vers le cloud et la protection des données pour la collecte et le reporting des données des agences.

(iii) Dans les 60 jours suivant la date de la présente ordonnance, le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de CISA élaborera et publiera, pour les agences FCEB, un cadre de gouvernance de service cloud. Ce cadre identifie une gamme de services et de protections disponibles pour les agences en fonction de la gravité de l’incident. Ce cadre identifie également les données et les activités de traitement associées à ces services et protections.

(iv) Dans les 90 jours suivant la date de la présente ordonnance, les responsables des agences FCEB, en consultation avec le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de CISA, évalueront les types et la sensibilité des données non classifiées de leurs agences respectives, et fourniront au secrétaire de la Sécurité intérieure par l’intermédiaire du directeur de la CISA et au directeur de l’OMB un rapport basé sur une telle évaluation. L’évaluation donne la priorité à l’identification des données non classifiées considérées par l’agence comme les plus sensibles et les plus menacées, ainsi qu’à des solutions de traitement et de stockage appropriées pour ces données.

(d) Dans les 180 jours suivant la date de la présente commande, les agences adopteront une authentification multifacteur et un cryptage pour les données au repos et en transit, dans la mesure maximale compatible avec les lois fédérales sur les archives et les autres lois applicables. À cette fin:

(i) Les responsables des agences FCEB doivent fournir des rapports au secrétaire à la sécurité intérieure par l’intermédiaire du directeur de CISA, du directeur de l’OMB et de l’APNSA sur les progrès de leurs agences respectives dans l’adoption de l’authentification multifactorielle et du cryptage des données au repos et en transit. Ces agences doivent fournir ces rapports tous les 60 jours après la date de la présente ordonnance jusqu’à ce que l’agence ait pleinement adopté, à l’échelle de l’agence, l’authentification multifacteur et le cryptage des données.

(ii) Sur la base des lacunes identifiées dans la mise en œuvre de l’agence, la CISA doit prendre toutes les mesures appropriées pour maximiser l’adoption par les agences FCEB des technologies et des processus de mise en œuvre de l’authentification multifactorielle et du cryptage des données au repos et en transit.

(iii) Les responsables des agences FCEB qui ne sont pas en mesure d’adopter pleinement l’authentification multifacteur et le cryptage des données dans les 180 jours suivant la date de la présente ordonnance devront, à la fin de la période de 180 jours, fournir une justification écrite au Secrétaire de la patrie. Sécurité par l’intermédiaire du directeur de CISA, du directeur de l’OMB et de l’APNSA.

(e) Dans les 90 jours suivant la date de la présente ordonnance, le secrétaire à la Sécurité intérieure agissant par l’intermédiaire du directeur de la CISA, en consultation avec le procureur général, le directeur du FBI et l’administrateur des services généraux agissant par l’intermédiaire du directeur de FedRAMP , établit un cadre de collaboration sur les activités de cybersécurité et de réponse aux incidents liées à la technologie cloud FCEB, afin de garantir un partage d’informations efficace entre les agences et entre les agences et les fournisseurs de services de communication.

(f) Dans les 60 jours suivant la date de la présente commande, l’Administrateur des Services généraux, en consultation avec le Directeur de l’OMB et les chefs d’autres agences que l’Administrateur des Services généraux le juge approprié, commencera à moderniser FedRAMP en:

(i) établir un programme de formation pour s’assurer que les agences sont effectivement formées et équipées pour gérer les demandes FedRAMP, et donner accès au matériel de formation, y compris les vidéos à la demande;

(ii) l’amélioration de la communication avec les CSP grâce à l’automatisation et à la standardisation des messages à chaque étape de l’autorisation. Ces communications peuvent inclure des mises à jour de statut, des exigences pour terminer l’étape actuelle d’un fournisseur, les étapes suivantes et des points de contact pour les questions;

(iii) intégrer l’automatisation tout au long du cycle de vie de FedRAMP, y compris l’évaluation, l’autorisation, la surveillance continue et la conformité;

(iv) la numérisation et la rationalisation de la documentation que les fournisseurs sont tenus de remplir, notamment grâce à l’accessibilité en ligne et aux formulaires pré-remplis; et

(v) identifier les cadres de conformité pertinents, mettre en correspondance ces cadres avec les exigences du processus d’autorisation FedRAMP et permettre à ces cadres d’être utilisés comme substitut à la partie pertinente du processus d’autorisation, le cas échéant.

a) La sécurité des logiciels utilisés par le Gouvernement fédéral est vitale pour la capacité du Gouvernement fédéral à s’acquitter de ses fonctions essentielles. Le développement de logiciels commerciaux manque souvent de transparence, de concentration suffisante sur la capacité du logiciel à résister aux attaques et de contrôles adéquats pour empêcher la falsification d’acteurs malveillants. Il est urgent de mettre en œuvre des mécanismes plus rigoureux et prévisibles pour garantir que les produits fonctionnent en toute sécurité et comme prévu. La sécurité et l’intégrité des «logiciels critiques» – des logiciels qui remplissent des fonctions essentielles à la confiance (telles que l’octroi ou l’exigence de privilèges système élevés ou un accès direct aux ressources réseau et informatiques) – est une préoccupation particulière. En conséquence, le gouvernement fédéral doit prendre des mesures pour améliorer rapidement la sécurité et l’intégrité de la chaîne d’approvisionnement des logiciels, avec une priorité sur les logiciels critiques.

