Le secteur public est une cible privilégié surexposé aux cyberattaques mais il doit repenser son approche

Secu

Secteur Public : quand aura lieu la prochaine cyberattaque ?

Par La rédaction, publié le 29 janvier 2024

Confronté à une menace croissante de cyberattaques, le Secteur Public cherche des solutions pour renforcer la sécurité de ses systèmes d’information, souvent obsolètes et mal protégés. Sans trop savoir par où commencer…


Par Matthieu Cantau, Directeur de Comptes Secteur Public chez Crayon France.


Cible privilégiée des cyberattaquants, le Secteur Public est en proie à des attaques de plus en plus fréquentes. Rien qu’entre juillet 2021 et juillet 2022, les administrations publiques représentaient près de 24 % des organisations victimes de piratage selon le rapport Threat Landscape 2022 de l’European Union Agency for Cybersecurity (ENISA).

Cette vulnérabilité s’explique notamment par l’obsolescence des systèmes d’information de l’Administration. Conséquence directe : des principes fondamentaux ne sont pas mis en place. Et si l’optimisation de licences était la solution pour libérer le budget nécessaire pour améliorer la sécurité du SI du Secteur Public ?

L’exposition à la menace du Secteur Public

Aujourd’hui, le Secteur Public est une des cibles de choix des cyberattaquants. La raison principale est le type d’information dont elle dispose : des données sensibles sur les usagers (numéro de sécurité sociale, données de santé, avis d’imposition, identité…) qui représentent une valeur marchande élevée pour les attaquants.

De plus, les systèmes d’information du Service Public sont utilisés pour des activités critiques : santé, services aux citoyens, finances… Pour les cybercriminels, il est tentant de les paralyser pour se livrer à toutes sortes de menaces (rançon, vol, chantage…).

Par ailleurs, le type de menaces auxquelles doit faire face l’Administration est beaucoup plus élaboré que le simple cryptolocker, souvent matérialisé par une demande de rançon. Les pirates automatisent leurs processus et réalisent désormais des attaques intelligentes. Ils déjouent les protections grâce à de l’intelligence artificielle et infiltrent du code malveillant dans les sauvegardes qui se propagera en cas de restauration.

L’administration est loin d’être protégée de manière optimale. La cause, principale, la non-modernisation de son système d’information. Résultat : elle doit se défendre contre des pirates disposant de moyens sophistiqués qui utilisent l’IA et le social engineering. Ainsi, la question n’est plus de savoir si l’Administration publique sera attaquée, mais bel et bien, quand elle le sera !

Faire les choses dans le bon ordre

Par quoi devrait commencer le Secteur Public ? Par des principes fondamentaux et simples. Il ne s’agit pas de placer tout son système d’information dans le cloud, au risque de faire face à des réticences liées à l’abandon de systèmes opérationnels, mais vétustes, et de compétences qui ne seraient alors plus nécessaires. Il faut accompagner le changement et ne plus afficher un prétexte de “souveraineté” des données. Il faut commencer par classifier l’information : ce qui doit être considéré comme souverain ou critique, et ce qui ne l’est pas. Déplacer cette volumétrie sur des systèmes à jour et mettre ce qui n’est pas sensible dans une bulle isolée qui peut – par exemple – être protégée par le cloud avec des solutions de sécurité et de rétention adaptées. Procrastiner et tout considérer comme “souverain” ferait exploser les coûts alors que ce travail de classification peut commencer dès aujourd’hui.

Ensuite, la formation des agents du Service Public : les attaques modernes visent en premier lieu les individus et les mauvaises habitudes, non plus les systèmes. Peu sensibilisés à la réponse à incident et à la cybersécurité, les agents font face à des différences de traitement au niveau des logiciels installés ainsi qu’à la formation sur ces derniers. Une information cruciale avec laquelle les cyber attaquants aiment jouer afin de cibler les bonnes “victimes”.

Ainsi, les décideurs du Secteur Public doivent équiper l’IT de solutions permettant de mener des campagnes de sensibilisation sur leurs agents. Comment ? Grâce à des cas pratiques : campagne d’hameçonnage des identifiants, jeux de rôle autour de la cybersécurité, etc.

Autre mesure, renforcer la sécurisation des accès sensibles : serveurs exposés, postes de travail… La mise en œuvre d’une analyse automatisée des accès suspicieux, l’utilisation de solutions d’authentification multifactorielles et de codes PIN sont alors des fondamentaux pour limiter les usurpations d’identité et le vol massif de données sensibles.

Réorienter les budgets IT vers la protection

Reste un écueil à lever : le financement de cette protection. Dans un contexte où les budgets sont tendus, l’une des solutions à regarder de plus près est la centralisation et la simplification des parcs de licences, pour mieux les (re)négocier. Comme dans toute grande organisation, ces systèmes d’information, devenus complexes au fil du temps, comprennent des ressources matérielles ou logicielles inutilisées, des licences non exploitées, des contrats de maintenance sur des outils obsolètes.

Il en résulte un système trop riche avec de nombreuses fonctionnalités peu ou mal utilisées, dont l’usage n’est pas homogène de par le manque de formation et la difficulté de compréhension des politiques tarifaires des éditeurs du marché. La solution adaptée pour libérer du budget est alors un audit des licences réellement utilisées. Cela afin de faire le tri tout en comprenant les dépenses IT.

Le Secteur Public disposera ainsi de systèmes informatiques plus réalistes et éclairés. Les budgets pourront donc être réalloués à des solutions pratiques : sécurité informatique, Cloud, tests de phishing.

Plutôt que multiplier les logiciels de protection, créant une complexité administrative non négligeable, la protection peut être assurée par une simplification globale des licences. Le but est d’assurer un fond de panier “sain”, bien identifier ce qui est sensible de ce qui ne l’est pas et outiller les agents par de la formation. La sécurité de l’ensemble peut ensuite être amenée de manière cohérente et souveraine tout en apportant une prédictibilité sur la baisse des coûts de l’IT. Ainsi, le conseil en optimisation de licences devient un levier pour financer la sécurisation optimale du SI.


À LIRE AUSSI :

Dans l'actualité