L’informatique héritée amplifie les cyber-risques pour Defra, déclare NAO | TechTarget

Alors que le ministère de l’Environnement, de l’Alimentation et des Affaires rurales (Defra) progresse dans la lutte contre les « risques et vulnérabilités urgents en matière de services » introduits par le sous-investissement historique dans la technologie, il ne parvient toujours pas à planifier de manière adéquate la transformation numérique plus large qu’il doit subir, introduisant de nouveaux éléments de risque, selon un rapport du National Audit Office (NAO).

Le Defra étant responsable de multiples services numériques critiques tels que la prévention des maladies, la protection contre les inondations et la qualité de l’air, le NAO s’est dit particulièrement préoccupé par le nombre croissant d’applications héritées utilisées par le département, dont beaucoup reposent sur une infrastructure informatique vieillissante.

Il a déclaré que la dépriorisation des investissements par le Defra avait conduit à une situation où 30% de ses applications ne sont plus prises en charge, ce qui signifie que les développeurs ne publient aucune mise à jour logicielle ou de sécurité. Il a déclaré que cela compromettait la résilience d’importants services environnementaux et augmentait l’exposition du Defra aux cyberattaques.

Le NAO a déclaré que le Defra n’était pas le seul à faire face aux problèmes associés aux domaines technologiques âgés et grinçants, mais qu’il était confronté à l’un des défis les plus difficiles pour y faire face – il ne devrait pas achever le travail qu’il doit faire avant 2030, et ses propres estimations suggèrent actuellement que les trois quarts de son numérique total, Les dépenses en données et en technologie sont dilapidées dans la maintenance de l’ancienne technologie.

« Le gouvernement continue de compter sur de nombreux systèmes de TI désuets à un coût important. Defra est confronté à une tâche particulièrement difficile dans le remplacement de ses applications héritées et a commencé à s’y attaquer de manière structurée », a déclaré Gareth Davies, directeur de NAO.

« Le plein potentiel de la technologie pour améliorer les services publics et réduire les coûts pour le contribuable ne peut être atteint que si ce programme et d’autres programmes similaires dans l’ensemble du gouvernement sont mis en œuvre efficacement. »

Le rapport complet du NAO a toutefois reconnu que le Defra fait des efforts pour réduire les risques les plus urgents, de même qu’il a concédé que le ministère n’avait pas – avant l’examen des dépenses de 2021 – reçu le financement nécessaire. Il a maintenant reçu 366 millions de livres sterling du Trésor pour dépenser en informatique jusqu’en 2025, contre seulement 100 millions de livres sterling à dépenser entre 2016 et 2019.

Il a ajouté que depuis l’examen des dépenses, le Defra a réussi à établir un « plan bien conçu », mais a déclaré que les fonds supplémentaires, bien qu’utiles, étaient loin d’être suffisants pour réduire les risques à des niveaux acceptables ou financer des efforts de transformation numérique plus larges.

Le NAO a exhorté le Defra à maintenir le rythme de son programme d’applications héritées alors qu’il passe de la phase de réparation, de stabilisation à une transformation numérique à part entière.

Il a également recommandé que le Defra et d’autres départements fassent davantage pour développer une « vision numérique stratégique », associée à des structures de gouvernance et de gestion appropriées pour s’assurer que les considérations numériques et de données sont « au cœur des plans de transformation de l’entreprise ».

Raghu Nandakumara, responsable des solutions industrielles chez Illumio, a commenté : «Il est inquiétant de constater qu’une grande partie des systèmes gouvernementaux sont vulnérables aux attaques, en particulier avec les ransomwares si répandus. Mais ce n’est pas surprenant non plus.

« La plupart des grandes entreprises disposent d’une infrastructure héritée importante qu’il n’est pas toujours facile de mettre hors service ou de corriger. Mais dans ces scénarios, il est essentiel que des mesures soient prises pour minimiser les risques et l’exposition aux attaques. À tout le moins, cela signifie limiter l’accès aux systèmes et services présentant des vulnérabilités connues et imposer une stratégie de moindre privilège.

« L’un des principaux piliers de la stratégie de cybersécurité du gouvernement consiste à atténuer les cyberrisques, il est donc important qu’il mette en pratique ce qu’il prêche. En fin de compte, la meilleure façon de réduire les risques est de pratiquer une bonne hygiène de sécurité et une approche de défense en profondeur pour renforcer la cyber-résilience », a déclaré Nandakumara.