(b) Dans les 30 jours suivant la date de la présente ordonnance, le secrétaire au commerce agissant par l’intermédiaire du directeur du NIST sollicitera la contribution du gouvernement fédéral, du secteur privé, du milieu universitaire et d’autres acteurs appropriés pour identifier les normes, outils, outils existants ou développer de nouveaux, et les meilleures pratiques pour se conformer aux normes, procédures ou critères de la sous-section e) de la présente section. Les directives doivent inclure des critères pouvant être utilisés pour évaluer la sécurité des logiciels, inclure des critères pour évaluer les pratiques de sécurité des développeurs et des fournisseurs eux-mêmes, et identifier des outils ou des méthodes innovants pour démontrer la conformité aux pratiques sécurisées.

(c) Dans les 180 jours suivant la date de la présente ordonnance, le directeur du NIST publiera des directives préliminaires, fondées sur les consultations décrites au paragraphe (b) de la présente section et en s’appuyant sur les documents existants dans la mesure du possible, pour améliorer la sécurité de la chaîne d’approvisionnement des logiciels et répondant aux exigences de cette section.

(d) Dans les 360 jours suivant la date de la présente ordonnance, le directeur du NIST publiera des lignes directrices supplémentaires comprenant des procédures d’examen et de mise à jour périodiques des lignes directrices décrites au paragraphe (c) de cette section.

(e) Dans les 90 jours suivant la publication des directives préliminaires conformément au paragraphe (c) de la présente section, le secrétaire au commerce agissant par l’intermédiaire du directeur du NIST, en consultation avec les chefs des agences que le directeur du NIST juge appropriées, doit publier des directives identifiant les pratiques qui améliorent la sécurité de la chaîne d’approvisionnement des logiciels. Ces orientations peuvent incorporer les lignes directrices publiées conformément aux sous-sections (c) et (i) de la présente section. Ces orientations doivent inclure des normes, des procédures ou des critères concernant:

(i) des environnements de développement de logiciels sécurisés, y compris des actions telles que:

(A) en utilisant des environnements de construction administrativement séparés;

(B) vérification des relations de confiance;

(C) établir une authentification multifactorielle basée sur les risques et un accès conditionnel dans toute l’entreprise;

(D) documenter et minimiser les dépendances vis-à-vis des produits d’entreprise qui font partie des environnements utilisés pour développer, créer et éditer des logiciels;

(E) utiliser le cryptage des données; et

(F) surveiller les opérations et les alertes et réagir aux cyberincidents tentés et réels;

(ii) générer et, à la demande d’un acheteur, fournir des artefacts qui démontrent la conformité aux processus énoncés au paragraphe (e) (i) de la présente section;

(iii) utiliser des outils automatisés ou des processus comparables pour maintenir des chaînes d’approvisionnement de code source fiables, garantissant ainsi l’intégrité du code;

(iv) en utilisant des outils automatisés, ou des processus comparables, qui vérifient les vulnérabilités connues et potentielles et les corrigent, qui doivent fonctionner régulièrement, ou au minimum avant la sortie du produit, de la version ou de la mise à jour;

(v) fournir, à la demande d’un acheteur, des artefacts de l’exécution des outils et processus décrits aux sous-sections (e) (iii) et (iv) de la présente section, et rendre public des informations récapitulatives sur l’achèvement de ces actions, à inclure une description sommaire des risques évalués et atténués;

(vi) maintenir des données exactes et à jour, la provenance (c’est-à-dire l’origine) du code ou des composants logiciels, et des contrôles sur les composants logiciels, outils et services internes et tiers présents dans les processus de développement logiciel, et effectuer des audits et l’application de ces contrôles sur une base récurrente;

(vii) fournir à un acheteur une nomenclature logicielle (SBOM) pour chaque produit directement ou en la publiant sur un site Web public;

(viii) participer à un programme de divulgation des vulnérabilités qui comprend un processus de déclaration et de divulgation;

(ix) attester de la conformité aux pratiques sécurisées de développement de logiciels; et

(x) garantir et attester, dans la mesure du possible, l’intégrité et la provenance des logiciels libres utilisés dans toute partie d’un produit.

(f) Dans les 60 jours suivant la date de la présente ordonnance, le secrétaire au commerce, en coordination avec le secrétaire adjoint à la communication et à l’information et l’administrateur de l’administration nationale des télécommunications et de l’information, publiera les éléments minimaux d’un SBOM.

(g) Dans les 45 jours suivant la date de la présente ordonnance, le secrétaire au commerce, agissant par l’intermédiaire du directeur du NIST, en consultation avec le secrétaire à la Défense agissant par l’intermédiaire du directeur de la NSA, le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de la CISA, le directeur de l’OMB et le directeur du renseignement national publieront une définition du terme «logiciel critique» à inclure dans les directives émises conformément au paragraphe (e) de la présente section. Cette définition reflète le niveau de privilège ou d’accès requis pour fonctionner, l’intégration et les dépendances avec d’autres logiciels, l’accès direct aux ressources de réseau et de calcul, les performances d’une fonction essentielle à la confiance et le risque de préjudice en cas de compromission.

(h) Dans les 30 jours suivant la publication de la définition requise par le paragraphe (g) de la présente section, le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de la CISA, en consultation avec le secrétaire au commerce agissant par l’intermédiaire du directeur du NIST, doit identifier et mettre à la disposition des agences une liste des catégories de logiciels et de produits logiciels en cours d’utilisation ou en cours d’acquisition répondant à la définition de logiciel critique émise conformément au paragraphe (g) de la présente section.

