Cette règle met l’accent sur des normes basées sur la performance, alignées avec le cadre de cybersécurité du National Institute of Standards and Technology (NIST) et suit les standards développés par l’Agence de cybersécurité et de sécurité des infrastructures (CISA). Elle s’appuie sur les mesures de cybersécurité que la TSA a mises en œuvre à travers des Directives de Sécurité annuelles depuis 2021.
Un aspect notable de la règle propose que les opérateurs de transport mettent en place un programme complet de gestion des risques cybernétiques (CRM), incluant des évaluations annuelles de cybersécurité à l’échelle de l’entreprise et des stratégies détaillées pour la réponse et la récupération en cas d’incidents. Les opérateurs doivent surveiller les systèmes, maintenir des sauvegardes et adopter des protocoles robustes tels que la gestion des correctifs et la segmentation du réseau pour réduire les vulnérabilités. En outre, la TSA propose des évaluations et audits annuels de ces plans de cybersécurité pour garantir leur efficacité, avec un processus d’évaluation indépendant pour éviter les conflits d’intérêts.
Dans une déclaration, l’administrateur de la TSA, David Pekoske, a souligné la collaboration entre la TSA et ses partenaires industriels pour renforcer la résilience en cybersécurité, invitant le public et les acteurs du secteur à soumettre leurs commentaires sur les règlements proposés. Les parties intéressées ont jusqu’au 5 février 2025 pour soumettre leurs observations sur les impacts potentiels, y compris les effets économiques et opérationnels.
La proposition inclut également des dispositions pour un nouveau plan d’évaluation de la cybersécurité (CAP) approuvé par la TSA, avec des évaluations et audits annuels. Par ailleurs, la proposition exige des évaluations des menaces de sécurité pour les coordinateurs de cybersécurité et les cadres impliqués dans la gestion de ces programmes CRM.
Alors que les menaces cybernétiques évoluent, l’initiative de la TSA représente un effort majeur pour sécuriser les systèmes de transport terrestres du pays, illustrant l’engagement de construire un cadre de cybersécurité renforcé pour protéger les infrastructures critiques.
Source: Industrial Cyber
La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.