Connect with us

Technologie

Évaluation des objectifs de la Stratégie gouvernementale de cybersécurité

Published

on


En janvier, le gouvernement britannique a publié une autre stratégie de cybersécurité, le Stratégie gouvernementale de cybersécurité 2022, à ne pas confondre avec le Stratégie nationale de cybersécurité 2022, publié seulement un mois plus tôt.

Cette nouvelle stratégie vise à faire en sorte que les fonctions critiques du gouvernement soient renforcées aux cyberattaques d’ici 2025, toutes les organisations du secteur public devenant plus résilientes aux cybermenaces d’ici 2030. Cet objectif clair est le bienvenu, mais est-il réaliste ou réalisable?

Les délais établis dans la stratégie sont incroyablement serrés. Les ministères ont de nombreuses exigences concurrentes à leur égard, les budgets sont sous pression et la cybersécurité n’est pas au sommet de bon nombre de leurs priorités. La mise en œuvre de la stratégie d’ici 2025 sera difficile.

La stratégie repose sur deux piliers : construire une base solide de résilience organisationnelle en matière de cybersécurité, étayée par l’adoption du cadre d’évaluation de la cybersécurité (CAF) du NCSC ; et « défendre comme un seul homme », ce qui sera rendu possible par la création d’un Centre gouvernemental de cybercoorisation (GCCC). Ces piliers sont liés au message clé de la Stratégie nationale de cybersécurité, à savoir l’harmonisation et l’intégration à l’échelle du gouvernement.

De plus, ces piliers sont soutenus par cinq objectifs :

  • Gérer les risques liés à la cybersécurité;
  • Protégez-vous contre les cyberattaques;
  • Détecter les événements de cybersécurité;
  • Minimiser l’impact des incidents de cybersécurité;
  • Développer les compétences, les connaissances et la culture en matière de cybersécurité appropriées.

Tout cela est judicieux et fournit une approche facile à comprendre pour construire un programme de transformation autour. Cependant, l’expérience suggère que ces objectifs sont difficiles, coûteux et longs à atteindre, en particulier dans les ministères axés sur les opérations.

L’intégration sera la clé

Le succès sera déterminé par les niveaux d’intégration atteints à travers le gouvernement, les régions, avec les partenaires de l’industrie et les organisations spécialisées, peut-être même avec nos alliés internationaux.

La stratégie permet l’intégration intergouvernementale grâce à la création du GCCC et à l’utilisation des FAC. Il sera également important de s’intégrer à toutes les personnes nécessaires à la mise en œuvre de cette stratégie – il ne s’agit pas seulement de spécialistes de la cybersécurité. Des spécialistes des ressources humaines, du commerce et de la technologie, ainsi que des spécialistes de la gestion de programmes et du changement, seront également nécessaires pour intégrer la cybersécurité dans une organisation.

Le gouvernement devrait également chercher à tirer des leçons de l’expérience et des capacités d’industries telles que les services financiers ou les infrastructures nationales essentielles (ICN), qui ont mis au point des approches plus matures en matière de cybersécurité.

Ces organisations utilisent déjà les outils de cette stratégie (y compris les FAC), et nous pouvons apprendre de leurs offres. Ils ont également traversé des parcours longs et difficiles pour arriver à leurs capacités actuelles. En apprenant où ils se sont trompés, ces pièges peuvent être évités, et la livraison peut être plus axée sur les bonnes réponses et donc accélérée.

Engagez le leadership dès le début

Le développement des compétences, des connaissances et de la culture en matière de cybersécurité appropriés est un objectif clé de cette stratégie et sous-tend les quatre autres.

Bien que la stratégie se concentre principalement sur la formation et le maintien de la main-d’œuvre cybernétique et l’augmentation de la sensibilisation à la cybersécurité dans tous les ministères, tout cela peut attendre, car le leadership opérationnel doit d’abord être engagé.

Pour que ce travail commence rapidement, la direction organisationnelle et départementale doit comprendre et hiérarchiser la mise en œuvre de cette stratégie. Cela nécessitera une orientation stratégique de la part du sommet, éclairée par des rapports clairs sur la gestion des cyberrisques, tous les impacts étant alignés sur les effets opérationnels.

Aider les cadres supérieurs et non techniques à comprendre les cyberrisques et à les comparer à d’autres risques opérationnels soutiendra leur prise de décision et accélérera la mise en œuvre des résultats de la stratégie.

Une bouchée à la fois

Dans l’ensemble du gouvernement, les processus visant à justifier les investissements dans les grands programmes et à obtenir des approbations sont souvent longs et retardent le début de la livraison. Cela sera exacerbé par les défis budgétaires actuels, car les ministères doivent établir des priorités et faire plus avec moins. En particulier, de nombreux petits ministères et leurs organismes indépendants partiront d’une position moins mature, ce qui leur donnera énormément à faire.

Pour y remédier, ils devraient adopter une approche « voir grand, commencer petit et évoluer rapidement » tout en s’engageant en permanence avec toutes les parties prenantes. Cela signifie investir du temps dans la compréhension du travail requis, le diviser en bouchées hiérarchisées et gérables et chercher des moyens de commencer à livrer du rapBras croisés. Il peut s’agir de démarrer un petit projet qui peut être justifié rapidement ou d’attacher des livrables – comme un processus sécurisé dès la conception – à des programmes existants (pas nécessairement des programmes de cybersécurité) qui sont déjà financés.

Pendant que ce travail de livraison initial est en cours, les départements peuvent se concentrer sur la mise en place de programmes de cyber-transformation plus importants pour permettre au travail d’évoluer et de livrer rapidement. Cette approche s’est avérée accélérer la livraison et améliorer les capacités de cybersécurité de nombreuses organisations dans tous les secteurs. Il a été particulièrement efficace pour apporter les améliorations majeures nécessaires pour sécuriser le travail à distance pendant la crise du Covid-19, en particulier pour aider les petites et moyennes organisations à s’adapter rapidement dans des circonstances difficiles.

Cette combinaison d’intégration, de leadership clair et de décomposition de la tâche en éléments gérables sera essentielle à la fois pour répondre durablement aux ambitions de la stratégie et pour commencer à livrer rapidement afin de renforcer l’adhésion et la confiance.

Cet article a été rédigé par Laura Marsden, experte en services publics et cybersécurité, et Chris Goslin, expert en cyber-transformation chez Conseil pa.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance