Le manque d’expertise nuit à la cyberpréparation du gouvernement britannique

La guerre contre l’Ukraine a mis en avant les sujets liés à la cyberpréparation au sein des organisations gouvernementales et des propriétaires ou fournisseurs d’infrastructures nationales critiques (CNI), mais au Royaume-Uni en particulier, ces organismes sont confrontés à de gros problèmes dans les domaines des compétences et de l’expertise, qui créent des obstacles à l’amélioration.

C’est ce qui ressort d’un rapport compilé par Trellix – la société anciennement connue sous le nom de McAfee – et les sondeurs Vanson Bourne fin 2021, qui a recueilli les opinions de centaines de professionnels de la sécurité d’agences gouvernementales et d’organisations CNI en France, en Allemagne et au Royaume-Uni. Même si le travail de terrain a été mené des mois avant l’attaque de la Russie contre l’Ukraine, les questions qu’il soulève sont très pertinentes dans le contexte de la guerre.

« Les cyberattaques font autant partie de la guerre moderne que l’utilisation d’armes physiques. Les attaques contre les infrastructures critiques ne sont pas nouvelles, mais les derniers mois ont ouvert davantage les yeux sur les activités de nombreux gouvernements et groupes de piratage, car ils ciblent directement les actifs et les systèmes essentiels à la sécurité économique, à la sûreté et à la santé publique d’un pays », a déclaré Fabien Rech, vice-président de Trellix pour l’Europe, le Moyen-Orient et l’Afrique (EMEA).

Trellix a constaté que 41% des répondants britanniques ont déclaré que le manque de ressources en personnel était le principal obstacle à la mise en œuvre de nouvelles solutions cybernétiques, tandis que 39% ont identifié un manque de fournisseurs partenaires de confiance pour aider, et 35% ont déclaré qu’ils manquaient d’expertise suffisante en matière de mise en œuvre.

En France, les professionnels de la sécurité avaient tendance à trouver les processus d’appel d’offres et d’appel d’offres plus problématiques, mais ont également cité le manque de partenaires de confiance, le budget et l’ignorance de la cybersécurité parmi les dirigeants organisationnels. Les intervenants allemands ont également été confrontés à des problèmes d’appel d’offres et à des problèmes similaires à ceux des Britanniques et des Français.

D’un point de vue technologique, les répondants basés au Royaume-Uni ont cité la détection et la réponse des terminaux (EDR) et la détection et la réponse étendues (XDR) et la modernisation de la sécurité du cloud comme les solutions défensives les plus matures, 37% d’entre elles déclarant avoir été « entièrement déployées » dans ce domaine. La confiance zéro a suivi avec 32%, et l’authentification multifacteur (MFA) a été citée par 31% – les Britanniques avaient tendance à penser que l’AMF était également plus difficile que la moyenne à mettre en œuvre.

Les Français, en revanche, font beaucoup mieux sur l’authentification multifacteur, avec 47% des répondants affirmant un déploiement complet, 35% déclarant avoir entièrement déployé EDR-XDR et 33% et 30% déclarant avoir pleinement mis en œuvre la modernisation de la sécurité du cloud et la confiance zéro, respectivement.

En revanche, les Allemands ont eu tendance à être meilleurs sur la modernisation de la sécurité du cloud, que 40% ont déclaré avoir pleinement mise en œuvre, suivie par zero trust à 32%, MFA à 30% et EDR-XDR à 27%.

Risque de la chaîne d’approvisionnement et soutien gouvernemental

Dans d’autres domaines, les répondants des trois pays avaient tendance à identifier la gestion des risques et les processus de la chaîne d’approvisionnement logicielle comme difficiles à mettre en œuvre, en particulier à la lumière d’incidents très médiatisés tels que l’attaque SolarWinds, et il y avait également un accord sur le fait qu’il y avait trop peu de surveillance sur la façon dont les produits de sécurité sont développés et où.

Les majorités de chaque pays ont également convenu qu’il incombait aux gouvernements de prescrire des normes plus élevées en matière de cybersécurité des logiciels, bien que celles-ci aient été tempérées par des préoccupations selon lesquelles, entre autres choses, les suggestions et les échéanciers du gouvernement seraient difficiles à respecter et que trop de surveillance nuirait à leur capacité de penser par eux-mêmes.

Les répondants à l’enquête se sont toutefois prononcés fermement en faveur d’initiatives de sécurité formalisées et dirigées par le gouvernement, tous pensant que de tels programmes conduiraient à une meilleure protection.

Des majorités écrasantes dans chaque pays ont également appelé à une amélioration de la façon dont les secteurs public et privé s’associent et interagissent sur les questions de sécurité – les Britanniques, soit dit en passant, étaient particulièrement attachés à la notification obligatoire des incidents et à la protection en matière de responsabilité, et les répondants des trois pays avaient tendance à privilégier une coopération et un soutien plus définis lors des attaques en cours.

Rech a noté en particulier les ambitions du Royaume-Uni d’être une « puissance cybernétique de premier plan » d’ici 2030, mais a déclaré que les cybercriminels et les adversaires des États-nations augmentaient la mise, il fallait donc accélérer cela.

« Les initiatives menées par le gouvernement ont un rôle important à jouer, mais il incombera également aux organisations de tous les secteurs – en particulier celles des infrastructures critiques – de faciliter le partage de renseignements sur les menaces et de tirer le meilleur parti de la technologie de cybersécurité avancée et de la protection adaptative qu’elle permet », a-t-il déclaré.

« La sécurité statique et cloisonnée ne va pas à l’encontre de l’approche agile que les cybercriminels et les États-nations emploient pour leurs tactiques sales. Le gouvernement et les organisations britanniques devront ne pas oIls collaborent, mais s’assurent également que leurs équipes de sécurité sont en mesure de réagir rapidement avec une sécurité qui repère, arrête et s’adapte rapidement aux menaces entrantes. Cela sera essentiel pour que les agences gouvernementales et les fournisseurs d’infrastructures critiques restent résilients et prêts à repousser les nouvelles attaques qui se présentent à eux. »

Le rapport complet de Trellix peut être téléchargé pour une étude plus approfondie ici.