Une réflexion à long terme est vitale pour sécuriser l’infrastructure critique du Royaume-Uni
4 min readLa cybercriminalité a été identifiée par le gouvernement britannique comme une menace de niveau 1 aux côtés du terrorisme, et la cybercriminalité coûte aux entreprises britanniques d’énormes sommes d’argent chaque année – et c’est juste la cybercriminalité que nous connaissons, car elle est largement sous-déclarée.
Gouvernement et infrastructure nationale critique (CNI) restent des cibles clés pour les gangs du crime organisé qui dirigent une grande partie de la cybercriminalité, ainsi que pour les États-nations hostiles, bien que ceux-ci soient plus rares. Cependant, ils sous-traitent parfois ce genre de « travail » à des gangs criminels.
Donc, cyber guerre (comme nous pouvons bien considérer que les attaques contre le CNI sont) pourraient, en fait, être entre les mains non seulement de nations hostiles, mais aussi de l’élément criminel de ces nations hostiles, voire d’autres nations.
Le monde a vu, en fait, à plusieurs reprises, ce qui se passe lorsqu’ils réussissent (pensez au réseau électrique ukrainien qui a été démantelé trois fois, et WannaCry et NotPetya désactivant les entreprises et le NHS). Mais notre leadership en matière de sécurité est-il suffisamment développé pour faire face à cette menace persistante et évolutive?
« La plus grande menace pour la sécurité aujourd’hui est le manque général de conviction qu’une menace existe » – cela a été dit par Lord Radcliffe dans un rapport sur la sécurité en 1962.
Afin de faire face à cette menace de niveau 1, il faut une réelle compréhension au cœur du gouvernement – cela fait maintenant plusieurs années que le National Audit Office (NAO) a critiqué le manque de compréhension et de leadership en matière de sécurité de l’information.
Le nombre de systèmes gérés à distance ou basés sur le Web augmente chaque année et, à juste titre, notre CNI doit bénéficier de la facilité de gestion et des économies de coûts que ces nouvelles méthodes de travail offrent.
Dans le même temps, la ruée vers l’interconnexion de nombreux systèmes existants se poursuit sans relâche, faisant des systèmes qui n’ont jamais été conçus pour être connectés à Internet, exactement cela.
De liaison OT et systèmes hérités à Internet en fait une cible « légitime » pour les États-nations utilisant des capacités d’attaque offensives, ainsi que pour les criminels et les terroristes. Ils ne font pas de distinctions basées sur un code moral ou éthique – ils recherchent un résultat.
Donc, si nous continuons à tout activer sur le Web dans notre CNI, il serait pardonnable d’imaginer que nous avons pris toutes les mesures possibles pour assurer leur sécurité et leur résilience.
Pourtant, pas plus tard qu’en 2017, nous avons découvert que plus d’un tiers des organisations d’infrastructure au Royaume-Uni n’avaient pas satisfait aux normes de base en matière de cybersécurité publiées par le gouvernement britannique, connues sous le nom de 10 étapes vers la cybersécurité.
Il ne fait donc aucun doute qu’il y a un manque de réflexion à long terme dans ce domaine et ce qui ressemble à une approche semblable à « si ce n’est pas cassé, ne le répare pas ».
En d’autres termes, s’il fonctionne toujours, nous savons qu’il n’est peut-être pas sécurisé, mais nous n’allons pas débourser pour le remplacer s’il fonctionne toujours. En effet, le patch peut s’avérer difficile ou coûteux, nécessitant éventuellement l’intervention d’un fournisseur. Le système d’exploitation sur lequel il a été construit peut ne plus être pris en charge par les correctifs de sécurité et le coût de maintenance ou de remplacement n’a pas été intégré aux coûts du cycle de vie.
Combinez cela avec la disparité qui entoure maintenant le concept de CNI et cela place le Royaume-Uni dans une position très précaire. CNI est maintenant une collection lâche de et des organismes ou organisations privés qui peuvent même ne pas appartenir au pays.
Il n’y a que peu de temps pour que vous puissiez vous enfouir la tête dans le sable. Le paysage stratégique du Royaume-Uni est dicté par les mêmes personnes qui sont habituées à rédiger des stratégies quinquennales pour des mandats gouvernementaux de cinq ans. Mais la cybersécurité ne fonctionne pas sur des cycles de cinq ans ; le cyber fonctionne aujourd’hui et parler d’une véritable résilience ne peut se produire que si cela est accepté comme un fait.
Une réponse agile, itérative et proactive est nécessaire. Attendre six ans pour mettre à jour votre stratégie cyber ne fait que sous-tendre les observations du NAO selon lesquelles le gouvernement ne saisit pas pleinement la menace.
C’est peut-être vrai ou pas, mais ce qui est vrai, c’est que les rêves d’être à l’avant-garde de la cybersécurité au Royaume-Uni ne resteront que cela, jusqu’à ce que nous parvenions à élaborer des stratégies qui répondent à certaines des réalités les plus difficiles et les plus inconfortables de la façon dont nous se comporter réellement et les revoir régulièrement.