Qu'est-ce qui empêche les RSSI du public de dormir la nuit  ?

Les RSSI du secteur public sont probablement tous autant terrorisés par les ransomwares. ll suffit d'un clic par inadvertance sur un lien infecté pour se retrouver face à un logiciel malveillant.

Les responsables de la sécurité du système d’information (RSSI) des administrations publiques et collectivités locales sont probablement tous autant terrorisés par les ransomwares. Aujourd’hui, la croissance exponentielle des données numériques génère une surface d’attaque inédite dont profitent les cybercriminels. Il suffit d’un clic par inadvertance sur un lien infecté pour se retrouver face à un logiciel malveillant, avec les conséquences catastrophiques que l’on connaît.

Les inquiétudes des RSSI sont fondées. Computer Forensics World recense 4 000 attaques de ransomware chaque jour depuis 2016. Le site indique également qu’en 2021, une entreprise aurait été touchée toutes les 11 secondes par un rançongiciel. Cela représente, sur 12 mois, une augmentation de 125% du volume d’incidents. Globalement, le constat est sombre pour les RSSI. L’an dernier, les dommages provoqués par les ransomwares se sont élevés à 20 milliards de dollars dans le monde. Et les organisations à but lucratif ne sont pas les seules touchées.

Les instances gouvernementales et les collectivités territoriales essuient également un feu nourri d’attaques. Contrairement aux entreprises du privé qui disposent d’importantes équipes et ressources IT, les organismes publics partent souvent avec plusieurs handicaps. En plus de technologies plus anciennes, elles doivent aussi fonctionner avec un manque de ressources humaines et des budgets serrés. Rien que sur l’année 2020, les rançongiciels visant ces organismes publics ont fait plus de 70 millions de victimes. Et le montant de la rançon exigée par les pirates pour restaurer les données était compris entre 2 500 et 5 millions de dollars !

Tandis que les rançongiciels font la une des médias, une autre menace pèse sur les administrations locales et nationales. À cause du manque d’investissements et du vieillissement des infrastructures informatiques, les RSSI peinent à protéger leurs institutions des ransomwares et autres menaces. Je me suis dernièrement entretenue avec des experts IT au sein d’administrations locales et nationales américaines. Nous avons notamment discuté du cycle de vie des certificats numériques, mais aussi de la pénurie d’experts en interne, et des silos de données. Malgré le souci préoccupant que représentent les rançongiciels, ces experts soulignent l’importance de ne pas perdre de vue d’autres problématiques plus larges.

Problématique n° 1 : les silos de données

Le cloisonnement des données pose problème pour la sécurité. On ne peut, en effet, gérer ou protéger ce que l’on ne voit pas. Il faut donc que les RSSI disposent d’un accès unifié et global aux données essentielles.

Comme sur bon nombre d’infrastructures anciennes, avec le temps les données s’accumulent. De nouvelles briques sont accolées aux anciennes infrastructures. Le cloisonnement des données freine la prise de décisions : à cause d’un manque de transparence, mais aussi de la difficulté à partager les données. S’il est indispensable de cloisonner pour limiter l’accès aux données sensibles, il faut aussi parvenir à un certain équilibre entre protection et partage des données. Si l’on restreint les accès, il devient quasiment impossible de partager des données, et donc de prendre des décisions éclairées.

Problématique n° 2 : l’éclatement des équipes 

Le cloisonnement ne concerne pas uniquement les données. Dans les administrations et collectivités locales, la plupart des RSSI doivent faire appel à des centres de services IT géographiquement dispersés.

Un centre principal peut, par exemple, superviser les achats de certificats SSL et leur approbation. Ces centres regroupent généralement plusieurs départements qui ne fonctionnent pas toujours en bonne intelligence. Bien souvent, les canaux de communication nécessaires manquent pour assurer une protection globale des données.

En plus d’entraver les processus décisionnels, cela contribue à rendre les politiques de sécurité inopérantes. L’empilement des processus d’approbation nuit à l’efficacité des processus d’achat et d’approbation, sans parler du fait que cela retarde l’installation et le déploiement de technologies absolument nécessaires.

