Des incitations financières, tirées des factures clients, pour renforcer la cybersécurité des services publics : un pas vers une protection renforcée contre les menaces en ligne ?
Dans le domaine de la cybersécurité, le manque de ressources financières représente souvent un obstacle majeur pour les services publics. Cependant, une nouvelle règle mise en place par la Commission fédérale de réglementation de l’énergie (FERC) américaine pourrait apporter une solution à ce problème. À partir du mois prochain, les services publics d’électricité auront la possibilité de financer des investissements dans la cybersécurité grâce à une augmentation des factures d’électricité des consommateurs. Cette mesure vise à aider les propriétaires et les opérateurs qui manquent de ressources à renforcer leur protection contre les cyberattaques malveillantes.
Le nouveau cadre volontaire de cyber incitations, requis par la loi bipartite sur l’investissement et l’emploi dans les infrastructures de l’administration Biden, permettra aux services publics de bénéficier d’un allégement tarifaire lorsqu’ils effectuent des investissements préqualifiés dans la cybersécurité ou rejoignent un programme de partage d’informations sur les menaces. Cette règle vise à éliminer l’excuse financière souvent invoquée par les acteurs du secteur public pour ne pas investir dans la cybersécurité.
Le défi du manque de ressources financières
Cette nouvelle règle pour surmonter le principal obstacle rencontré par les propriétaires et les exploitants d’infrastructures critiques, à savoir le manque d’argent pour investir dans la cybersécurité. Les services publics dépendent des tarifs réglementés approuvés pour l’électricité, et ils ne peuvent pas compter sur les contribuables pour couvrir l’ensemble de leurs dépenses. Les commissions des services publics sont généralement réticentes à approuver une augmentation des tarifs, à moins qu’elle ne soit directement liée à la fourniture d’électricité aux clients.
Une opportunité pour les services publics
La nouvelle règle ouvre la voie à une opportunité pour les services publics d’investir dans la cybersécurité. Les commissions des services publics pourront désormais accorder des allégements tarifaires aux services publics qui souhaitent effectuer des investissements dans la cybersécurité. Cela incite les services publics à renforcer leurs défenses numériques et à mieux se protéger contre les menaces croissantes.
Une réponse aux besoins changeants
La règle qui entrera en vigueur le 3 juillet s’inscrit dans les efforts du gouvernement fédéral pour renforcer la cybersécurité des infrastructures critiques. Alors que les cybermenaces évoluent rapidement, il est crucial que les services publics puissent s’adapter rapidement aux nouvelles menaces. La lenteur du processus réglementaire existant est une préoccupation majeure, mais les incitations proposées permettront aux services publics de mettre en place des mesures de cybersécurité plus rapidement et d’assurer une protection plus efficace.
La nouvelle règle prévoit des investissements préqualifiés qui bénéficieront d’un allégement tarifaire. Actuellement, deux investissements préqualifiés sont mentionnés : la surveillance de la sécurité du réseau interne et l’adhésion à un ISAC (Information Sharing and Analysis Center). Ces investissements permettront aux services publics de renforcer leur capacité à détecter et à prévenir les attaques cybernétiques. De plus, la FERC envisage d’autoriser des incitations au cas par cas pour d’autres investissements qui amélioreraient considérablement la posture de sécurité des services publics.
La FERC prévoit également d’intégrer des contrôles supplémentaires provenant du catalogue de l’Institut national des normes et de la technologie (NIST) et des recommandations spécifiques d’agences fédérales telles que CISA, le FBI, la National Security Agency et le DOE. Ces mesures garantiront une approche plus complète de la cybersécurité et aideront les services publics à se conformer aux normes et aux meilleures pratiques recommandées.
