A la Une

Un chien de garde du Pentagone élimine des « vulnérabilités critiques » dans le programme de cybersécurité du DdD

CC BY 2.0 / Richard Patterson

Un nouvel audit de l’inspecteur général a révélé que l’un des programmes de cybersécurité les plus vitaux du Pentagone n’atteignait pas ses objectifs et ne protégeait pas les vulnérabilités critiques des systèmes. De plus, la manière particulière dont le Pentagone gère le programme limite sa capacité à assurer une surveillance adéquate du programme.

Dans un rapport publié le 4 juin par l’inspecteur général du ministère de la Défense MdD ou DdD), l’agence de surveillance indépendante a révélé que le programme Joint Regional Security Stacks (JRSS) ne protégeait pas de manière adéquate les réseaux des Etats-Unis d’Amérique dans l’environnement d’information commun (JIE).

JIE est essentiellement un centre de commande, de contrôle, de communications et d’informatique exploité par la Defense Information Systems Agency (DISA) du DdD (DoD). La plupart des commandements des Etats-Unis d’Amérique ont au moins un hub, comprenant les commandements du Nord, d’Europe, du Pacifique et du Centre, selon un document d’information publié en novembre 2018 par l’agence.

Dans l’ensemble, le rapport a révélé que le JRSS «atteignait les résultats escomptés» en limitant le nombre de points d’accès, les ayant déjà réduits de 2 700. Cependant, dans d’autres domaines, les résultats sont insuffisants. Malheureusement, deux résultats spécifiques que le JRSS est censé atteindre sont résumés dans le rapport rendu public.

« Le JRSS ne répond pas aux autres résultats de la JIE car les responsables du Département de la Défense (DdD) ne se sont pas assurés que tous les outils JRSS répondaient aux besoins des utilisateurs et que les opérateurs JRSS avaient été formés avant le déploiement du JRSS », indique le rapport. « En outre, bien que le coût du JRSS soit estimé à plus de 520 millions de dollars, les responsables du MdD ont estimé qu’il s’agissait d’une mise à jour technologique et qu’il n’était donc pas soumis aux exigences de la directive 5000.02 du MdD. »

«Si les exigences de l’Instruction 5000.02 du DoD avaient été appliquées, le JRSS serait considéré comme une acquisition majeure du système d’information automatisé, car il devrait coûter 1,7 milliard de dollars de plus que le seuil de 520 millions de dollars, et les responsables du Département de la défense auraient été tenus d’élaborer des exigences de capacité formelles, un plan directeur de test et d’évaluation approuvé et un plan de formation des opérateurs pendant le développement du système JRSS.»

En d’autres termes, en raison de la manière dont le Pentagone catégorise le programme JRSS, celui-ci n’a pas le même type de contrôle que les autres dont le financement est autorisé de manière plus typique, ce qui oblige le Pentagone à fournir un plan de programme qui s’est avéré être le moyen le plus rentable d’atteindre ses objectifs, et à fournir au Congrès des rapports d’avancement réguliers.

La peine subie par les forces des Etats-Unis d’Amérique pour cet écart de protection persistant pourrait être grave, note l’audit.

«Le JRSS est l’élément le plus critique à court terme du JIE du DdD. Par conséquent, si le système JRSS n’est pas efficace, sûr et durable sur le plan opérationnel, le DdD pourrait ne pas réaliser la vision de la JIE, qui consiste notamment à renforcer la sécurité sur le réseau d’information du DdD. En outre, en l’absence de garanties de sécurité adéquates pour le système JRSS, les faiblesses identifiées dans ce rapport pourraient empêcher les défenseurs du réseau d’obtenir les informations nécessaires pour prendre des décisions en temps voulu, et pourraient conduire à un accès non autorisé au DoDIN et à la destruction, à la manipulation ou à la compromission des données du DdD.»

C’est loin d’être la première fois que le DdD est appelé à ne pas brancher ses cyber-vulnérabilités. Sputnik a publié en janvier un rapport sur les principales faiblesses de la cybersécurité au Pentagone, sur la base du directeur des tests et de l’évaluation opérationnelle (DOT & E) du département de la Défense et du IG DoD.

« Les testeurs du DdD ont régulièrement découvert des vulnérabilités critiques dans les systèmes en développement et, dans certains cas, de manière répétée au fil des années », et les responsables du programme « ont généralement tendance à négliger l’ampleur et la gravité du problème », a déclaré à Bloomberg directrice du Bureau de la responsabilité du gouvernement, Cristina Chaplain, a déclaré à Bloomberg à l’époque.

Dans un cas choquant, l’armée de l’air n’a pas suivi les recommandations précédentes de changer les mots de passe de l’ordinateur de son F-35 Joint Strike Fighters, ce que les pirates du Pentagone ont fait craquer en seulement neuf secondes.

Le même rapport faisait état de faiblesses en matière de cybersécurité dans les véhicules blindés Stryker de l’Armée de terre qui devraient devenir le moyen de transport indispensable des forces états-uniennes de tir à la carabine et de reconnaissance en Europe.

De même, le général Paul Nakasone, chef du Cyber ​​Command des États-Unis d’Amérique, qui dirige également la US National Security Agency (NSA), a déclaré au sous-comité du renseignement de la Chambre des forces armées sur le renseignement et les menaces et les capacités émergentes en mars, que CYBERCOM tirerait pleinement parti de l’augmentation de son financement de 10% cette année pour remédier aux vulnérabilités en matière de cybersécurité et renforcer la capacité des États-Unis d’Amérique à riposter à la suite d’une cyberattaque.

Traduction : MIRASTNEWS

Source : Sputnik News

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :