Une analyse menée par SecurityScorecard a révélé que, en tant qu’industrie aux États-Unis, le gouvernement se classait au 16e rang sur 18 en matière de cybersécurité, se classant devant les télécommunications et l’éducation. Imaginez que la cybersécurité du gouvernement était pire que le secteur de la santé et sa propre vague de données compromises.

Une note légèrement positive, il s’agit d’une amélioration pour le gouvernement par rapport à 2016, où il s’était classé au dernier rang du sondage. Une vérification de l’Office of Personnel Management (OPM) des États-Unis publiée à la fin de l’exercice 2016 a également révélé de graves problèmes dans un large éventail de questions graves.

Il s’agit du même OPM qui a été victime d’une atteinte à la vie privée qui pourrait avoir touché 21,5 millions de dossiers. Parmi les attaques notables contre des organismes gouvernementaux en 2017, citons les attaques par rançongiciel contre les démocrates du Sénat de l’État de Pennsylvanie et des organismes gouvernementaux plus petits, comme l’autorité du logement de Richmond, en Indiana.

L’analyse de SecurityScorecard a inclus 552 organismes gouvernementaux, aux niveaux local, étatique et fédéral, et a révélé plusieurs lacunes claires qui pourraient créer un risque cybernétique important. Il s’agissait notamment de mises à jour, de correctifs, de protection des terminaux, etc., mais nous avons inclus quelques domaines clés ci-dessous qui ont attiré notre attention.

La cybersécurité est sur la liste des retards

Dans le rapport de 2016, le MPO a indiqué que sur ses « 46 principaux systèmes d’information, 43 ont des éléments du plan d’action et des jalons de plus de 120 jours. De plus, 85% des procurations ouvertes sont en retard de plus de 30 jours, et plus de 78% sont en retard de plus de 120 jours.

Si le gouvernement est également lent dans ses propres mesures d’efficacité, il n’est pas surprenant que sa capacité à réagir aux menaces à la sécurité qui évoluent rapidement soit limitée, en particulier dans un environnement où les connaissances et les ressources disponibles sont limitées pour faire face aux menaces en développement et à la croissance rapide.

Contraintes budgétaires

Le rapport révèle que les budgets sont un défi à tous les niveaux de gouvernement, et que le plus grand défi pour améliorer l’approvisionnement en cybersécurité est peut-être que si peu de groupes d’intérêt votent en faveur de l’amélioration de la cybersécurité, les questions économiques, sociales et morales étant souvent à l’origine de la prise de décisions. Les gouvernements locaux seraient aidés en recevant plus de fonds pour acheter des solutions de cybersécurité auprès d’agences étatiques et fédérales (cela semble être une possibilité). La rentabilité de nombreuses solutions sur le marché aujourd’hui, tout comme la facilité de mise en œuvre, pourrait certainement aider la cybersécurité du gouvernement à devenir plus efficace.

Migrer vers le nuage

Parmi les 10 principales préoccupations des DSI des États en 2018, la deuxième est celle des services infonuagiques. Cela comprend les appareils, les réseaux, la stratégie, les déploiements, la gestion et plus encore. C’est une préoccupation pour de nombreuses organisations, mais elle est particulièrement prononcée au gouvernement, qui dépend depuis longtemps de systèmes désuets sur site (il n’est pas nécessaire de mentionner le fait que les sites de lancement d’ICBM utilisent des disquettes des années 70).

À mesure que les systèmes gouvernementaux suivent progressivement le secteur privé dans le passage au nuage, ils deviennent des cibles massives de fraudes et d’atteintes qui nécessitent des ordres de grandeur de sécurité supérieurs à ceux requis dans les institutions privées comparables.

Mises à jour du système et gestion des correctifs

Les plus grandes attaques qui font souvent les manchettes sont rendues possibles par de mauvaises pratiques de mise à jour du système et de gestion des correctifs (Equifax me vient à l’esprit…), le gouvernement est particulièrement vulnérable lorsque plusieurs entrepreneurs ou fournisseurs peuvent être impliqués dans le cadre de processus axés sur les demandes de propositions qui rendent la responsabilisation et la cohérence complexes à gérer. Les services infonuagiques intégrés peuvent faciliter la tâche, mais fondamentalement, le gouvernement est un système complexe, ce qui rend la maintenance des systèmes plus difficile à gérer.

Planification d’urgence

Dans les propres systèmes du MPO, il a également été constaté que 17 des 45 plans d’urgence n’avaient pas été examinés au cours de la dernière année. « Seulement 2 des 46 principaux systèmes d’information d’OPM ont fait l’objet d’un test de plan d’urgence adéquat au cours de l’exercice 2016. De plus, 9 des 46 principaux systèmes n’ont pas été testés du tout depuis 2014. Bien que tous les systèmes gouvernementaux ne soient peut-être pas dans un tel état de négligence, on peut imaginer qu’il s’agit d’un problème répandu.

Pénurie de personnel qualifié en TI

Il peut être difficile d’acquérir les bons talents, surtout au niveau local. Dans le cadre de la loi sur la cyberrésilience, des fonds seraient accordés pour combler les lacunes en matière de talents dans la main-d « œuvre en cybersécurité du gouvernement de l » État. C’est essentiel. On ne sait pas dans quelle mesure cela fonctionnerait pour les comtés, mais le besoin est certainement là, même s’il y a une pénurie de talents en cybersécurité dans tous les secteurs.

Vers des solutions

Il y a des points positifs dans l’ensemble. À la fin de 2016, le NASCIO signalait des améliorations en matière de sensibilisation, des augmentations de financement et que le RSSI devenait un rôle plus intégré dans les institutions gouvernementales.

En fin de compte, la cybersécurité du gouvernement est essentielle compte tenu des données, des dossiers et de la sensibilité de ces données et de ces enregistrements par rapport à ce que l’entreprise moyenne doit protéger.

L’Acto de cyberrésilience de l’États’occuperait de bon nombre des problèmes auxquels les gouvernements sont confrontés, en particulier aux niveaux les plus locaux. Le plan fournirait les ressources dont ces organismes gouvernementaux ont besoin pour protéger les données et les réseaux essentiels et combler les lacunes en matière de talents. La National Association of Counties « exhorte le Congrès à travailler de manière bipartisane et bicamérale pour adopter le H.R. 1344/S. 516 et soutenir les comtés américains alors que nous travaillons à améliorer nos capacités de cybersécurité ».

Il s’agit clairement d’une question bipartisane, mais qui serait également une aubaine pour l’industrie de la cybersécurité, ce qui permettrait en fin de compte plus de recherche et développement et une meilleure sécurité et de meilleurs produits à long terme.

À la fin de 2017, la Cybersecurity and Infrastructure Security Agency (CISA) a été créée sous l’égide du DHS. Il s’agit d’un autre pas dans la bonne direction, qui montre que le gouvernement fédéral fait ses propres petits pas, avant que les gouvernements locaux ne puissent faire de même

[highlight_sc bg_color= »#21c2f8″ text_color= »#ffffff » border_color= » »]Lectures complémentaires :[/highlight_sc]

• Jetez un coup d’œil à NASCIO, dont la mission est de « favoriser l’excellence du gouvernement grâce à des pratiques commerciales de qualité, à la gestion de l’information et à la politique technologique ».
• Lire le texte intégral de State Cyber Resiliency Act
• Un rapport un peu plus ancien mais intéressant sur l’état de la cybersécurité dans les gouvernements locaux, étatiques et fédéraux
• Jetez un coup d’œil à la façon dont « les agences fédérales américaines utilisent la norme DMARC »