Ce cours examinera les infrastructures d'eau potable et d'électricité, ainsi que les différentes politiques qui ont été développées pour aider à guider et à renforcer leurs programmes de cybersécurité. Les infrastructures d'eau potable et d'électricité sont deux des quatorze sous-secteurs qui composent ce que l'on appelle les "infrastructures de base". Le plan national de protection des infrastructures de 2013 identifie quatre secteurs d'infrastructures de base : 1) l'eau, 2) l'énergie, 3) les transports et 4) les communications. Ces secteurs sont qualifiés de "vitaux" parce que de nombreuses autres infrastructures en dépendent. Le sous-secteur de l'eau potable fait partie du secteur de l'eau, et le sous-secteur de l'électricité fait partie du secteur de l'énergie. Ces deux sous-secteurs sont supervisés par la Direction des programmes et de la protection nationale du ministère de la sécurité intérieure, qui gère le programme national de protection des infrastructures du ministère de la sécurité intérieure. Le NIPP utilise un programme d'amélioration continue en cinq étapes appelé "Risk Management Framework" (cadre de gestion des risques). La mise en œuvre du NIPP est supervisée par des agences sectorielles désignées par le DHS et composées de membres du personnel de divers départements fédéraux. Les agences sectorielles travaillent en coopération volontaire avec des représentants de l'industrie pour appliquer le cadre de gestion des risques et documenter les résultats dans les plans sectoriels correspondants. Le programme a débuté en 2007 et les plans sectoriels les plus récents ont été publiés en 2016. En février 2013, le président Obama a publié le décret 13636 demandant au National Institute of Standards and Technology d'élaborer une série de recommandations volontaires pour renforcer les mesures de cybersécurité des infrastructures. L'EO13636 demandait également aux agences fédérales dotées d'un pouvoir réglementaire de formuler une recommandation sur la nécessité de rendre obligatoire le cadre de cybersécurité du NIST. L'Environmental Protection Agency, qui est à la fois la SSA et l'autorité de régulation pour le sous-secteur de l'eau potable, a recommandé l'application volontaire du cadre de cybersécurité du NIST. Le ministère de l'énergie, qui est à la fois la SSA et l'autorité de régulation du sous-secteur de l'électricité, a répondu qu'il mettait déjà en œuvre le modèle de maturité des capacités de cybersécurité du sous-secteur de l'électricité, sur lequel le cadre de cybersécurité du NIST est basé. Le ministère de l'énergie, quant à lui, a recommandé l'application volontaire du modèle ES-C2M2. Ce module examine les sous-secteurs de l'eau potable et de l'électricité, ainsi que les éléments et l'application du cadre de cybersécurité du NIST et du modèle ES-C2M2.

Dans ce cours, nous examinerons les infrastructures de l'aviation et de l'Internet, ainsi que les différentes politiques qui ont été développées pour aider à guider et à renforcer leurs programmes de cybersécurité. Les infrastructures de l'aviation et de l'internet sont également considérées comme des "infrastructures vitales" dans le cadre des secteurs des transports et des communications. Ces deux sous-secteurs sont supervisés par le Department of Homeland Security National Protection and Programs Directorate, qui gère le programme national de protection des infrastructures du DHS. La responsabilité du SSA pour le sous-secteur de l'aviation est partagée entre l'Administration de la sécurité des transports et l'Administration fédérale de l'aviation, sous les auspices respectifs du ministère de la sécurité intérieure et du ministère des transports. Le ministère de la sécurité intérieure reste seul responsable en tant qu'agence sectorielle pour le sous-secteur de l'internet. Alors que la TSA et la FAA ont un pouvoir réglementaire sur le sous-secteur de l'aviation, le DHS n'a aucune autorité réglementaire sur l'internet. En réponse au décret 13636 publié par le président Obama en février 2013, les deux groupes d'agences sectorielles ont recommandé de poursuivre les mesures volontaires de cybersécurité. La TSA et la FAA ont indiqué qu'elles travaillaient à la mise en œuvre de la feuille de route pour les transports dans tous les sous-secteurs des transports, y compris l'aviation. Le DHS a indiqué qu'il travaillait avec les fournisseurs d'accès à Internet pour mettre en œuvre l'approche de gestion des risques de la cyberévaluation. Malgré quelques différences, la feuille de route pour les transports et l'approche CARMA sont très similaires au cadre de cybersécurité du NIST et à l'ES-C2M2 examinés précédemment. En d'autres termes, ils reposent sur un processus d'amélioration continue qui engage l'ensemble de l'organisation dans l'identification et la mise en œuvre de changements progressifs visant à améliorer les pratiques de cybersécurité sur la base des normes en vigueur. Ce module examinera les sous-secteurs de l'aviation et de l'infrastructure de ligne de vie Internet, ainsi que les éléments et l'application de la feuille de route pour les transports et de CARMA.

Ce cours se penche sur l'avenir de la cybersécurité et sur les mesures prises pour réduire le risque de destruction catastrophique résultant d'une cyberattaque contre des infrastructures critiques. A cet égard, nous ferons un bref tour d'horizon des solutions technologiques potentielles et des options de réponse. Nous conclurons ce module en examinant les aspects uniques de la cyberprofession et les considérations personnelles pour ceux qui veulent faire de la cybersécurité une carrière.