Jen Easterly, candidate au poste de directrice de la Homeland Security Cybersecurity and Infrastructure Security Agency, témoigne lors de son audience de confirmation devant la commission sénatoriale de la sécurité intérieure et des affaires gouvernementales le 10 juin 2021 à Washington, DC.
Kévin Dietsch | Getty Images
Un haut responsable américain de la cybersécurité a exhorté les entreprises à assumer davantage le fardeau de la sécurisation de leurs services pour les clients et a suggéré que la nouvelle législation devrait les tenir responsables de la création et de la maintenance de logiciels sécurisés.
La directrice de l’Agence de cybersécurité et de sécurité des infrastructures, Jen Easterly, retenue Pomme comme un exemple positif de responsabilité et de transparence pour ses pratiques de sécurité lors d’un discours prononcé lundi à l’Université Carnegie Mellon.
Elle a souligné la divulgation d’Apple selon laquelle 95% des utilisateurs d’iCloud activent l’authentification multifacteur, ou MFA, une mesure de sécurité hautement recommandée qui oblige un utilisateur à saisir un code envoyé à un autre appareil ou compte lors de la connexion pour se protéger contre les pirates. Easterly a déclaré que le taux d’adoption élevé est le résultat du fait qu’Apple a fait de MFA la valeur par défaut.
Ce faisant, Easterly a déclaré : “Apple s’approprie les résultats de sécurité de ses utilisateurs”.
En revanche, Easterly a déclaré qu’il y avait de faibles taux d’adoption de l’AMF à Microsoft et Twitter. Elle a déclaré que le quart environ des entreprises clientes de Microsoft qui utilisent MFA et moins de 3 % des utilisateurs de Twitter qui l’utilisent sont « décevants ».
Pourtant, elle a félicité les entreprises pour leur transparence dans la divulgation des chiffres.
“En fournissant une transparence radicale autour de l’adoption de la MFA, ces organisations aident à mettre en lumière la nécessité de la sécurité par défaut”, a déclaré Easterly, selon ses remarques préparées. “D’autres devraient suivre leur exemple – en fait, chaque organisation devrait exiger la transparence concernant les pratiques et les contrôles adoptés par les fournisseurs de technologie, puis exiger l’adoption de ces pratiques comme critères de base d’acceptabilité avant l’achat ou l’utilisation.”
Easterly a suggéré que la nouvelle législation devrait “empêcher les fabricants de technologies de décliner toute responsabilité par contrat, d’établir des normes de protection plus élevées pour les logiciels dans des entités d’infrastructure critiques spécifiques et de favoriser le développement d’un cadre de protection pour protéger des sociétés à responsabilité qui développent et maintiennent leurs logiciels en toute sécurité. produits et services.”
Microsoft et Twitter n’ont pas immédiatement fourni de commentaire.
Abonnez-vous à CNBC sur YouTube.
REGARDER: Discours de clôture: La Maison Blanche est sérieuse au sujet de la cybersécurité