(i) Dans les 60 jours suivant la date de la présente ordonnance, le secrétaire au commerce agissant par l’intermédiaire du directeur du NIST, en consultation avec le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de la CISA et avec le directeur de l’OMB, publiera des directives décrivant la sécurité. des mesures pour les logiciels critiques tels que définis dans la sous-section (g) de cette section, y compris l’application de pratiques de moindre privilège, la segmentation du réseau et une configuration appropriée.

(j) Dans les 30 jours suivant la publication des directives décrites au paragraphe (i) de la présente section, le directeur de l’OMB agissant par l’intermédiaire de l’administrateur du Bureau du gouvernement électronique au sein de l’OMB prendra les mesures appropriées pour exiger que les agences se conforment à ces directives. .

(k) Dans les 30 jours suivant la publication des directives décrites au paragraphe (e) de la présente section, le directeur de l’OMB agissant par l’intermédiaire de l’administrateur du Bureau du gouvernement électronique au sein de l’OMB prendra les mesures appropriées pour exiger que les organismes se conforment à ces directives. en ce qui concerne les logiciels achetés après la date de cette commande.

(l) Les agences peuvent demander une prolongation pour se conformer à toute exigence émise conformément au paragraphe (k) du présent article. Une telle demande sera examinée par le directeur de l’OMB au cas par cas, et seulement si elle est accompagnée d’un plan pour répondre aux exigences sous-jacentes. Le directeur de l’OMB doit fournir tous les trimestres un rapport à l’APNSA identifiant et expliquant toutes les prorogations accordées.

(m) Les agences peuvent demander une dérogation à toute exigence émise conformément au paragraphe (k) du présent article. Les dérogations seront examinées par le directeur de l’OMB, en consultation avec l’APNSA, au cas par cas, et ne seront accordées que dans des circonstances exceptionnelles et pour une durée limitée, et uniquement s’il existe un plan d’accompagnement pour atténuer tout potentiel. des risques.

(n) Dans un délai d’un an à compter de la date de la présente ordonnance, le secrétaire à la Sécurité intérieure, en consultation avec le secrétaire à la Défense, le procureur général, le directeur de l’OMB et l’administrateur du Bureau du gouvernement électronique au sein de l’OMB, recommandera: au libellé du contrat du Conseil des FAR exigeant que les fournisseurs de logiciels disponibles à l’achat par les agences se conforment à toutes les exigences émises conformément aux paragraphes (g) à (k) de la présente section et attestent de leur conformité.

(o) Après avoir reçu les recommandations décrites au paragraphe (n) de la présente section, le Conseil des FAR examinera les recommandations et, le cas échéant et conformément à la loi applicable, modifiera les FAR.

(p) À la suite de la publication de toute règle finale modifiant le FAR comme décrit au paragraphe (o) de la présente section, les agences doivent, le cas échéant et conformément à la loi applicable, supprimer de tous les logiciels qui ne satisfont pas aux exigences du FAR modifié. contrats de livraison indéfinie de quantité indéfinie; Les calendriers des approvisionnements fédéraux; Contrats d’acquisition à l’échelle du gouvernement fédéral; Contrats d’achat généraux; et contrats d’attribution multiple.

(q) Le directeur de l’OMB, agissant par l’entremise de l’administrateur du Bureau du gouvernement électronique au sein de l’OMB, exigera des agences employant des logiciels développés et achetés avant la date de la présente ordonnance (logiciel hérité) de se conformer à toute exigence émise conformément au paragraphe (k) de la présente section ou pour fournir un plan décrivant les mesures à prendre pour remédier à ces exigences ou y répondre, et exiger en outre que les agences cherchant à renouveler les contrats de logiciels, y compris les logiciels hérités, se conforment à toutes les exigences émises conformément au paragraphe (k) de la présente section. , à moins qu’une prorogation ou une renonciation ne soit accordée conformément au paragraphe (l) ou (m) du présent article.

(r) Dans les 60 jours suivant la date de la présente ordonnance, le secrétaire au commerce agissant par l’intermédiaire du directeur du NIST, en consultation avec le secrétaire à la Défense agissant par l’intermédiaire du directeur de la NSA, publiera des lignes directrices recommandant des normes minimales pour les tests des fournisseurs. leur code source logiciel, y compris l’identification des types recommandés de tests manuels ou automatisés (tels que les outils de révision de code, l’analyse statique et dynamique, les outils de composition logicielle et les tests d’intrusion).

(s) Le secrétaire au commerce agissant par l’intermédiaire du directeur du NIST, en coordination avec les représentants d’autres agences que le directeur du NIST juge approprié, lancera des programmes pilotes informés par les programmes d’étiquetage des produits de consommation existants pour éduquer le public sur les capacités de sécurité d’Internet. -of-Things (IoT) et les pratiques de développement de logiciels, et doit envisager des moyens d’inciter les fabricants et les développeurs à participer à ces programmes.

