Les coupes budgétaires fédérales dans le domaine de la cybersécurité redéfinissent les priorités en matière de sécurité en 2025
En savoir plus
L'ère de la qualité : comment la feuille de route de la CISA reflète l'urgence de la cybersécurité moderne
La semaine dernière, L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a lancé une feuille de route pour son programme CVE., Cela marque un tournant important et reconnaît la nécessité de passer d'une “ ère de croissance ” à une “ ère de qualité ” en matière de données de vulnérabilité. En tant que RSSI chez Swimlane, je considère cela comme une forte confirmation de la nécessité d'une approche intégrée et proactive de la cybersécurité.
Un soulagement opportun pour le secteur privé
Notre récent rapport, Évolution du contexte : les priorités fédérales en matière de cybersécurité redéfinissent la stratégie de sécurité, Une enquête menée auprès de 500 décideurs informatiques et de sécurité aux États-Unis et au Royaume-Uni visait à comprendre comment les équipes de sécurité s'adaptent aux récents changements intervenus dans les programmes fédéraux de cybersécurité. Les résultats ont révélé une tendance préoccupante : les responsables de la sécurité, qui s'appuyaient autrefois sur les renseignements et la coordination du secteur public, doivent désormais faire face à une augmentation des risques et des contraintes opérationnelles. Dans le contexte des coupes budgétaires récentes et prévues de la CISA :
- 63% des répondants ont déclaré que leur structure d'équipe et leurs plans de dotation en personnel sont affectés.
- 91% des organisations privées prennent déjà de nouvelles mesures pour maintenir leurs activités malgré la réduction du soutien fédéral.
C’est un signal clair que le secteur privé assume une part plus importante de ses responsabilités, ce qui rend la feuille de route en matière de lutte contre l’extrémisme violent encore plus opportune.
Feuille de route de la CISA : un appel à une cybersécurité intégrée et proactive
Cette feuille de route arrive à un moment crucial. En tant que RSSI, je suis particulièrement rassuré par l'engagement clair de la CISA en faveur de la modernisation de l'infrastructure CVE. Il ne s'agit pas d'un simple plan général ; c'est une démarche stratégique visant à intégrer des technologies de pointe telles que l'automatisation, l'IA et l'apprentissage automatique afin d'améliorer la qualité et l'évolutivité des données. Ce changement est essentiel, car nous ne pouvons plus nous fier aux processus manuels pour gérer l'explosion du nombre de vulnérabilités.
FAQ sur la feuille de route de la CISA
Quel est le plan stratégique de cybersécurité de la CISA ?
Le plan stratégique de cybersécurité de la CISA définit les priorités de l'agence pour renforcer la cybersécurité nationale. Il met l'accent sur le développement de la résilience, de la collaboration et de l'innovation dans les secteurs public et privé.
Quel est l’impact du plan stratégique de la CISA sur les organisations privées ?
Le plan stratégique de la CISA signale une réduction du soutien fédéral et encourage les organisations privées à adopter des mesures proactives, telles que l'automatisation, l'amélioration du renseignement sur les menaces et une coordination accrue entre les outils et les équipes.
Quel est le plan d'action de la CISA en matière d'IA et pourquoi est-il important ?
La feuille de route de la CISA en matière d'IA s'inscrit dans le cadre de l'initiative de l'agence visant à moderniser le programme CVE, en s'appuyant sur des technologies telles que l'IA et l'apprentissage automatique. Elle a pour objectif d'améliorer la qualité des données, d'accélérer la réponse et de réduire les interventions manuelles dans la gestion des vulnérabilités.
Collaboration multisectorielle et internationale
L'accent mis par la feuille de route sur la collaboration multisectorielle et internationale est également crucial. Élargir la représentation aux gouvernements, aux universités, aux chercheurs en sécurité, aux entreprises de technologies opérationnelles et à la communauté open source permettra de créer un écosystème de vulnérabilité plus global et plus robuste. Ceci offrira une vision plus complète du paysage des menaces, indispensable à une gestion efficace des risques.
Engagement en faveur de la transparence et du financement durable
J'appuie également sans réserve l'engagement de la feuille de route en faveur de la transparence et sa volonté de préserver le caractère public du programme CVE. Dans un secteur où la confiance et l'intégrité des données sont primordiales, il est impératif que le programme reste gratuit et indépendant des fournisseurs. Je suis par ailleurs prudemment optimiste quant aux plans de diversification des financements, qui seront essentiels à la pérennité du programme au-delà des cycles de financement publics traditionnels.
Implications pratiques pour le secteur privé : amélioration de la qualité et de la réactivité des données
D'un point de vue pratique, les nouvelles normes minimales de qualité des enregistrements CVE et les mécanismes fédérés d'enrichissement des données constituent un atout majeur pour les responsables de la sécurité. Elles nous permettront d'obtenir des informations sur les vulnérabilités plus fiables et exploitables, fondement de toute stratégie efficace de gestion des risques. De plus, le renforcement du rôle des autorités de numérotation CVE (CNA) et l'introduction du rôle de “ CNA de dernier recours ” amélioreront la réactivité et la visibilité au sein du programme, offrant ainsi aux RSSI et à leurs équipes la clarté nécessaire pour agir rapidement.
Dans notre rapport, Nous avons constaté que les organisations se tournent déjà vers le secteur privé pour pallier le manque de soutien fédéral. Plus de la moitié des organisations interrogées (51%) font désormais davantage appel à des fournisseurs commerciaux de renseignements sur les menaces. Elles privilégient également les capacités permettant de compenser les déficits de personnel et de coordination, les principaux axes de recherche étant une meilleure coordination entre les outils et les équipes de sécurité (44%), des renseignements sur les menaces plus exploitables (41%) et l'automatisation des tâches répétitives (39%).
La feuille de route de la CISA, axée sur la qualité et l'automatisation, répond directement à ces besoins essentiels et allège une partie du fardeau qui pèse sur le secteur privé.
Une nouvelle ère d'autonomisation en matière de cybersécurité
La nouvelle feuille de route de la CISA pour le programme CVE est bien plus qu'une simple initiative fédérale ; il s'agit d'une démarche stratégique qui témoigne de l'impérieuse nécessité pour le secteur de la cybersécurité d'évoluer. En privilégiant la qualité des données et en tirant parti de technologies telles que l'automatisation et l'IA, le programme jette les bases d'un écosystème de défense plus résilient et proactif.
Ce document reconnaît que, pour protéger nos infrastructures critiques, nous devons combler le fossé entre l'expertise humaine et les progrès technologiques, en dotant les équipes de sécurité des outils dont elles ont besoin pour réussir dans cette nouvelle ère de la cybersécurité.
Les priorités fédérales en matière de cybersécurité redéfinissent la stratégie de sécurité
Les récentes évolutions des programmes fédéraux américains de cybersécurité ont un impact considérable sur le secteur privé. Un nouveau rapport, basé sur une enquête menée auprès de 500 décideurs informatiques et de sécurité aux États-Unis et au Royaume-Uni, révèle que les responsables de la sécurité sont confrontés à une exposition accrue aux risques, une visibilité réduite et une pression opérationnelle croissante.
Téléchargez le rapport de recherche pour découvrir les conclusions qui mettent en lumière la manière dont les organisations s'adaptent à ce nouveau contexte.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español