Dernièrement, le Dr. Ian Levy, directeur du nouveau National Cyber Security Centre (NCSC) au Royaume-Uni a offert un aperçu des principales initiatives de la stratégie adoptée par le gouvernement britannique en matière de cyber-sécurité. Cette stratégie arrive un an après l'annonce par George Osborne que le Royaume-Uni allait investir 1,9 milliard de livres d'ici 2020 dans la cyber-sécurité et laisse entendre que la cyber-défense devient très rapidement une priorité absolue pour les institutions gouvernementales et les entreprises.
Vous trouverez ci-dessous les trois principaux projets soulignés dans cette feuille de route quinquennale, et leur implication pour les organisations du Royaume-Uni.
Remplacer le discours alarmiste par des conseils applicables
Bien que le secteur de la cyber-sécurité continue d'innover, le marché reste saturé de propos rhétoriques inutiles, alarmistes et prêtant à confusion. « Pour nous, la principale menace serait de continuer à parler de la cyber-sécurité tel que nous le faisons aujourd'hui », a déclaré M. Levy la semaine dernière.
Nous nous laissons bien trop souvent distraire par les dernières escroqueries ou tactiques frauduleuses, alors que nous devrions nous atteler à réellement protéger les entreprises et les administrations et promouvoir clairement et largement ces solutions.
Le principal objectif du centre et de cette stratégie est d'offrir « un endroit qui réunit tout », déclare Levy, « des informations... sur la conception et la création d'un système, jusqu'à l'aide que nous pouvons apporter pendant son exploitation ».
Améliorer la transparence entre les administrations et le secteur privé
L'un des autres objectifs clés de cette stratégie est de décloisonner les barrières établies entre les administrations et les entreprises privées. Plus nous donnerons d'informations sur les tactiques de piratage et les stratégies de défense actuelles, mieux nous nous en porterons.
« Faisons cela publiquement, en toute transparence ; publions les données, révélons ce que nous avons déjà accompli, l'effet que cela a eu, et les coûts associés », déclare Levy. « Mon souhait est que tout le monde sache vraiment, réellement, à quoi ressemble la cyber-sécurité actuellement. Que tout le monde comprenne ce que représentent ces risques, et comment s'en protéger du mieux possible. »
Cela concerne tout particulièrement le secteur public qui s'appuie habituellement sur des systèmes archaïques, lents à s'adapter. Ce décloisonnement ramènera également peu à peu la sécurité à un niveau plus général, au lieu de continuer à la considérer comme un problème exclusivement limité à l'informatique.
Éliminer les menaces persistantes et évitables
Le courrier électronique reste l'un des principaux vecteurs des menaces associées aux pires violations de données récentes. Les attaques qui ont récemment visé le Comité national démocrate (DNC) et le Bureau de la gestion du personnel (OPM) américain découlaient directement d'un simple e-mail de phishing.
Pour le NCSC, le concept de protection renforcée ne passe pas par l'implémentation de tactiques de défense novatrices et complexes. Il s'agit de s'attaquer aux proies faciles en investissant dans les meilleures pratiques qui ont déjà fait leurs preuves. Parmi celles-ci, l'obligation d'implémenter la norme d'authentification des e-mails DMARC (Domain-based Message Authentication Reporting & Conformance) dans chacun des 5 700 domaines appartenant aux administrations publiques.
En reprenant le contrôle de ses domaines légitimes, le but du gouvernement est de « s'attaquer aux comptes de messagerie usurpés, employés dans un but frauduleux » et de grandement compliquer les opérations de phishing au Royaume-Uni. L'implémentation de la norme DMARC, parfois difficile dans les environnements complexes, reste fondamentale dans la lutte contre l'usurpation des noms de domaine des organisations.
L'approche de première authentification adoptée par l'Administration fiscale et douanière (HMRC), qui a été parmi les premières à implémenter la norme DMARC, a donné d'excellents résultats. « En deux mots, la norme DMARC fonctionne », déclare Ed Tucker, Chef de la cyber-sécurité chez HMRC. En adoptant une approche mixte contre la fraude par courrier électronique, la norme DMARC devient la pierre angulaire des contrôles techniques (que les expéditeurs peuvent implémenter dès aujourd'hui), rétablit la confiance et reprend le contrôle de la messagerie pour les marques authentiques et les consommateurs. »
Déstabilisation des modèles cyber-économiques
En matière de cyber-criminalité, et face au piratage qui atteint des records historiques et au faible niveau de confiance qu'a toujours suscité l'informatique, les secteurs privé et public combattent un ennemi commun. Au travers de sa stratégie nationale de cyber-sécurité, le gouvernement britannique met en avant la déstabilisation des modèles cyber-économiques actuels en faisant du Royaume-Uni une cible intraitable et en multipliant les coûts et les risques pour les criminels.
Comme chaque organisation est une victime potentielle, le secteur privé doit résolument mettre l'accent sur les éléments informatiques de base que décrit le NCSC. En combinant les contrôles du personnel, des processus et des technologies, les entreprises sont en mesure de réduire leur exposition aux risques inhérents aux attaques informatiques les plus élaborées en plaçant la protection avant la détection et la réaction.