Conseil pour Donald Trump : réfléchissez à la cybersécurité de vos infrastructures

Protection des donnéesCybercriminalitéFaille de sécuritéSécurité
cybersécurité

Conseil pour Donald Trump : réfléchissez à la cybersécurité de vos infrastructures

cybersécuritéLe bilan du gouvernement des États-Unis dans la gestion de sa propre cybersécurité peut être considéré par certains comme insuffisant. Parmi les échecs répertoriés figurent la faille de sécurité au niveau des systèmes à la Maison Blanche et au Département d’Etat, et les incursions ayant affecté une myriade d’autres agences.

Pour être sincère, les failles de données ont touché des sites gouvernementaux à travers le monde. Mais les citoyens s’attendent généralement à ce que les systèmes gouvernementaux soient bien plus protégés que le réseau standard.

Ces attentes se sont montrées plutôt irréalistes.

Avec Donald Trump qui vient de prêter serment lors de la cérémonie d’investiture, en tant que 45ème président des Etats-Unis, les américains se demandent ce qu’il va advenir de la cybersécurité du gouvernement. Jusqu’à présent, les attentes de la communauté cybersécurité sont plutôt faibles, en particulier du fait de la nomination de l’ancien maire de New York, Rudolph Giuliani, comme conseiller en cybersécurité. Après l’annonce de cette nomination, les experts en sécurité ont décidé de s’intéresser au site Giulianisecurity.com, le site du cabinet de conseil éponyme en infosec de l’ex-maire. Ils ont trouvé qu’il était développé avec une version de Joomla vieille de 5 ans, et pleine de vulnérabilités.

Avec tout cela à l’esprit, nous avons contacté plusieurs experts pour revenir sur la question :

Puisque le gouvernement américain a tant de difficultés pour sécuriser ses systèmes Internet, serait-il préférable de privatiser cette tâche ?

En d’autres termes, demander à des entreprises de cybersécurité du secteur privé de gérer cet effort.

La réponse a été un NON retentissant !

Certains ont souligné que le secteur privé n’a pas fait beaucoup mieux, compte tenu du nombre d’attaques quotidiennes et des failles de sécurité visant d’innombrables entreprises. D’autres ont dit que le gouvernement des États-Unis avait la responsabilité de sécuriser ses propres systèmes, et que cette responsabilité ne peut et ne doit pas être déléguée.

Au lieu de cela, les experts ont proposé des suggestions pour améliorer la cybersécurité du gouvernement.

Arrêtez les classements et les notations

Eric Cowperthwaite, professionnel basé à Seattle et spécialisé dans les problèmes de sécurité dans le secteur de la santé, a suggéré que les agences gouvernementales abandonnent l’approche par classement et la philosophie de type “case à cocher” :

“Je pense que le problème vient du fait que le système de primes et l’infrastructure dans son ensemble sont dépassés” a-t-il dit. “En un mot, les responsables de la sécurité du gouvernement sont incités à se conformer à des cases à cocher et à obtenir une bonne note. Il est clair depuis un certain temps qu’un système basé sur la conformité n’est pas en mesure d’anticiper les menaces futures, mais seulement de se référer à l’historique des menaces. Pire encore, le système basé sur la conformité devient un plafond quand il devrait être un étage”.

Pas de solution facile

Ken Swick, un spécialiste de la sécurité basé à St Louis, a déclaré qu’en tant que libertaire et défenseur du libre marché, il étant sans aucun doute pour la privatisation de la sécurité informatique des sites gouvernementaux.

“Cependant”, a-t-il déclaré, “étant une personne avant tout réaliste et pragmatique, je me rends compte de l’existence d’un capitalisme de connivence, qui ne disparaîtra pas de sitôt”. Puisque la privatisation est irréaliste à ce stade, il croit que c’est probablement mieux pour les agences de développer les talents  en interne et de mieux les sensibiliser. “Je ne vois pas de solution simple dans notre environnement actuel”, a-t-il déclaré. “Des approches hybrides sont probablement les meilleures solutions avec un groupe interne d’experts solide en matière de sécurité, pour supporter et aider l’ensemble”.

Suivez l’exemple des grandes entreprises

Dave Kennedy, PDG et fondateur de TrustedSec, un cabinet de conseil en sécurité informatique basé près de Cleveland( Ohio) suggère que, même si la privatisation est irréalisable, les agences gouvernementales peuvent apprendre beaucoup du modèle du secteur privé :

“Je pense qu’une meilleure approche serait d’avoir une structure semblable à celle des grandes entreprises, à savoir une organisation qui est chargée de la sécurité au niveau fédéral, national et local, et qui peut avoir plusieurs CSO en charge des différentes composantes du gouvernement”, a-t-il déclaré. “L’infrastructure sera centrale, ce qui permettra de partager le budget, mais aussi d’avoir un système de contrôle cohérent, à travers l’organisation”.

L’adoption d’un tel système serait l’un des plus grands projets jamais entrepris et le fait de disposer d’une segmentation appropriée et de systèmes compartimentés sera très important, a-t-il souligné. De plus, cela pourrait grandement améliorer la cybersécurité du gouvernement.

Est-ce que Trump et les agences de son administration prendront ces idées à cœur ? L’avenir nous le dira, même s’il est plus sûr de dire que personne ne retient vraiment son souffle.

//platform.twitter.com/widgets.js
Partagez Conseil pour Donald Trump : réfléchissez à la cybersécurité de vos infrastructures : http://wp.me/p2YJS1-3cV
Billet inspiré de Advice for Trump: think about your security infrastructure, par Bill Brenner, Sophos NakedSecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.