(t) Dans les 270 jours suivant la date de la présente ordonnance, le secrétaire au commerce agissant par l’intermédiaire du directeur du NIST, en coordination avec le président de la Federal Trade Commission (FTC) et les représentants d’autres agences que le directeur du NIST juge approprié, identifiera les critères de cybersécurité de l’IdO pour un programme d’étiquetage des consommateurs et examinera si un tel programme d’étiquetage des consommateurs peut être mis en œuvre en conjonction avec ou sur le modèle de tout programme gouvernemental existant similaire conformément à la loi applicable. Les critères reflètent des niveaux de plus en plus complets d’essais et d’évaluation qu’un produit a pu subir et doivent utiliser ou être compatibles avec les systèmes d’étiquetage existants que les fabricants utilisent pour informer les consommateurs sur la sécurité de leurs produits. Le directeur du NIST examinera toutes les informations pertinentes, l’étiquetage et les programmes d’incitation et appliquera les meilleures pratiques. Cet examen se concentre sur la facilité d’utilisation pour les consommateurs et sur la détermination des mesures qui peuvent être prises pour maximiser la participation des fabricants.

(u) Dans les 270 jours suivant la date de la présente ordonnance, le secrétaire au commerce agissant par l’intermédiaire du directeur du NIST, en coordination avec le président de la FTC et des représentants d’autres agences que le directeur du NIST juge approprié, identifie le développement de logiciels sécurisés. pratiques ou critères pour un programme d’étiquetage des logiciels grand public, et doit examiner si un tel programme d’étiquetage des logiciels grand public peut être utilisé en conjonction avec ou modelé sur des programmes gouvernementaux existants similaires, conformément à la loi applicable. Les critères doivent refléter un niveau de base de pratiques sûres et, si possible, refléter des niveaux de plus en plus complets d’essais et d’évaluation qu’un produit a pu subir. Le directeur du NIST examinera toutes les informations pertinentes, l’étiquetage et les programmes d’incitation, appliquera les meilleures pratiques et identifiera, modifiera ou développera une étiquette recommandée ou, si possible, un système d’évaluation de la sécurité des logiciels à plusieurs niveaux. Cet examen se concentre sur la facilité d’utilisation pour les consommateurs et sur la détermination des mesures qui peuvent être prises pour maximiser la participation.

(v) Ces programmes pilotes doivent être menés conformément à la circulaire de l’OMB A-119 et à la publication spéciale du NIST 2000-02 (Considérations relatives à l’évaluation de la conformité pour les agences fédérales).

(w) Dans un délai d’un an à compter de la date de la présente ordonnance, le directeur du NIST procède à un examen des programmes pilotes, consulte le secteur privé et les agences compétentes pour évaluer l’efficacité des programmes, détermine les améliorations qui peuvent être apportées à l’avenir. et soumettre un rapport de synthèse à l’APNSA.

(x) Dans un délai d’un an à compter de la date de la présente ordonnance, le secrétaire au commerce, en consultation avec les chefs d’autres agences que le secrétaire au commerce le juge approprié, remet au président, par l’intermédiaire de l’APNSA, un rapport qui examine les progrès fait dans cette section et décrit les étapes supplémentaires nécessaires pour sécuriser la chaîne d’approvisionnement des logiciels.

(a) Le secrétaire à la Sécurité intérieure, en consultation avec le procureur général, établira le Cyber ​​Safety Review Board (Board), conformément à l’article 871 du Homeland Security Act de 2002 (6 U.S.C.451).

(b) Le Conseil examine et évalue, en ce qui concerne les cyberincidents importants (tels que définis dans la directive présidentielle 41 du 26 juillet 2016 (United States Cyber ​​Incident Coordination) (PPD 41)) affectant les systèmes d’information FCEB ou les systèmes non fédéraux. , l’activité des menaces, les vulnérabilités, les activités d’atténuation et les réponses des agences.

(c) Le Secrétaire de la Sécurité intérieure convoquera le Conseil à la suite d’un cyberincident important ayant déclenché la création d’un Groupe de coordination cyber-unifié (UCG) conformément à la section V (B) (2) du PPD-41; à tout moment selon les instructions du président agissant par l’intermédiaire de l’APNSA; ou à tout moment que le secrétaire de la Sécurité intérieure le juge nécessaire.

(d) L’examen initial du Conseil portera sur les cyberactivités qui ont motivé la création d’un UCG en décembre 2020, et le Conseil devra, dans les 90 jours suivant la création du Conseil, faire des recommandations au Secrétaire de la Sécurité intérieure pour améliorer la cybersécurité et les incidents. les pratiques d’intervention, comme indiqué dans la sous-section (i) de cette section.

e) Le Conseil comprendra des fonctionnaires fédéraux et des représentants d’entités du secteur privé. Le Conseil comprendra des représentants du ministère de la Défense, du ministère de la Justice, de la CISA, de la NSA et du FBI, ainsi que des représentants des fournisseurs de logiciels ou de cybersécurité du secteur privé appropriés, comme déterminé par le secrétaire à la Sécurité intérieure. Un représentant de l’OMB doit participer aux activités du conseil d’administration lorsqu’un incident à l’étude implique des systèmes d’information FCEB, tel que déterminé par le secrétaire à la sécurité intérieure. Le secrétaire à la Sécurité intérieure peut inviter d’autres personnes au cas par cas en fonction de la nature de l’incident examiné.

(f) Le secrétaire à la Sécurité intérieure désigne tous les deux ans un président et un vice-président du conseil parmi les membres du conseil, qui comprend un membre fédéral et un membre du secteur privé.

(g) Le Conseil doit protéger les informations sensibles d’application de la loi, opérationnelles, commerciales et autres informations confidentielles qui lui ont été partagées, conformément à la loi applicable.

