Vacante depuis huit mois, la direction de la Cybersecurity and Infrastructure Security Agency sera désormais occupée par Jen Esterly, une ancienne responsable de la NSA, qui va devoir rapidement s’atteler à la menace que les ransomwares font peser sur toutes les organisations américaines, publiques comme privées.
La direction de l’agence américaine chargée de la cybersécurité était vacante depuis que son patron, Chris Krebs, a été remercié par l’administration Trump pour avoir insisté (et légèrement trollé) sur l’absence de fraudes aux élections présidentielles. Joe Biden a désigné Jen Easterly à ce poste, une nomination confirmée par le Sénat hier. Un vote tardif, un mois après sa confirmation à la tête de la CISA par le Homeland Security Committee, du fait d’un blocage des Républicains.
Jen Esterly fut, entre 2011 et 2013, la directrice adjointe de la NSA chargée de l’antiterrorisme, et l’un des architectes de l’US Cyber Command. Plus récemment, elle était employée par la banque Morgan Stanley où l’ancienne de la NSA s’occupait de cyber-résilience.
Travaux herculéens
A la tête de la CISA, la tâche qui l’attend est pharaonique. Comme le soulignait le démocrate Gary Peters, président du Homeland Security Committee, « nous avons besoin d'elle immédiatement pour qu'elle puisse travailler avec l’administration, les entreprises et d'autres pour se remettre des récentes cyberattaques et pour renforcer les défenses de cybersécurité avant la prochaine attaque ». Car entre sa confirmation par le comité et le vote du Sénat, Kaseya était attaqué, avec les conséquences que l'on sait.
Jen Esterly aura certainement un rôle clé dans l’administration Biden, alors que les attaques par ransomwares montent en puissance et affectent indifféremment entreprises privées et agences fédérales. « Nous en sommes maintenant à un stade où les acteurs étatiques et non-étatiques exploitent le cyberespace, en grande partie en toute impunité, pour menacer notre vie privée, notre sécurité et nos infrastructures » soulignait-elle lors de son audition. A noter que la patronne de la CISA compte bien s’occuper des « normes » en vigueur dans le secteur privé, suggérant que la notification des autorités en cas de violation devrait être obligatoire.