Résoudre la cyber-dette dans le secteur public

Aujourd'hui, les services publics sont en majorité digitalisés et cette transformation a été accélérée par la crise sanitaire.

Depuis plus de deux décennies, la transformation numérique est une priorité de l’Etat français. Face aux progrès technologiques et au déploiement accru de projets - tels que le travail hybride - dans l’ensemble de la société, la stratégie de la Direction Interministérielle du Numérique a été consolidée par les engagements pris lors de la création du plan « Action Publique 2022 », pour lequel de grands moyens ont été déployés pour toujours plus digitaliser les services de l’Etat.

Alors que la France poursuit son évolution vers la disponibilité permanente de ses services destinés aux citoyens, la demande en ligne de ces derniers se trouve renforcée par la mise en œuvre de politiques dites "numériques par défaut". Aussi, cette digitalisation permet aux administrations de fournir des services plus rapidement aux usagers, avec moins de moyens, humains et financiers. Aujourd’hui, selon l’Observatoire de la qualité des démarches en ligne, 87% des 250 démarches administratives les plus utilisées sont dématérialisées, et l’objectif du gouvernement est d’atteindre les 100%.

Une tradition bousculée par les confinements

Le parc IT du secteur public est vaste, et les coûts associés à sa maintenance le sont donc aussi. Avant même les confinements liés au Covid-19, les systèmes traditionnels manquaient d’interopérabilité et d’évolutivité et éprouvaient déjà des difficultés à gérer des workloads qu’ils n’étaient pas censés prendre en charge. A l’adoption du télétravail début 2020, la nécessité de garantir la continuité des services a mis en évidence certaines problématiques. Face au confinement obligatoire, les entreprises ont ainsi été contraintes de mettre rapidement en œuvre des solutions de travail à domicile ou hybride. Selon Accenture, durant cette période, le taux d’employés en télétravail dans l’administration est ainsi passé de 8 à 45%.

Les services publics se sont adaptés aux nouvelles modalités de travail, gagnant en agilité et résilience, et la technologie a joué un rôle majeur dans cette transition. Conformément à la politique générale du gouvernement, les services ont en effet été rapidement transférés dans le cloud, épicentre de la transformation digitale. Cependant, si elles ont satisfait à l’exigence impérieuse d’une transition rapide vers de nouveaux modèles numériques, ces organisations n’ont pas accordé la même attention à la cybersécurité. De ce fait, des failles de sécurité sont apparues, laissant les systèmes IT potentiellement vulnérables aux attaques.

La cyber-dette, un manque d’investissement en sécurité 

Le secteur public a pris conscience des effets bénéfiques associés à l’application de stratégies de dématérialisation appropriées. Toutefois, leur application a mis en lumière un certain nombre de lacunes systémiques. En n’appliquant pas le paradigme de security by design dès le début d’un projet, il en résulte une cyber-dette ; c’est-à-dire que les investissements destinés à stimuler les opérations et la croissance prennent le pas sur les outils qui devraient les sécuriser. Les organisations sont ensuite obligées de combler leur retard en permanence. Or, en procédant de la bonne manière dès le départ, ces problèmes sont évités. C’est pourquoi la sécurité doit toujours être prise en compte lors des prémices du déploiement de nouveaux systèmes.

L’évolution du paysage des cybermenaces

Le paysage des menaces évolue constamment, et les acteurs malveillants n’ont de cesse de repérer la moindre faiblesse. Les cyberattaques sont également de plus en plus complexes et peuvent causer des dommages très lourds aux réseaux, aux données et aux services publics sur lesquels la France repose. Pour parvenir à leurs fins, les cybercriminels tentent souvent de percer la sécurité en exploitant les failles des comptes à privilèges. Selon le Data Breach Investigation Report 2022 de Verizon, plus de 40% des failles sont le résultat d’un détournement d’accès et d’identifiants.

Ces failles se déroulent souvent en quatre étapes. Dans un premier temps, le hacker cherche à obtenir un accès non autorisé à des identités à privilèges, c’est-à-dire ayant des accès à des informations sensibles. Une fois celui-ci établi, il se déplace latéralement et verticalement dans le réseau à la recherche de cibles de grande valeur. Ensuite, il peut utiliser des privilèges élevés pour enfin atteindre ses objectifs, tels que le vol de données, la propriété intellectuelle ou la perturbation du service.

Les technologies innovantes jouent sans conteste un rôle déterminant dans la transformation qui prend place à tous les niveaux de l’administration. Pourtant, aujourd’hui, le monde est empreint d’incertitude. À mesure que la menace grandit et évolue, et que les cybercriminels cherchent à exploiter les avantages de la technologie à des fins malveillantes, les responsables numériques du secteur public doivent faire de la vigilance une priorité. Afin de tirer le meilleur parti de la transformation sur le long terme, la cyber-dette ne peut être présente dans les administrations, puisqu’elle ajoute des portes d’entrées aux hackers par manque d’investissement. La cybersécurité doit devenir un pilier fondamental de tout programme numérique, et non faire l’objet d’une réflexion après coup. Ainsi, grâce au security by design, les administrations publics pourront bénéficier d’une cybersécurité évolutive et adaptable aux mutations du paysage des cybermenaces.