Rapport du gouvernement US sur la cybersécurité : La situation est loin d’être corrigée

Le Bureau de la gestion et du budget (OMB) et le Département de la sécurité intérieure (DSH) des États-Unis ont publié cette semaine un rapport selon lequel 71 des 96 organismes (74%) participant au processus d’évaluation des risques ont des programmes de cybersécurité à risque ou à haut risque. Le rapport est le résultat d’un décret exécutif signé par le président D. Trump lorsqu’il a pris ses fonctions pour la première fois.

Le Rapport Fédéral sur la Détermination des Risques en Matière de Cybersécurité et des Plan d’Action conclut qu’en raison de l’affectation inefficace de ressources informatiques limitées, les organismes ont des lacunes à l’échelle de l’entreprise qui ont une incidence sur la visibilité du réseau, la normalisation des outils et des capacités technologiques et les procédures d’exploitation communes.

Les quatre principales recommandations formulées dans le rapport pour aborder ces questions sont les suivantes :

• Accroître la sensibilisation aux menaces liées à la cybersécurité parmi les organismes fédéraux en mettant en œuvre un plan de lutte contre les cyber-menaces afin de prioriser les efforts et de gérer les risques liés à la cybersécurité ;
• Standardiser les capacités informatiques et de cybersécurité pour contrôler les coûts et améliorer la gestion des actifs ;
• Consolider les centres d’opérations de sécurité des organismes afin d’améliorer les capacités de détection et de réponse aux incidents et de partager plus efficacement l’information sur les menaces ;
• Responsabiliser tous les organismes grâce à des processus de gouvernance améliorés, à des évaluations des risques récurrents et à un plus grand nombre d’engagements en matière de cybersécurité de l’OMB impliquant le leadership des organismes.

Le plan de lutte contre les cyber-menaces a été élaboré par le gouvernement américain pour permettre une caractérisation et une catégorisation cohérentes des événements de cyber-menace afin de mieux identifier les tendances ou les changements dans les activités des cyber-adversaires. Malgré l’existence de ce plan, le rapport conclut que les personnes chargées de défendre les réseaux d’organismes manquent souvent d’informations opportunes sur les tactiques, les techniques et les procédures que les acteurs menacent d’utiliser pour exploiter les systèmes d’information du gouvernement. En effet, le rapport indique que la connaissance de la situation est si limitée que les organismes fédéraux n’ont pu identifier la méthode d’attaque, ou vecteur d’attaque, dans 11 802 des 30 899 cyber-incidents (38 %) qui ont mené à la compromission de l’information ou de la fonctionnalité du système au cours de l’exercice 2016.

De plus, l’OMB a constaté que seulement 59 % des organismes ont déclaré avoir mis en place des processus pour communiquer les risques informatiques à l’échelle de leur entreprise. L’OMB conclut que les organismes n’utilisent pas efficacement l’information disponible comme les renseignements sur les menaces, les données sur les incidents et la circulation sur le réseau, afin de déterminer la mesure dans laquelle les biens sont à risque ou pour prendre des décisions éclairées sur la façon d’établir les priorités en matière d’affectation des ressources.

Le rapport indique également que les organismes continuent d’allouer leurs fonds limités à l’acquisition de solutions ponctuelles pour combler les lacunes perçues en matière de sécurité, plutôt que pour combler celles exploitées par les auteurs des menaces.

Les organismes civils fédéraux prévoient des dépenses de 5,7 milliards de dollars pour la cyberdéfense dans l’ensemble des fonctions de sécurité définies par l’Institut national des standards et de la technologie (NIST), contre 5 milliards de dollars pour l’exercice 2016, sans qu’il y ait un sentiment de priorité ou de retour sur investissement réel.

Parmi les autres domaines qui ont besoin d’être améliorés, tels qu’ils ont été identifiés par l’OMB, nous pouvons citer les suivants :

• Seulement 55 % des organismes limitent l’accès en fonction des caractéristiques et des rôles des utilisateurs.
• Seulement 57 % d’entre eux examinent et assurent le suivi des privilèges administratifs.
• Seulement 49 % des organismes peuvent détecter et mettre sur liste blanche les logiciels fonctionnant sur leurs systèmes.
• Seulement 40 % des organismes ont la capacité de détecter l’exfiltration chiffrée de l’information aux niveaux cibles à l’échelle du gouvernement.
• Seulement 27 % des organismes déclarent qu’ils ont la capacité de détecter et d’enquêter sur les tentatives d’accès à de grandes quantités de données, et encore moins déclarent tester ces capacités chaque année.
• Seulement 52 % des organismes ont déclaré avoir validé les rôles d’intervention en cas d’incident pendant des essais réalisés au cours de la dernière année.
• Seulement 17 % des organismes analysent les données d’intervention en cas d’incident après qu’un incident se soit produit.
• Moins de 16 % des organismes peuvent crypter les données au repos, mais 73 % des organismes déclarent être en mesure de crypter les données en transit.

L’OMB fait des recommandations pour régler tous ces problèmes. Mais en vérité, les problèmes de cybersécurité auxquels les organismes gouvernementaux sont invités à s’attaquer ne sont pas si différents de ce que la plupart des services informatiques d’entreprise tentent de résoudre. En raison de la nature des données recueillies par les organismes gouvernementaux fédéraux et locaux, il est évident qu’ils sont plus susceptibles de se concentrer sur les attaques concertées en matière de cybersécurité. Lorsqu’il s’agit de défendre ces actifs, de nombreux organismes gouvernementaux dans le monde n’ont tout simplement pas les fonds ou l’expertise nécessaire pour monter une défense efficace.

Aucun de ces problèmes ne sera réglé du jour au lendemain. Il a fallu des décennies pour les élaborer et, par conséquent, il faudra des années pour y remédier. Mais comme c’est souvent le cas pour tout changement significatif, la première étape consiste toujours à accepter le fait qu’il y a un problème suffisamment important pour mériter d’être réglé.