(h) Le secrétaire à la sécurité intérieure fournira au président par l’intermédiaire de l’APNSA tous les conseils, informations ou recommandations du conseil d’administration pour améliorer la cybersécurité et les pratiques et la politique de réponse aux incidents à la fin de son examen d’un incident applicable.

(i) Dans les 30 jours suivant l’achèvement de l’examen initial décrit au paragraphe (d) de la présente section, le secrétaire à la Sécurité intérieure transmettra au président par l’intermédiaire de l’APNSA les recommandations du Conseil sur la base de l’examen initial. Ces recommandations doivent décrire:

(i) identifié les lacunes et les options concernant la composition ou les pouvoirs du Conseil;

(ii) la mission, la portée et les responsabilités proposées par le Conseil;

(iii) les critères d’admissibilité des représentants du secteur privé;

(iv) la structure de gouvernance du conseil d’administration, y compris l’interaction avec le pouvoir exécutif et le bureau exécutif du président;

(v) des seuils et des critères pour les types de cyberincidents à évaluer;

(vi) les sources d’information qui devraient être mises à la disposition du Conseil, conformément aux lois et politiques applicables;

vii) une approche visant à protéger les informations fournies au Comité et à garantir la coopération des personnes et entités américaines concernées aux fins de l’examen des incidents par le Comité; et

(viii) les considérations administratives et budgétaires nécessaires au fonctionnement du Conseil.

(j) Le secrétaire à la sécurité intérieure, en consultation avec le procureur général et l’APNSA, examinera les recommandations fournies au président par l’intermédiaire de l’APNSA conformément au paragraphe (i) de la présente section et prendra les mesures nécessaires pour les mettre en œuvre.

(k) Sauf indication contraire du président, le secrétaire à la sécurité intérieure prolonge la durée de vie du conseil tous les 2 ans, comme le secrétaire à la sécurité intérieure le juge approprié, conformément à l’article 871 de la loi de 2002 sur la sécurité intérieure.

(a) La vulnérabilité en matière de cybersécurité et les procédures de réponse aux incidents actuellement utilisées pour identifier, corriger et récupérer des vulnérabilités et des incidents affectant leurs systèmes varient d’une agence à l’autre, ce qui entrave la capacité des agences chefs de file à analyser les vulnérabilités et les incidents de manière plus complète entre les agences. Des processus de réponse normalisés garantissent un catalogage plus coordonné et centralisé des incidents et un suivi des progrès des agences vers des réponses fructueuses.

(b) Dans les 120 jours suivant la date de la présente ordonnance, le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de la CISA, en consultation avec le directeur de l’OMB, le Conseil fédéral des chefs de l’information et le Conseil fédéral de la sécurité de l’information en chef, et en la coordination avec le secrétaire à la Défense agissant par l’intermédiaire du directeur de la NSA, du procureur général et du directeur du renseignement national, doit élaborer un ensemble standard de procédures opérationnelles (playbook) à utiliser dans la planification et la conduite d’une activité de réponse aux incidents et aux vulnérabilités de cybersécurité respect des Systèmes d’Information FCEB. Le livre de jeu doit:

(i) incorporer toutes les normes NIST appropriées;

(ii) être utilisé par les agences FCEB; et

(iii) articuler l’avancement et l’achèvement de toutes les phases d’une intervention en cas d’incident, tout en permettant une certaine souplesse afin qu’elle puisse être utilisée à l’appui de diverses activités d’intervention.

(c) Le directeur de l’OMB publiera des directives sur l’utilisation du manuel par l’agence.

(d) Les agences dont la vulnérabilité en matière de cybersécurité ou les procédures de réponse aux incidents s’écartent du manuel ne peuvent utiliser ces procédures qu’après avoir consulté le directeur de l’OMB et l’APNSA et démontré que ces procédures respectent ou dépassent les normes proposées dans le manuel.

(e) Le directeur de la CISA, en consultation avec le directeur de la NSA, examinera et mettra à jour le manuel chaque année, et fournira des informations au directeur de l’OMB aux fins d’incorporation dans les mises à jour des lignes directrices.

(f) Pour garantir l’exhaustivité des activités de réponse aux incidents et renforcer la confiance dans le fait que les cyberacteurs non autorisés n’ont plus accès aux systèmes d’information FCEB, le manuel doit établir, conformément à la loi applicable, une exigence selon laquelle le directeur de CISA examine et valide l’incident des agences FCEB. les résultats de l’intervention et de la correction lorsque l’agence a terminé sa réponse à l’incident. Le directeur de CISA peut recommander le recours à une autre agence ou à une équipe tierce d’intervention en cas d’incident, selon le cas.

(g) Pour garantir une compréhension commune des cyberincidents et du statut de cybersécurité d’une agence, le manuel définit les termes clés et utilise ces termes de manière cohérente avec toute définition statutaire de ces termes, dans la mesure du possible, fournissant ainsi un lexique partagé entre les agences. en utilisant le playbook.

(a) Le gouvernement fédéral emploiera toutes les ressources et autorités appropriées pour maximiser la détection précoce des vulnérabilités et des incidents de cybersécurité sur ses réseaux. Cette approche comprend l’accroissement de la visibilité et la détection du gouvernement fédéral sur les vulnérabilités et les menaces en matière de cybersécurité pour les réseaux d’agences afin de renforcer les efforts du gouvernement fédéral en matière de cybersécurité.

