Secteur public et cybersécurité : comment passer de la défiance à la confiance ?

0

Alors qu’explose le nombre de cyberattaques ciblant le secteur public, la question du rôle de l’Homme et celui de la « machine » pour les contrer se pose aux décideurs du secteur. Quelles menaces pèsent véritablement sur lui et comment les contrer ?

Pas une semaine ne passe sans qu’une attaque ne prenne pour cible le secteur public.  Engagé dans sa transformation numérique il a, malgré lui, augmenté la surface d’attaque et (r)éveillé l’appétit des cyber-attaquants. Preuve en est, en 2019, au-delà de l’attaque marquante du CHU de Rouen, près de 174 villes et 3 000 administrations municipales ont été la cible d’un rançongiciel. Leur but : mettre à mal le système d’information, voler les données, réclamer une rançon. 

Le secteur public à l’heure des cyber-menaces : l’Homme, le maillon faible ? 

Par expérience, nous savons que les actes de cyber-malveillance s’appuient le plus souvent sur le maillon faible de la sécurité : l’Homme. Il a de plus en plus de mal à faire face à la déferlante d’attaques qui s’abat sur son système d’information (SI), ses données, ses réseaux ou bien encore ses utilisateurs et applications. Nous savons par exemple que seuls 10% des logs sont traités par manque de moyens humains, techniques, et de temps aussi. Nous connaissons également les « failles » utilisées par les cyber-attaquants pour mettre à mal la sécurité du secteur public : 

  • Le manque de moyens humains pour faire face à la recrudescence des attaques, 
  • Une culture cyber qui peine à se répandre auprès de tous les utilisateurs et dirigeants, 
  • Un certain laxisme sur la politique de gestion des mots de passe, des droits d’accès, 
  • Une ouverture trop large du système d’information vers l’extérieur.  

Et si le couple « Homme-Machine », était le futur de (cyber)sécurité du secteur public ? 

L’Homme seul ne peut plus faire face à la multitude et complexité des attaques. Il n’arrive plus à faire le tri entre les vrais incidents et les alertes mineures qui remontent au niveau du SOC (Centre Opérationnel de Sécurité). Ainsi, la « machine » peut sans nul doute venir en aide à l’Homme. Comment ? 

L’automatisation est l’une des réponses. En effet, avec l’avènement du Machine Learning et de l’Intelligence Artificielle, l’automatisation et le fameux « SOAR » (Security Orchestration Automation and Response) sont désormais un « must have » pour contrer le nombre croissant d’attaques. Le secteur public a tout intérêt à automatiser un maximum de tâches, laisser la « machine » faire le tri, pour concentrer l’action des analystes sur des actions à réelle valeur ajoutée. 

L’autre élément clé à intégrer selon moi est l’approche « Zéro Trust ». Celle-ci doit faire partie de la « culture d’entreprise ». Pour qu’elle soit efficiente, quelques conseils simples à suivre : « la confiance est une vulnérabilité » est le postulat de départ. Après audit, il s’agira ensuite de définir sa politique stricte de sécurité : valider les droits/accès pour tous les utilisateurs, appareils et applications. Enfin, il faut casser les silos et intégrer tout le monde dans la démarche : Direction, DSI, métiers, utilisateurs, sites distants, partenaires. 

Dernier point essentiel, car les cyber-assaillants s’engouffrent souvent via cette brèche : l’hygiène numérique. Elle passe selon moi par différents moyens et actions tels que : 

  • La formation : Les équipes opérationnelles et utilisateurs sont des sources de vulnérabilités pour le système d’information. Leur sensibilisation et formation régulière au risque cyber est un prérequis pour garantir l’intégrité du système d’information. 
  • Externalisation, attention ! Alors que la question du Cloud brûle les lèvres des acteurs du secteur public, il est impératif d’exiger à ses partenaires un PAS (plan d’assurance sécurité) pour définir les règles de sécurité à suivre afin de ne pas compromettre sa sécurité. 
  • Les bonnes pratiques cyber : Attribuer les bons droits, définir les règles internes des mots de passe et veiller à leur sécurité, multiplier les phases d’authentification (triple), sécuriser les accès distants (nomadisme, télétravail), se protéger des menaces issues de supports amovibles (clé USB, disque dur externe, etc), chiffrer les données sensibles, sont autant de rappels et de règles à suivre pour assurer une bonne hygiène numérique.  

Face à la recrudescence des attaques, il va de soi que l’union fera la force. L’heure n’est donc plus à se demander si la machine doit remplacer l’humain, mais plutôt comment les deux peuvent associer leur « savoir-faire » pour prévenir et gérer plus efficacement les attaques. Nul doute qu’avec ces mesures énoncées ici, l’approche « Zéro Trust » en ADN, l’Homme peut enfin devenir le maillon fort de la sécurité du secteur public.

About Author

Raphael Bousquet

Vice-président pour la zone EMEA South chez Palo Alto Networks

Leave A Reply