Problématique n° 3 : la pénurie de personnel

Comme évoqué précédemment, le manque de personnel ou de ressources expérimentées est un véritable casse-tête pour la plupart des RSSI du secteur public. À la pénurie de personnel, s’ajoute bien souvent un manque d’expertise en interne pour traiter correctement les questions de sécurité essentielles.

Prenons une administration, quelle qu’elle soit, et imaginons que son équipe interne n’ait jamais travaillé avec les autorités de certification (AC) Microsoft. Or, sans cette compétence, impossible d’automatiser les services de certification, même si un prestataire en place gère l’émission des certificats pour l’identification des équipements. Et avec l’essor du télétravail depuis la pandémie, les collaborateurs moins expérimentés ou qui ne possèdent pas les qualifications recherchées peuvent se sentir encore plus perdus.

Problématique n° 4 : le maintien de la sécurité des administrations locales et nationales

Aujourd'hui, l’autorité limitée dont disposent les RSSI dans les organismes publics aux niveaux national et local est préoccupante. Beaucoup sont en effet souvent considérés comme de simples conseillers. Contrairement aux entreprises du privé où les RSSI sont embauchés à des postes de direction, quand ils n’interviennent pas au conseil d’administration, les RSSI du public ont rarement le dernier mot sur les questions de sécurité. S’ils sont nombreux à formuler des recommandations sur les politiques et les approches à adopter, au bout du compte, peu sont décisionnaires.

Les RSSI formulent des préconisations qui restent parfois lettre morte, exposant l’organisation à un risque accru. Une grande part de ces difficultés sont dues au manque de budgets pour concrétiser ces préconisations. Quant à la gestion du cycle de vie des certificats, c’est l’autre sujet majeur qui en pâtit. Généralement, la gestion du cycle de vie des certificats comprend six volets de base.

• La génération des clés publiques/privées et des demandes de signature de certificats (CSR) à l’aide de systèmes de chiffrement à jour

• L’inscription (demande et récupération)

• Le provisionnement/l’installation des certificats sur les points de terminaison prévus

• Le renouvellement des certificats

• La révocation des certificats

• La configuration (par exemple, clients de messagerie)

À l’idéal, ce processus doit être abordé dans sa globalité et automatisé. L’avantage d’un système fiable ne tient pas uniquement à sa cohérence. Un système fiable répond efficacement aux exigences de conformité et permet d’automatiser dans une optique de gains d’efficacité. Pour assurer une protection globale et prévenir les défaillances, la gestion des certificats doit s’effectuer sur des réseaux complexes.

Or, le manque de ressources ou de capacités dans les instances locales ou nationales rend ces processus inefficaces et incohérents. C’est là qu’une collaboration avec un partenaire bien choisi peut générer de la valeur. En vous aidant à concevoir, mettre en place et gérer les cycles de vie de vos certificats – indépendamment de votre expertise ou de vos ressources en interne –, ce type de partenariat aide à surmonter une bonne partie des restrictions imposées aux infrastructures locales et étatiques.

Pour gérer correctement vos certificats, la gestion de leur cycle de vie ne doit pas être effectuée manuellement. Sans être impossible, ce serait vous compliquer la vie. Vous risquez de vous heurter à l’absence d’inventaire de certificats précis, au manque d’expérience du personnel pour superviser votre infrastructure PKI et à des méthodes dépassées.

Lorsqu’elles font appel à des prestataires, les administrations publiques et locales choisissent souvent le « moins-disant », sans mesurer les inconvénients d’une telle décision. Lorsqu’elles s’aperçoivent de leur erreur, il est trop tard, et il faut « tout recommencer de zéro ». Avant de choisir vos fournisseurs potentiels, interrogez-les sur leur expérience et la façon dont ils peuvent vous aider à faire évoluer vos procédures vers plus de conformité — aux algorithmes et aux nouvelles normes de sécurité. Assurez-vous d’être sur la même longueur d’onde avec votre fournisseur, tant pour la compréhension de vos process actuels que pour la définition d’un plan pour l’avenir.

Les menaces vont continuer à évoluer — en nombre, en intelligence et en complexité. Il est temps pour les RSSI du secteur public et des collectivités territoriales d’identifier les faiblesses de leurs infrastructures et de préparer l’avenir.