Le Royaume-Uni va se doter de «cyber-réservistes»
Loin des discours sur la sophistication présumée de certaines attaques, le gouvernement britannique affiche une approche fortement pragmatique de la menace informatique, misant à la fois sur la protection des infrastructures critiques, la sensibilisation du public, le développement des compétences et celui des capacités militaires.
Le bureau du premier ministre britannique vient de publier un compte-rendu d’étape sur les efforts du Royaume-Uni en matière de sécurité informatique. Un document qui décrit une approche large emprunte d’un pragmatisme prononcé. Cette approche apparaît motivée par un constat clé : selon lui, Internet génère outre-Manche un marché évalué à 82 Md£ par an faisant du pays «l’économie développée la plus dépendante d’Internet ». De quoi effectivement motiver une approche sérieuse du sujet, d’autant plus que 93 % des grandes entreprises et 76 % des petites auraient été victimes d’un incident de sécurité IT l’an passé. Sans compter «les attaques sur les administrations publiques qui continuent d’augmenter ».
Un vaste programme
C’est dans ce contexte que le gouvernement britannique explique avoir lancé un programme national de cyber sécurité - transversal à l’échelle du gouvernement - et doté d’un budget de 650 M£. Un programme ambitieux et étendu qui implique notamment la Défense : son ministère a mis en place une unité dédiée qui travaille «au développement de nouvelles techniques, tactiques et de nouveaux plans pour fournir des capacités militaires pour faire face aux menaces de haut niveau ».
Un centre de protection dédié aux infrastructures critiques est alimenté en informations par cette unité pour assurer la protection contre les agences de renseignement hostiles et les terroristes. Plus loin, le ministère de la Défense entend développer un corps de «cyber-réservistes permettant aux Services de mobiliser plus de talents et de compétences de la nation dans le domaine informatique ». La composition de ce corps est en cours de définition et devrait être présentée en 2013.
Renforcer la robustesse des logiciels
Ce centre de protection dédié aux infrastructures critiques doit être totalement opérationnel l’an prochain. Mais déjà, il travaille, notamment, à la recherche de vulnérabilités, conjointement avec l’université d’Oxford. Sur ce terrain, le gouvernement britannique a noué un partenariat pour soutenir et financer les initiatives visant à renforcer la sécurité et la fiabilité des logiciels, à travers notamment un effort de sensibilisation des étudiants des cursus techniques. Trois universités pilotent la production des supports de cours correspondants; ils seront utilisés en phase pilote au printemps prochain.
Sensibiliser le public
L’initiative britannique s’intéresse aussi à la cybercriminalité touchant le grand public et les entreprises : données sensibles du secteur des services financiers, lutte contre la fraude, protection des données personnelles et de la propriété intellectuelle. Le gouvernement britannique entend faire en sorte que la sécurité IT «soit intégrée à la gouvernance d’entreprise et aux processus de gestion des risques ».
En janvier prochain, un programme de partage d’informations entre acteurs publics et privés sera lancé. Les PME devront y être associées dans une seconde phase. Rien ne semble oublié. Et surtout pas la sensibilisation du public : «nous avons activement élevé le niveau de sensibilisation de l’industrie et du public afin que chacun puisse prendre des mesures simples pour se protéger et exiger une meilleure protection dans l’utilisation de produits et services », précise le document.
Ainsi, «plus de 4 millions de personnes ont été touchées par la campagne “Le diable se cache dans vos données personnelles“ lancée au printemps 2012 ». Un nouveau programme de sensibilisation visant le grand public et les PME est prévu pour le printemps prochain; il associera le secteur privé.
Développer les compétences
En outre, le gouvernement britannique mise sur le développement des compétences : les travaux de huit universités ont déjà été distingués et un institut de recherche virtuel dédié a été créé dans le cadre d’un partenariat public/privé. Plus d’une centaine d’écoles ont par ailleurs accepté d’utiliser des contenus développés dans le but de développer les «compétences de cyber-sécurité chez les jeunes et étendre l’afflux de talents dans ce domaine ».
Des agences de renseignement ont lancé de leur côté un programme de partenariats pour identifier et développer les talents dans l’enseignement supérieur et proposer un apprentissage spécifique à 100 d’entre eux. Et il faut ajouter à cela un programme public de certification des compétences liées à la sécurité informatique et l’ambition d’intégrer «la cyber-sécurité aux diplômes universitaires».