Le 7 mars 2023, la Transportation Security Administration (« TSA ») a annoncé la publication d’urgence d’un amendement sur la cybersécurité aux programmes de sécurité de certains exploitants d’aéroports et d’aéronefs réglementés par la TSA, dans le cadre des initiatives du Département américain de la sécurité intérieure. pour améliorer la cybersécurité des infrastructures critiques américaines.
L’amendement exige que les entités réglementées par la TSA concernées élaborent un plan de mise en œuvre approuvé qui décrit les mesures que les entités prennent pour améliorer leur résilience en matière de cybersécurité et prévenir les perturbations ou dégradations potentielles de leur infrastructure. Ces entités réglementées par la TSA doivent également évaluer de manière proactive l’efficacité de ces mesures en :
- Développer des politiques et des contrôles de segmentation du réseau pour s’assurer que les systèmes technologiques opérationnels peuvent continuer à fonctionner en toute sécurité dans le cas où un système de technologie de l’information a été compromis, et vice versa ;
- créer des mesures de contrôle d’accès pour sécuriser et empêcher l’accès non autorisé aux cybersystèmes critiques ;
- Mettre en œuvre des politiques et procédures de surveillance et de détection continues pour se défendre contre, détecter et répondre aux menaces et anomalies de cybersécurité qui affectent les opérations critiques du système informatique ; autre
- Réduire le risque d’exploitation de systèmes non corrigés grâce à l’application de correctifs de sécurité et de mises à jour pour les systèmes d’exploitation, les applications, les pilotes et les micrologiciels sur les cybersystèmes critiques en temps opportun en utilisant une méthodologie basée sur les risques.
L’amendement fait suite à l’annonce du 2 mars 2023 de la stratégie nationale de cybersécurité de la Maison Blanche et à une directive de la TSA d’octobre 2022 visant à améliorer la cybersécurité des transporteurs ferroviaires de passagers et de fret.