La réflexion à long terme est essentielle pour sécuriser les infrastructures critiques du Royaume-Uni

Le cyberespace a été identifié par le gouvernement britannique comme une menace de premier niveau aux côtés du terrorisme, et la cybercriminalité coûte aux entreprises britanniques d’énormes sommes d’argent chaque année – et ce n’est que la cybercriminalité que nous connaissons, car elle est largement sous-déclarée.

Le gouvernement et les infrastructures nationales critiques (CNI) restent des cibles clés pour les gangs du crime organisé qui gèrent une grande partie de la cybercriminalité, ainsi que pour les États-nations hostiles, bien que ceux-ci soient plus rares. Cependant, ils sous-traitent parfois ce genre de « travail » à des gangs criminels.

Ainsi, la cyberguerre (comme nous pouvons bien considérer que les attaques contre le CNI sont) pourrait, en fait, être entre les mains non seulement de nations hostiles, mais aussi de l’élément criminel de ces nations hostiles, ou même d’autres nations.

Le monde a vu, à plusieurs reprises en fait, ce qui se passe lorsqu’ils réussissent (pensez au réseau électrique de l’Ukraine qui a été démoli trois fois, et à WannaCry et NotPetya qui désactivent les entreprises et le NHS). Mais notre leadership en matière de sécurité est-il suffisamment développé pour faire face à cette menace persistante et en constante évolution ?

« La plus grande menace à la sécurité aujourd’hui est le manque général de conviction que toute menace existe » – cela a été dit par Lord Radcliffe dans un rapport de sécurité en 1962.

Afin de faire face à cette menace de niveau un, il doit y avoir une réelle compréhension au cœur du gouvernement – cela fait maintenant plusieurs années que le National Audit Office (NAO) a critiqué le manque de compréhension et de leadership autour de la sécurité de l’information.

Le nombre de systèmes gérés à distance ou compatibles avec le Web augmente chaque année et, à juste titre, notre CNI doit bénéficier de la facilité de gestion accrue et des économies de coûts qu’offrent ces nouvelles méthodes de travail.

Dans le même temps, la ruée vers l’interconnexion de nombreux systèmes hérités se poursuit sans relâche, faisant des systèmes qui n’ont jamais été conçus pour être orientés vers Internet, exactement cela.

La connexion des systèmes OT et hérités à Internet en fait une cible « légitime » pour les États-nations utilisant des capacités d’attaque offensives et les criminels et les terroristes. Ils ne font pas de distinctions basées sur un code moral ou éthique – ils cherchent un résultat.

Donc, si nous continuons à tout activer sur le Web dans notre CNI, il serait pardonnable d’imaginer que nous avons pris toutes les mesures possibles pour assurer leur sécurité et leur résilience.

Pourtant, pas plus tard qu’en 2017, nous avons découvert que plus d’un tiers des organisations d’infrastructure au Royaume-Uni n’avaient pas respecté les normes de cybersécurité de base publiées par le gouvernement britannique, connues sous le nom de 10 étapes vers la cybersécurité.

Il ne fait donc guère de doute qu’il y a un manque de réflexion à long terme autour de ce domaine et de ce qui ressemble à une approche semblable à « si ce n’est pas cassé, ne le réparez pas ».

En d’autres termes, s’il fonctionne toujours, nous savons qu’il n’est peut-être pas sûr, mais nous n’allons pas dépenser pour le remplacer s’il fonctionne toujours. En effet, les correctifs peuvent s’avérer difficiles ou coûteux, nécessitant éventuellement l’intervention d’un fournisseur. Le système d’exploitation sur laquelle il a été construit peut ne plus être pris en charge avec des correctifs de sécurité et le coût de maintenance ou de remplacement n’a pas été intégré dans les coûts du cycle de vie.

Ajoutez à cela la disparité qui entoure maintenant le concept de CNI et cela place le Royaume-Uni dans une position très précaire. CNI est maintenant une collection lâche de public et des organismes ou des organisations privés qui ne sont peut-être même pas des organismes ou des organisations appartenant à des propriétaires nationaux.

Il n’y a que si longtemps que vous pouvez enterrer votre tête dans le sable. Le paysage stratégique du Royaume-Uni est dicté par les mêmes personnes qui ont l’habitude d’écrire des stratégies quinquennales pour des mandats gouvernementaux de cinq ans. Mais la cybersécurité ne fonctionne pas sur des cycles de cinq ans; le cyberespace fonctionne aujourd’hui et parler de résilience véritable ne peut se produire à moins que cela ne soit accepté comme un fait.

Une réponse agile, itérative et proactive est nécessaire. Attendre six ans pour mettre à jour votre stratégie cybernétique ne fait que sous-tendre les observations de l’OAN selon lesquelles le gouvernement ne comprend pas pleinement la menace.

C’est peut-être vrai ou non, mais ce qui est vrai, c’est que les rêves de prendre les devants avec la cybersécurité au Royaume-Uni resteront exactement cela, jusqu’à ce que nous soyons réalistes sur l’élaboration de stratégies qui répondent à certaines des réalités les plus difficiles et inconfortables de la façon dont nous nous comportons réellement, et que nous les révisions régulièrement.