Où en est la cybersécurité dans le secteur public ?
Une nouvelle étude mondiale menée par l’Institut Ponemon pour le compte de Tenable explore le cyber-risque dans le secteur public et révèle les principales priorités des dirigeants du secteur public en matière de cybersécurité en 2019.
En effet, la prévention des cyber-attaques est devenue une préoccupation majeure pour bien des pays. L’étude, intitulée Cybersecurity in Public Sector: Five Insights You Need to Know, analyse le point de vue de ceux qui créent les stratégies informatiques – managers, professionnels de l’IT ou de la cybersécurité dans le monde.
Cinq enseignements sur la cybersécurité dans le secteur public
Le principal enseignement sur l’état de la cybersécurité dans le secteur public est la quantité de cyberattaques visant les institutions publiques. Une grande majorité (88 %) des organisations du secteur public ont subi au moins une cyberattaque ayant causé des dégâts au cours des deux dernières années ; et une majorité assez nette (62 %) en a subi deux ou plus. Les cyberattaques dans le secteur public sont endémiques depuis de nombreuses années et continueront de l'être pendant encore longtemps.
Cependant, et c’est le second enseignement, la protection des IoT et OT est désormais une priorité pour les responsables du secteur public. C’est particulièrement important car les IoT et les OT forment une vaste surface d’attaque potentielle pour les attaquants. Les trois enseignements suivants en découlent.
D’abord, pour protéger un tel écosystème, les professionnels de la cybersécurité ont besoin d’une meilleure visibilité sur cette surface d’attaque étendue, et des compétences pour couvrir tous ces actifs, les intégrer dans le système offrant la visibilité, etc. Ensuite, l’extension de la surface d’attaque transforme la relation entre les risques business et les cyber-risques: désormais, l’indisponibilité due à une attaque ciblant des IoT ou des OT a des effets catastrophiques pour l’ensemble de l’organisation. Enfin, l’augmentation du nombre de vulnérabilités inhérentes à une surface d'attaque étendue exige une meilleure priorisation de ces vulnérabilités afin de garder une longueur d'avance sur les pirates. En deux mots, il est temps d'accorder plus d'attention à l'ensemble de la surface d'attaque, y compris les IoT et les OT.
Un contexte de plus en plus difficile
Tout d’abord, il faut contextualiser ces résultats : les professionnels de la cybersécurité dans le secteur public ont fait un excellent travail de promotion concernant les mesures de base en cyber-hygiène auprès des fonctionnaires et autres employés du secteur public. Par conséquent, les attaques par hameçonnage ont été considérablement réduites dans le secteur public. Cela libère du temps pour accorder davantage d’attention aux cibles d’attaques complexes comme celles visant les IoT et les OT.
Il faut ensuite interpréter ces résultats à l’aune de la transformation digitale qu’ont amorcé beaucoup d’administrations – ce qui a pour conséquence directe d’élargir la surface d’attaque. L’expansion rapide de la surface d'attaque, avec la multiplication des appareils d’IoT et d’OT utilisés pour améliorer les services publics, crée de nouveaux risques. Les initiatives de ville intelligente ont accru la demande de nouvelles applications mobiles et de dispositifs interconnectés, ce qui accroît le nombre de menaces auxquelles sont confrontés les professionnels informatiques et cybersécurité.
En même temps, la convergence des environnements IT et OT complique la tâche de ceux qui sont responsables de leur sécurisation. Ils doivent adopter de nouvelles méthodes et de nouveaux outils pour identifier, prioriser et corriger plus efficacement les priorités.
Une bonne nouvelle réside néanmoins dans la généralisation de l’enseignement des bonnes pratiques en cybersécurité, et ce dès l’école, alors que les universités multiplient les formations dédiées à la cybersécurité. Ce sujet se démocratise, et c’est une bonne chose – mais cela rend d’autant plus difficile le recrutement et la rétention des talents en cybersécurité.