Cybersécurité : un tonneau des Danaïdes pour Sa Majesté
Le patron de l’Anssi britannique vient de reconnaître que, malgré des investissements considérables, le Royaume-Uni n’est pas en train de gagner la bataille de la cybersécurité.
« Nous ne sommes pas en train de remporter la bataille de la cybersécurité », malgré des investissements importants. C’est un aveu d’échec qu’a formulé Alex Dewdney, RSSI du CESG, homologue britannique de l’Agence nationale pour la sécurité des systèmes d’informations (Anssi), à l’occasion d’une intervention à RSA Conference la semaine passée.
Fin janvier, John Hayes, secrétaire d’Etat à la Sécurité auprès de Theresa May, ministère de l’Intérieur britannique, afin indiqué que le Royaume-Uni avait investit plus de 800 M£ en cybersécurité au cours des 5 dernières années. Il avait en outre annoncé le doublement de ce montant pour les cinq prochaines années.
Pour Alex Dewdney, la réalité est « que [le précédent plan quinquennal] n’a pas fonctionné ». Et cela se traduit concrètement par le fait que 90 % des grandes organisations britanniques ont rapporté des brèches de sécurité en 2015, selon un audit public. Mais pour le RSSI du CESG, les chiffres auraient été bien plus mauvais, et l’impact des des brèches bien plus grand, sans les actions et l’investissement du gouvernement.
Et si John Hayes appelait à plus de coopération européenne, et que RSA Conference a encore été l’occasion d’appels à plus de coopération public/privé, Alex Dewdney se montre plus réservé : « il y a eu une sorte de mantra au Royaume-Uni, disant que la solution à nos problèmes se trouvait dans le partage d’informations et dans les partenariats public/privé ». Las, « cette approche seule n’est pas suffisante, et nous commençons à penser à la mesure dans laquelle le gouvernement doit être plus interventionniste ». Et cela en particulier dans sa manière d’appréhender les défis de la cybersécurité – « toujours avec l’industrie, mais en faisant plus que simplement fournir des informations sur les menaces et attendre des entreprises qu’elles s’en occupent ».
Plus loin, Alex Dewdey a souligné l’ambition britannique de fournir plus de services aux sujets de Sa Majesté de manière numérique. Mais le fiasco de l’OPM, outre-Atlantique, n’a pas manqué de faire peur… « à ceux qui n’avaient beaucoup pensé cybersécurité. Ce qui a beaucoup aidé ».
Pour aider des structures de taille modeste, y compris publiques, le recours à des services managés peut apporter une réponse. Mais Dewdey est prudent : « lorsque vous parlez externalisation, cela ne veut pas dire que vous transférez le risque, mais cela peut affecter l’attitude de la direction de l’organisation. Et une fois que vous avez perdu [son implication, NDLR], vous avez de gros problèmes ».
Avec nos confrères de ComputerWeekly (groupe TechTarget).
Pour approfondir sur Cyberdéfense
-
Vendée Globe : Alex Thomson mène sa course sous le signe de la Data et du Machine Learning
-
Web Conference 2018 : les promesses et les risques du futur Internet divisent les grands acteurs
-
Le déficit de compétences en sécurité continue de pénaliser les entreprises
-
Brad Smith, de Microsoft, s’inquiète des menaces liées aux États-nations