Le Covid-19 va peser sur la cyberstraté stratégie pour les années à venir

La pandémie de Covid-19, la menace continue posée par les ransomwares, la croissance des attaques de la chaîne d’approvisionnement et le défi technologique stratégique posé par les États-nations hostiles sont quelques-uns des plus grands défis de cybersécurité auxquels le Royaume-Uni est confronté aujourd’hui, a déclaré Lindy Cameron, PDG du National Cyber Security Centre (NCSC).

Dans un discours liminaire à la conférence annuelle Cyber 2021 de Chatham House, Cameron a déclaré que les événements de l’année écoulée illustraient à la fois la diversité et l’importance des menaces à la cybersécurité auxquelles UK plc est confrontée aujourd’hui, et continueront de le faire.

« La pandémie de coronavirus continue de jeter une ombre importante sur la cybersécurité et devrait le faire pendant de nombreuses années à venir », a-t-elle déclaré. « Les acteurs malveillants continuent d’essayer d’accéder aux informations liées au Covid, qu’il s’agisse de données sur de nouvelles variantes ou de plans d’achat de vaccins.

« Certains groupes peuvent également chercher à utiliser ces informations pour saper la confiance du public dans les réponses gouvernementales à la pandémie. Et les criminels utilisent maintenant régulièrement des attaques sur le thème du Covid comme moyen d’arnaquer le public. »

Cameron a ajouté: « Les ransomwares présentent le danger le plus immédiat pour les entreprises britanniques et la plupart des autres organisations – des entreprises du FTSE 100 aux écoles, des infrastructures nationales critiques aux conseils locaux. De nombreuses organisations – mais pas assez – planifient et se préparent régulièrement à cette menace et ont confiance que leur cybersécurité et leur planification d’urgence pourraient résister à un incident majeur. Mais beaucoup n’ont pas de plan de réponse aux incidents, ni ne testent jamais leurs cyberdéfenses. »

Dans un discours de grande envergure prononcé un peu plus d’un an après le début de son mandat en tant que patronne du NCSC, Cameron a réfléchi aux événements de l’année écoulée, y compris une série de cyberattaques très importantes, dont beaucoup auraient pu être arrêtées ou considérablement atténuées en suivant des mesures simples et réalisables.

Elle a également abordé la commercialisation et l’abus de produits de cyberexploitation largement non réglementés, dans les premiers commentaires publics faits par un fonctionnaire britannique sur le scandale croissant entourant le développement de Pegasus, un outil sophistiqué de logiciels espions mobiles, par NSO Group basé en Israël, et ses abus ultérieurs par les utilisateurs gouvernementaux pour espionner les militants, les dissidents, les journalistes et les opposants politiques.

« Ceux qui ont des capacités inférieures sont en mesure d’acheter simplement des techniques et de l’artisanat – et évidemment ces produits non réglementés peuvent facilement être utilisés par ceux qui n’ont pas d’antécédents d’utilisation responsable de ces techniques », a-t-elle déclaré. « Nous devons éviter qu’un marché de vulnérabilités et d’exploits se développe qui nous rende tous moins sûrs. »

Sécurité par défaut

Cameron s’est également penché sur la publication imminente de la nouvelle stratégie nationale de cybersécurité du Royaume-Uni, qui devrait être lancée avant la fin de 2021 et donnera au NCSC un mandat renouvelé pour construire et améliorer la sécurité du Royaume-Uni, avec une réglementation plus stricte dans certains domaines, un soutien accru dans d’autres et une meilleure protection des citoyens à tous les niveaux. avec le gouvernement en tête.

« Investir dans la cybersécurité gouvernementale signifiera également que le pouvoir d’achat du secteur public aidera à s’assurer que le marché fournit une technologie de qualité et sécurisée par défaut », a-t-elle déclaré. « Cela sera essentiel pour tirer parti des avantages de la transition à long terme du Royaume-Uni vers une économie entièrement numérisée. »

Cameron a déclaré que les technologies et les développements conçus pour bénéficier à la société continueraient d’être exploités par des acteurs malveillants de toutes les allégeances, et a souligné l’importance de sécuriser la technologie par défaut.

« Le mois dernier, nous avons publié nos plans pour nous éloigner de notre approche prescriptive passée pour assurer la technologie – comme les produits de cryptage et les routeurs – basée sur des certificats ponctuels », a-t-elle déclaré.

« À l’avenir, nous adopterons une approche fondée sur des principes en matière de fonctionnalités de sécurité et mettrons beaucoup plus l’accent sur la proportionnalité et les pratiques d’ingénierie du développeur, plutôt que de parcourir une liste de contrôle des critères à respecter. Cette approche sera reproductible, fondée sur des données probantes et, surtout, évolutive, afin de garantir un impact réel au niveau national en créant un marché qui récompense les développeurs qui investissent dans leur ingénierie de sécurité. »

Cameron a déclaré qu’en obtenant une « position de force défensive », le Royaume-Uni pourrait devenir mieux placé pour perturber et imposer des coûts aux acteurs malveillants, en utilisant un plus large éventail d’outils et de pouvoirs, et en s’appuyant sur les relations diplomatiques, les agences de renseignement, les forces de l’ordre et la nouvelle National Cyber Force pour assumer un « rôle de leadership plus activiste à l’échelle internationale » et façonner le cyberen environnement mondial de manière à, par exemple, évitez une répétition de la débâcle Huawei-5G.

« Cela nécessitera une approche plus interventionniste à la technologie, des semi-conducteurs à l’IA, des ordinateurs quantiques aux lieux connectés », a-t-elle déclaré. « Nous devons favoriser et protéger l’avantage concurrentiel dans les technologies essentielles au cyberespace et atténuer les cyberrisques à un stade plus précoce en veillant à ce que la sécurité soit intégrée à l’économie numérique de l’avenir. Et nous devons faire davantage pour nous assurer que les débats sur la technologie et les normes Internet soutiennent notre sécurité et notre prospérité futures. »