(b) Les agences du FCEB déploieront une initiative de détection et de réponse aux points finaux (EDR) pour soutenir la détection proactive des incidents de cybersécurité au sein de l’infrastructure du gouvernement fédéral, la cyber-chasse active, le confinement et la correction, et la réponse aux incidents.

(c) Dans les 30 jours suivant la date de la présente ordonnance, le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de la CISA fournira au directeur de l’OMB des recommandations sur les options de mise en œuvre d’une initiative EDR, centralisée pour soutenir la visibilité au niveau de l’hôte, l’attribution , et réponse concernant les systèmes d’information FCEB.

(d) Dans les 90 jours suivant la réception des recommandations décrites au paragraphe (c) de la présente section, le directeur de l’OMB, en consultation avec le secrétaire à la Sécurité intérieure, émettra des exigences pour que les agences du FCEB adoptent des approches EDR à l’échelle du gouvernement fédéral. Ces exigences appuieront la capacité du secrétaire du secrétaire de l’Intérieur, agissant par l’intermédiaire du directeur de la CISA, à s’engager dans des activités de cyber-chasse, de détection et d’intervention.

(e) Le directeur de l’OMB travaillera avec le secrétaire à la Sécurité intérieure et les chefs d’agence pour s’assurer que les agences disposent des ressources adéquates pour se conformer aux exigences émises en vertu du paragraphe (d) de la présente section.

(f) La défense des systèmes d’information du FCEB exige que le secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de CISA ait accès aux données des agences qui sont pertinentes pour une analyse des menaces et des vulnérabilités, ainsi qu’à des fins d’évaluation et de recherche de menaces. Dans les 75 jours suivant la date de la présente commande, les agences doivent établir ou mettre à jour des protocoles d’accord (MOA) avec CISA pour le programme de diagnostics continus et d’atténuation afin de garantir que les données au niveau de l’objet, telles que définies dans le MOA, sont disponibles et accessibles à CISA, conformément avec la loi applicable.

(g) Dans les 45 jours suivant la date de la présente ordonnance, le directeur de la NSA en tant que gestionnaire national des systèmes de sécurité nationale (directeur national) recommandera au secrétaire à la Défense, au directeur du renseignement national et au Comité de la sécurité nationale Systèmes (CNSS) des actions appropriées pour améliorer la détection des cyber-incidents affectant les systèmes de sécurité nationaux, dans la mesure permise par la loi applicable, y compris des recommandations concernant les approches EDR et si de telles mesures devraient être mises en œuvre par des agences ou par le biais d’un service centralisé d’intérêt commun fourni par le Gestionnaire national.

(h) Dans les 90 jours suivant la date de la présente ordonnance, le secrétaire à la Défense, le directeur du renseignement national et la CNSS examineront les recommandations soumises en vertu du paragraphe (g) de la présente section et, le cas échéant, établiront des politiques qui les mettent en œuvre. recommandations, conformément à la loi applicable.

(i) Dans les 90 jours suivant la date de la présente ordonnance, le directeur de la CISA remettra au directeur de l’OMB et de l’APNSA un rapport décrivant comment les pouvoirs accordés en vertu de l’article 1705 de la loi publique 116-283 pour mener des activités de Des réseaux FCEB sans autorisation préalable des agences sont en cours de mise en œuvre. Ce rapport doit également recommander des procédures pour garantir que les systèmes critiques pour la mission ne sont pas perturbés, des procédures pour notifier les propriétaires de systèmes des systèmes gouvernementaux vulnérables et la gamme de techniques pouvant être utilisées pendant les tests des systèmes d’information FCEB. Le directeur de CISA fournira des rapports trimestriels à l’APNSA et au directeur de l’OMB concernant les mesures prises en vertu de l’article 1705 de la loi publique 116-283.

(j) Pour assurer l’harmonisation entre les directives du Réseau d’information du Département de la défense (DODIN) et les directives du FCEB sur les systèmes d’information, le secrétaire à la Défense et le secrétaire à la Sécurité intérieure, en consultation avec le directeur de l’OMB, doivent:

(i) dans les 60 jours suivant la date de la présente ordonnance, établir des procédures pour que le ministère de la Défense et le ministère de la Sécurité intérieure se communiquent immédiatement les ordonnances d’intervention en cas d’incident du ministère de la Défense ou les directives d’urgence du ministère de la Sécurité intérieure et les directives opérationnelles contraignantes applicables. à leurs réseaux d’information respectifs;

(ii) évaluer s’il convient d’adopter des directives contenues dans une ordonnance ou une directive émise par l’autre ministère, conformément à la réglementation concernant le partage d’informations classifiées; et

(iii) dans les 7 jours suivant la réception d’un avis d’une ordonnance ou d’une directive émise conformément aux procédures établies en vertu du paragraphe (j) (i) de la présente section, aviser l’APNSA et l’administrateur du Bureau du gouvernement électronique de la CAMO de l’évaluation décrite dans le paragraphe (j) (ii) du présent article, y compris la décision d’adopter ou non les directives émises par l’autre ministère, la justification de cette décision et un calendrier d’application de la directive, le cas échéant.

(a) Les informations provenant des journaux de réseau et de système sur les systèmes d’information fédéraux (pour les systèmes sur site et les connexions hébergées par des tiers, tels que les fournisseurs de services de communication) sont inestimables à des fins d’enquête et de correction. Il est essentiel que les agences et leurs fournisseurs de services informatiques collectent et conservent ces données et, si nécessaire pour traiter un cyber-incident sur les systèmes d’information du FCEB, les fournissent sur demande au secrétaire à la sécurité intérieure par l’intermédiaire du directeur de CISA et au FBI, de manière cohérente. avec la loi applicable.

