Cybersécurité et confiance dans le numérique

La transformation numérique et la cybersécurité sont souvent considérées comme 2 disciplines distinctes.

La réalité est qu’elles sont intimement liées. Le dernier rapport du Forum mondial sur la cyber-expertise sur l’intégration de la cybercapacité dans le programme de développement numérique montre que les donateurs et les bailleurs de fonds doivent intégrer les efforts de cybersécurité et de transformation numérique. Le numérique, sans cybersécurité, ne peut être pérenne.

La pandémie du covid-19 a accéléré la transformation numérique dans le monde entier. Malheureusement, le résultat d’une plus grande adoption de services numériques a été une augmentation exponentielle du nombre de cyber-incidents. Les services de santé sont de plus en plus ciblés par les cyber-attaques. En 2021, des services essentiels comme Air India ou le système d’approvisionnement en eau de la Floride ont aussi été vulnérables aux cyber-criminels. La mise en place de services et de solutions numériques sans l’intégration de la cybersécurité peut rapidement susciter la méfiance des utilisateurs et des citoyens.

Quand on débute en matière de cybersécurité, on ne sait pas toujours par où commencer. Voici quelques retours d’expérience qui peuvent être utiles:

1. Investir dans des équipes

Une erreur récurrente en matière de cybersécurité consiste à investir dans la technologie ou l’infrastructure sans penser aux équipes qui effectueront le travail. Cela rend de nombreux efforts vains. Le guide NCS 2021 donne des indications sur la manière de financer la cybersécurité de manière pérenne.

La mise en place d’une CIRT (Computer Incident Response Team) est une étape essentielle pour aider un pays à améliorer sa cybersécurité. Les équipes chargées de la mise en place et de l’exploitation des services numériques devraient également disposer d’expertise en matière de cybersécurité. Il est essentiel de prendre en compte les dimensions humaine et financière pour mettre en œuvre des stratégies ou des projets. Ce n’est qu’en garantissant le financement des besoins en ressources humaines dans le temps que les initiatives peuvent réellement être durables.

2. Créer un réseau de soutien autour de l’équipe

Les communautés régionales et internationales peuvent apporter un grand soutien aux équipes qui se forment. Faire partie d’une communauté plus large permet aux équipes d’avancer plus rapidement car elles apprennent des autres et évitent de répéter les mêmes erreurs. Ces communautés permettent également de se tenir au courant des dernières recherches et des meilleures pratiques.

La Computer Emergency Response Team de l’île Maurice (CERTMU), du National Computer Board, est une belle réussite qui montre comment le renforcement des capacités et le soutien de la communauté internationale peuvent avoir un impact à long terme.

La CERT-MU est une petite équipe de 6 personnes composée de personnel de gestion et de personnel technique. L’équipe coordonne les activités de réponse en cybersécurité et sensibilise les secteurs public et privé, ainsi que les citoyens mauriciens. La CERT-MU a joué un rôle important dans le classement de l’île Maurice dans l’indice mondial de cybersécurité de l’Union Internationale des Télécommunications (UIT). L’île Maurice est actuellement classée 1ère en Afrique et 17ème au niveau mondial.

L’équipe dirige aussi les opérations du centre d’excellence de l’UIT, mis en place en mars 2020. Le centre joue un rôle essentiel dans la région pour former les professionnels de la cybersécurité. En outre, la CERT-MU soutient les équipes CSIRT de la région Afrique et Océan Indien pour qu’elles gagnent en maturité.

Cette équipe enthousiaste a renforcé ses capacités au fil du temps avec le soutien du FIRST, d’AfricaCERT, du Conseil de l’Europe, de Cyber4D et de bien d’autres. Pour Dr Usmani, responsable de la CERT-MU, le développement de son expertise par le biais de ces réseaux a considérablement aidé cette petite équipe, qui est désormais en mesure de servir la communauté nationale, régionale et internationale à différents titres.

3. Penser au numérique et à la cybersécurité de manière intégrale

Il est bon d’impliquer un expert en cybersécurité dans le développement ou l’achat de chaque nouveau service ou nouvelle solution pour s’assurer que les considérations cyber sécuritaires sont intégrées dans la conception. L’USAID intègre la cybersécurité dans son cycle de programmation et a reconnu que : « La cybersécurité fait partie intégrante des efforts technologiques et n’en est pas séparée. Elle doit être considérée comme un fil conducteur qui traverse tous les aspects des programmes technologiques de l’USAID afin de garantir la durabilité et la résilience numériques. La clé d’une bonne cybersécurité est d’être conscient des risques et des opportunités et de s’y préparer de manière intentionnelle. »

L’inclusion de la cybersécurité dans les normes de service numérique est également un bon moyen d’encourager les meilleures pratiques pour toutes les équipes de services numériques. Par exemple, les normes de service numérique de l’Ontario incluent la confidentialité et la sécurité dès la conception.

4. Mesurer les progrès

Les mesures et les objectifs de réussite contribuent à la prise en compte de la cybersécurité de manière durable.

Beaucoup d’organisations se lancent dans des évaluations de maturité numérique et elles devraient inclure la dimension cybersécuritaire pour aider à identifier les meilleures pratiques et à suivre les progrès. Pour une équipe CIRT, il est utile de procéder à des évaluations régulières de maturité, parce que cela permet de mesurer et de maintenir le cap sur les objectifs de cybersécurité. La fondation Open CSIRT, une organisation à but non lucratif contribuant à la sécurité d’Internet dans le monde, a développé le référentiel SIM3 (Security Incident Management Maturity Model) qui peut être utilisé pour évaluer la maturité des équipes CIRT.

5. Ne pas oublier que les humains restent au cœur du processus

Une erreur fréquente consiste à penser qu’investir dans les infrastructures et les logiciels fera l’affaire en oubliant que l’être humain reste au cœur du processus. Un aspect important de la prévention consiste à sensibiliser les utilisateurs et les citoyens à la cybersécurité. Sensibilisez les gens à l’hygiène de base en matière de cybersécurité et répétez régulièrement les campagnes de sensibilisation pour rappeler aux gens les bonnes habitudes.

L’AESRI (Agence Européenne chargée de la Sécurité des Réseaux et de l’Information) a récemment publié un guide sur comment les pays peuvent mieux sensibiliser leurs citoyens aux enjeux de cybersécurité.

La sécurisation des services numériques est nécessaire pour qu’ils aient un impact durable. Si les organisations doivent déployer beaucoup d’efforts pour intégrer la cybersécurité dans la conception de leurs services numériques, aucune solution n’est infaillible. C’est pourquoi il est tout aussi important de disposer d’un plan de détection et de réponse aux cyber-incidents. En résumé, faites tout ce que vous pouvez pour sécuriser et pérenniser vos services numériques, mais prévoyez aussi le pire.

Public Digital