Chaque mois de janvier, la question revient sur le devant de la scène médiatique. Ceci est lié à l’évènement incontournable, le Forum International de la Cybersécurité (FIC), qui se tient à Lille et l’adresse. L’occasion de rassembler tout l’écosystème cyber, d’échanger sur les bonnes pratiques et résolutions à prendre pour garantir la sécurité de notre État-Nation et ses différentes composantes (employés, entreprises, administrations). Alors, le secteur public est-il prêt à se défendre ? Voici quelques éléments de réponse.

Pour passer une « cyber » année oserais-je écrire, l’une des bonnes résolutions à prendre peut-être de placer l’urgence cyber au cœur des priorités des décideurs et responsables qui œuvrent pour garantir la sécurité des réseaux, infrastructures, applications et utilisateurs des services fournis par les acteurs du secteur public.

En effet, que l’on soit une mairie, un Conseil général, un OIV, un Ministère ou un État, la menace cyber n’épargne personne. Les acteurs du secteur public sont devenus des cibles privilégiées des cyber-attaquants qui ne cessent de créer et d’exploiter les failles de leur système d’information (SI) pour avoir accès, dérober ou compromettre leurs données et mettre à mal leur fonctionnement, voire en détourner l’usage à des fins criminelles, d’espionnage.

Nous œuvrons quotidiennement auprès des acteurs du secteur public et observons les tendances suivantes :

– Malgré des efforts non négligeables faits par l’État et l’ANSSI sur la question cyber, il faut renforcer le travail d’éducation et de formation du personnel des entreprises et administrations du secteur public. Une récente étude de l’Ifop/EY (mars 2018) rappelle que 66 % des fonctionnaires en collectivités interrogés admettent que leur administration ne possède pas de programme de sécurité, et seulement 49 % d’entre eux estiment que leur organisation a correctement évalué l’importance des enjeux de cybersécurité.

– Les budgets alloués à la sécurité doivent augmenter considérablement pour parer la menace cyber car leurs auteurs, eux, ne manquent pas de moyens pour parvenir à leurs fins. D’ailleurs dans cette même étude, au-delà de la formation/qualification, 40% des fonctionnaires interrogés reconnaissent que les restrictions budgétaires qu’ils subissent sont la cause du mauvais développement de politique de sécurité efficace. Ils évoquent ensuite pour 23% d’entre eux des problèmes de gouvernance/management, pour 16% des outils de gestion de la sécurité du SI de mauvaise qualité, 11% des problèmes liés à la fragmentation de la conformité et de la régulation comme causes du problème cyber dans la sphère publique.

Alors le secteur public est-il vraiment prêt à se défendre ?

Il va de soi que la cybersécurité est l’affaire de tous, que la collaboration est clé, ou bien encore que sans moyens ni formation adéquate, aucun acteur public ne peut garantir la protection de son système d’informations et surtout celles des données sensibles, critiques voire confidentielles qu’il détient.

Comme l’évoque l’étude Ifop mentionnée, la cybersécurité semble être le maillon faible de la sphère publique. Beaucoup de progrès sont faits en la matière, avec le travail de qualité de l’ANSSI, mais ces acteurs doivent redoubler d’efforts et d’attention s’ils ne veulent pas voir leur capital numérique attaqué, corrompu ou utilisé à des fins malveillantes. Le phishing, les ransomwares, malwares sont parmi les attaques les plus répandues et virulentes. Seul 1/3 des personnes interrogées estime qu’une attaque pointue peut être parée. Résultat, 4 %d’entre eux considèrent qu’ils ont correctement évalué l’impact de leur stratégie et 75 % estiment que la maturité de leur système d’identification des vulnérabilités est de très faible à modérée. Si nous avons le droit de nous en inquiéter, nous avons surtout le devoir faire changer ce constat alarmant.

De notre point de vue, la cybersécurité doit devenir une véritable culture nationale au sein de la sphère publique, garante d’une société résiliente. Elle est également un enjeu essentiel de l’action de l’État et une question primordiale de la protection des citoyens.

Il y a également nécessité pour les administrations à maitriser le patrimoine « numérique » pour assurer la continuité des services citoyens, avec des solutions qui permettent de cartographier les flux applicatifs indépendamment de l’environnement (réseau, poste, IoT, clouds privés, Iaas, Paas et Saas).

Également, les administrations face à une industrie du cybercrime qui se professionnalise générant un marché du « malware as a service », ont besoin de mieux comprendre les modes opératoires des attaquants grâce à des outils qui vont pondérer/tracer/analyser des comportements déviants, identifier des nœuds critiques.

_________
Raphael Bousquet est VP Europe du Sud, Israël, Russie de Palo Alto Networks