(b) Dans les 14 jours suivant la date de la présente ordonnance, le secrétaire de la Sécurité intérieure, en consultation avec le procureur général et l’administrateur du Bureau du gouvernement électronique au sein de l’OMB, fournira au directeur de l’OMB des recommandations sur les exigences relatives à l’enregistrement des événements. et la conservation d’autres données pertinentes dans les systèmes et réseaux d’une agence. Ces recommandations doivent inclure les types de journaux à conserver, les délais de conservation des journaux et autres données pertinentes, les délais impartis aux agences pour activer les exigences de journalisation et de sécurité recommandées, et la manière de protéger les journaux. Les journaux doivent être protégés par des méthodes cryptographiques pour garantir l’intégrité une fois collectés et périodiquement vérifiés par rapport aux hachages tout au long de leur conservation. Les données doivent être conservées d’une manière conforme à toutes les lois et réglementations applicables en matière de confidentialité. Ces recommandations seront également prises en considération par le Conseil des FAR lors de la promulgation des règles conformément à l’article 2 du présent arrêté.

(c) Dans les 90 jours suivant la réception des recommandations décrites à la sous-section (b) de la présente section, le directeur de l’OMB, en consultation avec le secrétaire au commerce et le secrétaire à la Sécurité intérieure, formule des politiques à l’intention des agences pour établir les exigences en matière d’exploitation forestière, la conservation des journaux et la gestion des journaux, qui garantissent un accès et une visibilité centralisés pour le centre des opérations de sécurité de plus haut niveau de chaque agence.

(d) Le directeur de l’OMB travaillera avec les chefs d’agence pour s’assurer que les agences disposent des ressources adéquates pour se conformer aux exigences identifiées au paragraphe (c) de la présente section.

(e) Pour faire face aux cyber-risques ou incidents, y compris les cyber-risques ou incidents potentiels, les recommandations proposées conformément au paragraphe (b) de la présente section doivent inclure des exigences visant à garantir que, sur demande, les agences fournissent des journaux au Secrétaire de la Sécurité intérieure par le directeur de CISA et du FBI, conformément à la loi applicable. Ces exigences devraient être conçues pour permettre aux agences de partager les informations des journaux, si nécessaire et approprié, avec d’autres agences fédérales pour les cyberrisques ou incidents.

a) Dans les 60 jours suivant la date de la présente ordonnance, le secrétaire à la Défense agissant par l’intermédiaire du directeur national, en coordination avec le directeur du renseignement national et la CNSS, et en consultation avec l’APNSA, adopte les exigences relatives aux systèmes de sécurité nationale qui sont: équivalent ou supérieur aux exigences de cybersécurité énoncées dans cet ordre qui ne sont par ailleurs pas applicables aux systèmes de sécurité nationaux. Ces exigences peuvent prévoir des exceptions dans des circonstances rendues nécessaires par les besoins uniques de la mission. Ces exigences doivent être codifiées dans un mémorandum de sécurité nationale (NSM). Jusqu’à ce que ce NSM soit publié, les programmes, normes ou exigences établis en vertu du présent arrêté ne s’appliqueront pas aux systèmes de sécurité nationale.

(b) Rien dans la présente ordonnance ne modifiera l’autorité du directeur national en ce qui concerne les systèmes de sécurité nationale tels que définis dans la directive sur la sécurité nationale 42 du 5 juillet 1990 (politique nationale pour la sécurité des télécommunications et des systèmes d’information de sécurité nationale) (NSD- 42). Le réseau FCEB continuera à être sous l’autorité du secrétaire à la sécurité intérieure agissant par l’intermédiaire du directeur de CISA.

(a) le terme «agence» a le sens qui lui est attribué en vertu de 44 U.S.C. 3502.

(b) le terme «audit de la relation de confiance» désigne une relation convenue entre deux ou plusieurs éléments du système qui est régie par des critères d’interaction, de comportement et de résultats sécurisés relatifs à la protection des actifs.

(c) le terme «cyberincident» a le sens attribué à un «incident» en vertu de 44 U.S.C. 3552 (b) (2).

(d) le terme «agences de la branche exécutive civile fédérale» ou «agences de la FCEB» comprend toutes les agences à l’exception du ministère de la Défense et des agences de la communauté du renseignement.

(e) le terme «systèmes d’information de l’exécutif civil fédéral» ou «systèmes d’information FCEB» désigne les systèmes d’information exploités par les agences de l’exécutif civil fédéral, mais exclut les systèmes de sécurité nationale.

(f) le terme «Systèmes d’information fédéraux» désigne un système d’information utilisé ou exploité par une agence ou par un sous-traitant d’une agence ou par une autre organisation pour le compte d’une agence, y compris les systèmes d’information FCEB et les systèmes de sécurité nationale.

(g) le terme «Intelligence Community» ou «IC» a le sens qui lui est attribué sous 50 U.S.C. 3003 (4).

(h) le terme «systèmes de sécurité nationale» désigne les systèmes d’information tels que définis dans 44 U.S.C. 3552 (b) (6), 3553 (e) (2) et 3553 (e) (3).

(i) le terme «journaux» désigne les enregistrements des événements survenus dans les systèmes et réseaux d’une organisation. Les journaux sont composés d’entrées de journal et chaque entrée contient des informations relatives à un événement spécifique qui s’est produit dans un système ou un réseau.

