La cyber-résilience des pouvoirs publics : par où commencer ?

La résilience peut signifier bien des choses pour les organisations du secteur public. Ces dernières années ont mis en évidence des déficits importants en matière de résilience opérationnelle et économique de nombre d’entre elles, obligeant les décideurs à faire face à des répercussions ayant affecté, par exemple, le recrutement et la disponibilité d’une main œuvre qualifiée, les chaînes d’approvisionnement ou encore les prévisions économiques.

Brouhe
Par Bertrand de Labrouhe Publié le 27 février 2024 à 4h30
résilience, cybersécurité, public, gouvernement, attaque, risque
résilience, cybersécurité, public, gouvernement, attaque, risque - © Economie Matin
37%Les collectivités territoriales ont subi une hausse de 37% des intrusions entre 2020 et 2022.

Toutefois, ces pressions ont peut-être occulté une autre forme essentielle de résilience : la cyber-résilience. 

Des États-nations menacés 

 Les organisations gouvernementales doivent être vigilantes face à l’augmentation des cyber-risques auxquels elles sont confrontées. L’attaque des sites internet de l’Assemblée nationale et du Sénat français par des hackers pro-russes en avril 2023, en représailles au soutien de la France à l’Ukraine, a rappelé que la vie publique, politique voire gouvernementale est de plus en plus ciblée. Pire, selon une étude sur la cybercriminalité menée par l’ANSSI, la crise sanitaire de 2020-2021 et les nouveaux modes d’organisation du travail qui s’y sont associés, ont fragilisé les organisations gouvernementales : ces dernières, et plus particulièrement les collectivités territoriales ont subi une hausse de 37% des intrusions entre 2020 et 2022.1

 De plus, si la menace la plus importante en terme de volume peut provenir de la criminalité en ligne perpétrée par des particuliers, les cyberattaques contre les États-nations représentent les menaces les plus avancées et les plus persistantes. Car ces attaques vont bien au-delà des cybermenaces typiques à motivation financière posées par des pirates ordinaires ; elles cherchent à perturber ou à accéder à des informations critiques. 

Consolider la cyber-résilience gouvernementale n'est pas une tâche simple. Les responsables de la sécurité gouvernementale doivent faire face à des systèmes cloisonnés, allant de plateformes héritées complexes à de nouveaux environnements numériques hybrides. Alors que la transformation numérique est essentielle pour diminuer les coûts et améliorer la qualité des services, la sécurité doit être intégrée dès le départ, au risque d’élargir la surface d’attaque contre le secteur public. Pour protéger correctement leurs environnements contre les cyberattaquants, les responsables de la sécurité doivent ainsi pouvoir bénéficier d’une visibilité en temps réel de l'ensemble du réseau. Dans cette perspective, le renforcement de la sécurité repose ainsi sur la mise en œuvre réussie de deux approches principales : la posture Zero Trust et l’obtention d’une visibilité totale.  

Une meilleure posture de sécurité grâce à l’architecture Zero Trust 

La première solution consiste à mettre en place des défenses solides à la fois au niveau du périmètre et à l'intérieur des réseaux de l'organisation, afin de rendre plus difficile le déplacement latéral des pirates une fois qu'ils se sont infiltrés. De nombreuses solutions offrent des défenses externes solides, des pares-feux aux fonctionnalités avancées de sécurité, mais la mise en place d'obstacles internes pour les pirates exige que les organisations réduisent le niveau de confiance accordé aux salariés. Le vol de données d'identification, dans lequel les noms d'utilisateurs et les mots de passe sont volés directement par hameçonnage ou achetés sur le dark web, est en effet un point d'ancrage facile et courant pour les acteurs de la menace. Les postes de travail à domicile non protégés, fréquents dans les organisations hybrides, constituent un autre point d'accès utile aux réseaux gouvernementaux. Les responsables de la sécurité gouvernementale peuvent atténuer ces risques en déployant une authentification multifactorielle (AMF) dans le cadre de l’approche Zero Trust, en veillant à ce que les utilisateurs ne soient autorisés qu'après vérification. 

Pour que l’approche Zero Trust fonctionne de façon optimale, les organisations doivent également segmenter et surveiller en permanence leurs réseaux afin de détecter les mouvements latéraux et  corriger les failles. L'observabilité avancée, à savoir l'ajout d'une intelligence en temps réel au niveau du réseau visant à amplifier la puissance les outils de surveillance est essentielle à cet égard. Ce n'est qu'avec une visibilité claire et complète de toutes les données en mouvement que les équipes informatiques peuvent comprendre et autoriser les personnes sûres à accéder au réseau.   

Obtenir une visibilité totale 

Le deuxième aspect de toute stratégie de sécurité efficace devrait consister à doter les équipes de sécurité de capacités complètes de détection des menaces, de sorte que même lorsque la première ligne de défense échoue, l’organisation puisse identifier les violations et y remédier dès que possible. La visibilité de l’ensemble des données transitant sur le réseau est le fondement de cet effort de détection et de réponse aux menaces. 

Pour ce faire, les équipes de sécurité gouvernementales doivent éliminer « les zones d'ombre » de leur surveillance du réseau. Le trafic est-ouest (paquets de données circulant entre des serveurs ou des applications dans un centre de données) est à ce titre souvent considéré comme moins prioritaire pour l'analyse de sécurité que le trafic au périmètre d'un réseau ; pourtant il est vital de comprendre les menaces qui circulent à l'intérieur d'un réseau. Les outils de détection et de réponse des équipements de terminaison (EDR) offrent des capacités limitées de détection des menaces, et les équipes de sécurité devraient plutôt se tourner vers une analyse en profondeur de la couche réseau. Cela permet d'identifier et d'intercepter les activités malveillantes sur l'ensemble des actifs, réduisant ainsi le risque de fausses alertes. 

L'autre angle mort courant est le trafic chiffré. Les attaquants utilisent de plus en plus le chiffrement SSL pour dissimuler leurs activités malveillantes parmi les vastes quantités de trafic chiffré dans les réseaux des entreprises. Parfait pour préserver la confidentialité du trafic interne, le chiffrement est désormais utilisé pour échapper à la détection dans plus de 90 % des attaques de logiciels malveillants, et pourtant moins d'un tiers des responsables informatiques et sécurité disent avoir une visibilité sur le trafic chiffré. Pour bien comprendre les menaces auxquelles ils sont confrontés, les responsables de la sécurité ont besoin d'outils efficaces et performants qui fournissent non seulement des renseignements sur la couche réseau, mais aussi une visibilité sur le trafic chiffré avec un minimum de latence ou d'impact sur la sécurité et la confidentialité de l'utilisateur final.     

La tâche peut sembler titanesque, mais quelques mesures simples permettent donc aux organisations gouvernementales d'améliorer leurs défenses et de détecter les événements de sécurité avant qu'ils ne se transforment en incidents. Les avertissements ne doivent pas rester lettre morte, et 2024 offre aux responsables de la sécurité une occasion de réfléchir à leurs engagements en matière de sécurité et de jouer un rôle dans la construction d'un secteur public plus robuste et plus résilient sur le plan cybernétique. 

 

1 Etude sur la cybercriminalité « Panorama de la menace informatique 2021 » menée par l’ANSSI (09 mars 2022) 

Laissez un commentaire
Brouhe

VP Sales SEEMEA chez Gigamon

Aucun commentaire à «La cyber-résilience des pouvoirs publics : par où commencer ?»

Laisser un commentaire

* Champs requis