Pas un jour ne passe sans qu’un particulier, une entreprise ou une institution soit visée par une cyber-attaque, que ce soit du phishing ou un ransomware. Ces attaques touchent aujourd’hui tous les secteurs, et notamment le secteur public, fragilisant ainsi des pays entiers.
Tribune – En avril 2022, le Costa Rica voit sa Caisse costaricaine de sécurité sociale (CCSS) attaquée, empêchant les Costaricains d’accéder à leurs ordonnances ou même de prendre rendez-vous chez un médecin. Un mois plus tard, c’était au tour de 27 institutions politiques d’être paralysées, dont le ministère des Finances. En août 2022, le Monténégro était visé par une cyberattaque de grande ampleur, touchant une fois encore de nombreuses institutions publiques, dont le ministère des Finances et des infrastructures essentielles, comme les systèmes d’électricité et d’approvisionnement. Pour y faire face, le Monténégro a demandé de l’aide à des acteurs de la cybersécurité, dont l’ANSSI.
Plus récemment encore, c’est la ville de Caen, en Normandie, qui se voit dans l’obligation de suspendre de nombreux services suite à une cyberattaque survenue fin septembre.
Dans ce contexte, Sandra Maury, CISO Kyndryl France & Leader Security & Resiliency chez Kyndryl apporte son expertise :
« La transformation numérique des entreprises, qu’elles soient publiques ou privées est indispensable. Si les avantages finaux sont impossibles à ignorer, les obstacles à la réussite sont complexes et de grande envergure.
En effet, la dette technique s’est accumulée dans le secteur public sur plusieurs années (voire des décennies), et ce pour de nombreuses raisons. Tout d’abord, les contraintes budgétaires permanentes et la diminution des ressources ont repoussé de nombreux projets de maintenance et de modernisation à long terme.
En outre, les plates-formes propriétaires héritées du passé, sur lesquelles de nombreux systèmes du secteur public sont développés et fonctionnent, ont fait l’objet d’une personnalisation et d’un développement sur mesure importants pendant de nombreuses années. Non seulement ces plates-formes supportent des processus critiques, ce qui rend difficile l’approbation de temps d’arrêt pour des améliorations, mais elles sont notoirement difficiles (lire : longues) à démonter et à migrer vers des plates-formes et des infrastructures plus récentes et plus modernes.
Trop souvent, les organisations des secteurs public et privé ont une vision superficielle de ce qu’il faut faire pour traiter la dette technologique. Ainsi, elles ont tendance à se concentrer sur le traitement des composants souvent hors service plutôt que sur les problèmes sous-jacents. En conséquence, la dette technologique ne fait qu’empirer, réduisant la productivité de la main-d’œuvre, inhibant l’innovation et maintenant les services publics stagnants par manque d’agilité.
Pour faire face au nombre croissant de cyber-attaques, les institutions du secteur public doivent évaluer et comprendre quels services seront nécessaires pour atteindre les objectifs actuels en matière de politique et de résultats pour les utilisateurs. Ce n’est qu’avec cette vision qu’elles pourront prendre des décisions éclairées sur les approches à adopter, les technologies à conserver, celles à remplacer et celles pour lesquelles adopter des services de cloud public et privé dans un environnement hybride global. »