(j) le terme «Nomenclature du logiciel» ou «SBOM» désigne un enregistrement formel contenant les détails et les relations de la chaîne d’approvisionnement de divers composants utilisés dans la création de logiciels. Les développeurs et fournisseurs de logiciels créent souvent des produits en assemblant des composants logiciels open source et commerciaux existants. Le SBOM énumère ces composants dans un produit. C’est analogue à une liste d’ingrédients sur les emballages alimentaires. Un SBOM est utile à ceux qui développent ou fabriquent des logiciels, à ceux qui sélectionnent ou achètent des logiciels et à ceux qui exploitent des logiciels. Les développeurs utilisent souvent des composants logiciels open source et tiers disponibles pour créer un produit; un SBOM permet au constructeur de s’assurer que ces composants sont à jour et de répondre rapidement aux nouvelles vulnérabilités. Les acheteurs peuvent utiliser un SBOM pour effectuer une analyse de vulnérabilité ou de licence, qui peuvent tous deux être utilisés pour évaluer le risque d’un produit. Ceux qui exploitent des logiciels peuvent utiliser les SBOM pour déterminer rapidement et facilement s’ils courent un risque potentiel d’une vulnérabilité nouvellement découverte. Un format SBOM largement utilisé et lisible par machine offre de plus grands avantages grâce à l’automatisation et à l’intégration d’outils. Les SBOM gagnent en valeur lorsqu’ils sont stockés collectivement dans un référentiel qui peut être facilement interrogé par d’autres applications et systèmes. Comprendre la chaîne d’approvisionnement des logiciels, obtenir un SBOM et l’utiliser pour analyser les vulnérabilités connues sont essentiels dans la gestion des risques.

(k) le terme «architecture de confiance zéro» désigne un modèle de sécurité, un ensemble de principes de conception de système et une stratégie coordonnée de cybersécurité et de gestion de système fondée sur la reconnaissance du fait que les menaces existent à la fois à l’intérieur et à l’extérieur des limites du réseau traditionnel. Le modèle de sécurité Zero Trust élimine la confiance implicite dans un élément, un nœud ou un service et nécessite à la place une vérification continue de l’image opérationnelle via des informations en temps réel provenant de plusieurs sources pour déterminer l’accès et les autres réponses du système. En substance, une architecture Zero Trust permet aux utilisateurs un accès complet, mais uniquement au strict minimum dont ils ont besoin pour effectuer leurs tâches. Si un appareil est compromis, la confiance zéro peut garantir que les dommages sont contenus. Le modèle de sécurité Zero Trust Architecture suppose qu’une violation est inévitable ou a probablement déjà eu lieu, de sorte qu’il limite constamment l’accès à ce qui est nécessaire et recherche les activités anormales ou malveillantes. Zero Trust Architecture intègre une surveillance complète de la sécurité; contrôles d’accès granulaires fondés sur les risques; et l’automatisation de la sécurité du système de manière coordonnée dans tous les aspects de l’infrastructure afin de se concentrer sur la protection des données en temps réel dans un environnement de menace dynamique. Ce modèle de sécurité centré sur les données permet d’appliquer le concept d’accès le moins privilégié pour chaque décision d’accès, où les réponses aux questions de qui, quoi, quand, où et comment sont essentielles pour autoriser ou refuser l’accès aux ressources de manière appropriée. sur la combinaison de sever.

(a) Lors de la nomination du directeur national du cyberespace (NCD) et de la création du bureau correspondant au sein du bureau exécutif du président, conformément à l’article 1752 de la loi publique 116-283, des parties de la présente ordonnance peuvent être modifiées pour permettre le NCD pour s’acquitter pleinement de ses devoirs et responsabilités.

(b) Rien dans la présente ordonnance ne doit être interprété comme portant atteinte ou autrement affectant:

(i) le pouvoir accordé par la loi à un département ou une agence exécutive, ou à son chef; ou alors

(ii) les fonctions du Directeur du Bureau de la gestion et du budget relatives aux propositions budgétaires, administratives ou législatives.

(c) Cet arrêté est exécuté d’une manière conforme à la loi applicable et sous réserve de la disponibilité des crédits.

(d) La présente ordonnance ne vise pas et ne crée aucun droit ou avantage, substantiel ou procédural, exécutoire en droit ou en équité par une partie contre les États-Unis, ses départements, agences ou entités, ses dirigeants, employés. , ou des agents, ou toute autre personne.

(e) Rien dans la présente ordonnance ne confère le pouvoir d’interférer avec ou de diriger une enquête criminelle ou de sécurité nationale, une arrestation, une perquisition, une saisie ou une opération de perturbation ou de modifier une restriction légale qui oblige une agence à protéger les informations apprises au cours d’une enquête criminelle ou de sécurité nationale.

Keywords:

Computer security,Ransomware,Cloud computing,Federal Information Security Management Act of 2002,United States Department of Homeland Security,Computer security, Ransomware, Cloud computing, Federal Information Security Management Act of 2002, United States Department of Homeland Security,,america,american,attorney-general,Department of Justice,early detection,executive order,FBI,Federal,federal government,Government,IoT,National Security Agency,NIST,NSA,Security Council,telecommunications,United States,White House,

Donnez votre avis et abonnez-vous pour plus d’infos

[gs-fb-comments]

Vidéo du jour: