Le gouvernement britannique lance une cyberstratégie interne

Westminster a lancé sa toute première stratégie gouvernementale de cybersécurité, un plan de plusieurs millions de livres sterling visant à mieux protéger les services publics vitaux contre le risque croissant de cyberattaques perturbatrices et destructrices.

Dans un discours prononcé aujourd’hui (25 janvier) à Londres, Steve Barclay, chancelier du duché de Lancaster, a souligné l’ampleur de la cybermenace à laquelle sont confrontés les systèmes informatiques du gouvernement et du secteur public et a révélé que le Royaume-Uni est désormais le troisième pays le plus ciblé au monde par des acteurs malveillants.

« Nos services publics sont précieux et sans eux, les individus ne peuvent pas accéder au soutien sur lequel ils comptent », a-t-il déclaré. « Si nous voulons que les gens continuent d’accéder à leurs pensions en ligne, au soutien social des gouvernements locaux ou aux services de santé, nous devons renforcer nos cyberdéfenses.

« La cybermenace est claire et croissante. Mais le gouvernement agit en investissant plus de 2 milliards de livres sterling dans le cyberespace, en retirant les systèmes informatiques existants et en renforçant nos compétences et notre coordination. »

La stratégie sera soutenue par 37 .8m £ pour les autorités locales afin de renforcer leurs cybercapacités et de protéger les services et les données essentiels tels que les allocations de logement, la prestation de soins sociaux, l’inscription des électeurs et la gestion électorale, ainsi que les subventions scolaires.

Ces services ont été parmi ceux perturbés dans un certain nombre de cyberattaques très médiatisées contre les autorités locales et les conseils à travers le Royaume-Uni au cours des dernières années, avec des victimes notables telles que Redcar et Cleveland dans le nord-est de l’Angleterre, Hackney à Londres et le conseil municipal de Gloucester.

Au total, environ 40 % des incidents gérés par le Centre national de cybersécurité (NCSC) au cours de la dernière année pour lesquels des chiffres sont disponibles visaient des cibles du secteur public.

En outre, la stratégie verra la création d’un centre de cybercontrôle pangouvernemental (gccc), qui s’appuiera sur des modèles similaires du secteur privé qui ont déjà fait leurs preuves (tels que le Centre de cybercontina collaboration du secteur financier hébergé par le NCSC) pour identifier, enquêter et coordonner la réponse du gouvernement aux attaques. Cette entité sera basée au Bureau du Conseil des ministres.

Un nouveau régime d’assurance plus détaillé sera également mis en place pour effectuer des évaluations plus rigoureuses des plans et des vulnérabilités en matière de cyberrisques et d’intervention de chaque ministère, donnant au gouvernement central une image sans précédent de sa cybersanté globale. Parallèlement à cela, le gouvernement intensifiera ses efforts pour comprendre et atténuer les risques émanant de sa chaîne d’approvisionnement technologique, en veillant à ce que des contrôles de sécurité stricts soient intégrés dans les futurs achats, et se lancera dans un nouveau projet visant à réduire les cyberrisques en changeant les cultures internes.

Il établira également un nouveau service de signalement des vulnérabilités permettant à quiconque, des membres individuels du public aux pirates informatiques éthiques, de signaler les faiblesses qu’ils peuvent trouver dans les services numériques.

Le chef de la sécurité du gouvernement, Vincent Devine, a déclaré que la stratégie rendrait les fonctions gouvernementales de base et les services publics plus résistants que jamais aux attaques.

« Nous avons besoin de cette stratégie audacieuse et ambitieuse pour nous assurer que les fonctions critiques du gouvernement sont considérablement renforcées aux cyberattaques », a-t-il déclaré.

« La stratégie s’articule autour de deux piliers fondamentaux, le premier étant axé sur la construction d’une base solide de résilience organisationnelle en matière de cybersécurité ; et la seconde visait à permettre au gouvernement de « se défendre comme un seul homme », en exploitant la valeur du partage des données, de l’expertise et des capacités.