Dans un document, intitulé « Stratégie de Défense dans le Cyberespace », le Pentagone fait l'éloge des bonnes pratiques du secteur de l'industrie, notamment sa promotion d'une informatique sûre auprès des utilisateurs, sa manière « saine » de concevoir et de sécuriser les réseaux, et appelle clairement à s'inspirer des pratiques du secteur privé pour la sécurisation de ses réseaux. « Le ministère de la Défense va intégrer les objectifs de renouvellement continu en oeuvre dans le secteur privé, en vue de renforcer ses propres dispositifs informatiques et maintenir de bonnes pratiques dans le domaine de la cyber sécurité, » insiste ainsi le document. « Ces pratiques saines doivent être appliquées par tous, à tout moment. Car, c'est aussi important de mobiliser les individus pour qu'ils se protègent eux-mêmes, que de maintenir des logiciels de sécurité et des systèmes d'exploitation à jour. »
Cette initiative s'inspire de modalités en cours dans le secteur privé pour atteindre certains objectifs. Par exemple, le Ministère de la Défense américain invite les FAI à collaborer avec le gouvernement pour l'aider à atténuer les risques pouvant affecter les réseaux militaires. Il appelle à une coopération avec le secteur privé pour renforcer les chaînes d'approvisionnement et minimiser les risques que représentent certains produits et services achetés à des entreprises situées hors des États-Unis. Ou encore, à se protéger contre « les produits contrefaits qui présentent également un risque qu'il faut limiter, » comme l'indique le document du Departement of Defense (DoD) américain.
Raccourcir le déploiement des programmes
L'armée va notamment raccourcir le cycle de vie de ses infrastructures réseau, et se mettre au rythme des pratiques communément en cours dans le secteur privé - 12 à 36 mois, contre à sept ou huit ans actuellement. « Pour reproduire le dynamisme du secteur privé et mieux profiter, des concepts informatiques émergents, les processus d'acquisition du DoD en matière de technologie de l'information, adoptera cinq principes, » préconise le document. À savoir : faire correspondre le processus d'acquisition avec les cycles de développement de la technologie ; préférer le test et le développement par étape, plutôt que de déployer des systèmes monolithiques ; donner la priorité à la rapidité du déploiement plutôt qu'à une certaine personnalisation ; imposer différents niveaux de surveillance pour les systèmes critiques ; effectuer une évaluation approfondie de la sécurité de tous les nouveaux systèmes, notamment, ne laisser aucune porte dérobée ouverte, et n'activer aucun module en cours de test.
Mais le Pentagone ne se contente pas de se caler sur les pratiques des entreprises. Sa stratégie comporte quelques initiatives dont le secteur privé pourrait s'inspirer. Mais elles sont souvent trop vagues, et ne définissent pas de modalités suffisamment claires qui serviraient de base ou d'exemple. Le document évoque l'établissement d'une culture de la sécurité à travers la formation et demande des sanctions plus strictes pour les actions malveillantes ; ou encore, il préconise l'utilisation d'un cloud sécurisé, sans dire comment le DoD compte sécuriser ses ressources dans le cloud, un défi auquel sont confrontés en permanence les responsables de la sécurité dans les entreprises. Ou bien, développer des architectures plus sûres et instaurer plus de modalités dans le fonctionnement, d'autres pistes pour lesquelles le document ne donne pas davantage de détails.
[[page]]
Le Pentagone dit aussi compter sur la Silicon Valley pour développer rapidement des technologies qui aideraient à renforcer la sécurité et changer la façon dont fonctionne l'Internet. « Le DoD va être à l'affût des progrès technologiques potentiellement importants, y compris ceux orientés vers de nouvelles architectures, afin de renforcer les capacités de défense et rendre les systèmes plus résistants à des actions malveillantes. Le DoD encourage la recherche de technologies révolutionnaires qui tentent de repenser les fondements du cyberespace, » explique encore le document du ministère de la Défense américain. « À cet effet, le DoD va engager des partenariats avec de grandes institutions scientifiques, pour développer un cyberespace plus sûr, mieux sécurisé, avec des capacités qui lui permettront de résister beaucoup mieux encore aux actions malveillantes. »
Cette stratégie pourrait être une aubaine pour les entreprises de haute technologie, en particulier celles capables de développer rapidement de nouvelles technologies. « Le ministère de la Défense va également offrir des opportunités à des petites et moyennes entreprises, et collaborera avec les entreprises de la Silicon Valley et d'autres pôles d'innovation technologique aux États-Unis, pour favoriser les recherches innovantes, les hisser au rang de programmes pilotes, jusqu'à leur adoption par le DoD, » dit encore le document. Ce travail se fera en collaboration avec les universités et d'autres institutions gouvernementales.