Le Congrès cherche à élargir le rôle de la CISA, en ajoutant des responsabilités pour les satellites et les logiciels open source

Les législateurs ont adopté mercredi une série de projets de loi pour donner à la Cybersecurity and Infrastructure Security Agency de nouvelles responsabilités en ce qui concerne la sauvegarde des logiciels open source, la protection des infrastructures critiques américaines et l’expansion de la main-d’œuvre en cybersécurité.

La commission sénatoriale de la sécurité intérieure et des affaires gouvernementales a présenté un projet de loi qui obligerait la CISA à maintenir un centre d’échange de systèmes de satellites publics commerciaux et à créer des recommandations volontaires en matière de cybersécurité pour le secteur spatial. De plus, le comité a proposé une législation exigeant que la CISA crée un programme pilote de cyberréserve civile pour répondre aux incidents.

Le comité de la sécurité intérieure de la Chambre législation avancée cela obligerait la CISA à travailler avec la communauté open source pour mieux la sécuriser et créer un cadre pour évaluer les risques généraux des composants open source pour les agences fédérales. La Chambre a avancé un autre projet de loi qui donnerait à la CISA le pouvoir de former les employés du DHS qui n’occupent actuellement pas de postes en cybersécurité pour passer à un tel rôle.

La multitude de lois et l’accent mis sur la CISA surviennent alors que l’administration Biden et le Congrès tentent de faire face à la litanie de risques de cybersécurité qui menacent les infrastructures critiques en raison de décennies d’inaction du gouvernement et du manque général de réactivité du secteur à la correction des systèmes vulnérables. L’agence a été présentée comme la solution incontournable et la coordinatrice pour tout ce qui concerne la cybersécurité, mais de nombreux républicains à la Chambre et au Sénat se sont moqués lors des balisages de mercredi en donnant à la CISA plus de responsabilités et d’autorités.

Le sénateur Rand Paul, R-Ky., A déclaré que le Congrès devrait limiter le pouvoir de la CISA “et non l’étendre”. Les inquiétudes concernant les autorités de la CISA sont susceptibles d’être un point de pression croissant parmi les républicains qui ont exprimé des inquiétudes quant à la possibilité que la CISA devienne un organisme de réglementation.

La loi de 2023 sur la sécurisation des logiciels open source, qui est également une Projet de loi d’accompagnement du Sénatétait une réponse directe de la vulnérabilité Log4Shell trouvée dans l’outil open source populaire de l’outil de journalisation Log4J d’Apache qui est utilisé dans l’ensemble de l’industrie.

“Cet effort bipartisan et bicaméral est essentiel pour améliorer la façon dont le gouvernement fédéral gère son risque découlant de l’utilisation de logiciels open source, le fondement de notre écosystème numérique”, a déclaré le président Mark Green, R-Tenn.

Les problèmes de protection des programmes open source, qui sont en grande partie motivés par des développeurs bénévoles, étaient une considération clé pour l’administration Biden qui a organisé un sommet avec des dirigeants de la communauté. De plus, la vulnérabilité Log4Shell était le sujet inaugural du Cyber ​​Safety Review Board du DHS.

Le projet de loi obligerait la CISA à s’engager avec la communauté open source, à embaucher des employés qui ont de l’expérience avec les programmes open source et à aider les agences fédérales et le secteur privé avec des divulgations de vulnérabilité coordonnées. En outre, cela obligerait la CISA à développer un cadre pour évaluer les risques des composants open source, y compris une évaluation de chaque composant logiciel open source utilisé «directement ou indirectement par les agences fédérales».

Le projet de loi sur les satellites obligerait également le contrôleur général à faire rapport au Congrès sur les efforts fédéraux pour protéger les systèmes de satellites. La CISA serait également tenue de créer des recommandations volontaires de cybersécurité pour les systèmes satellitaires, qui incluent également des liaisons de transmission entre les satellites et le support au sol. Le Conseil national de l’espace, quant à lui, est tenu d’établir une stratégie décrivant les rôles et les responsabilités du gouvernement fédéral pour les agences.