Les violations de données de la Commission électorale et des forces de police mettent en évidence des failles de sécurité majeures dans le secteur public britannique : comment les résoudre ?

De graves violations de données au sein de la Commission électorale et de plusieurs forces de police britanniques ont mis en évidence que les organisations du secteur public ne sont pas à l'abri de la menace posée par les cybercriminels.

En août, la Commission électorale confirmé elle a été victime d'une « cyber-attaque complexe » qui a compromis les informations personnelles de 40 millions de citoyens britanniques. La violation, qui s'est produite pour la première fois en août 2021, est restée inconnue jusqu'en octobre 2023 et a vu des pirates informatiques récupérer des copies de référence des listes électorales. Cela signifiait qu’ils avaient accès aux noms et adresses de millions d’électeurs britanniques.

La Commission a admis que « des protections suffisantes n’étaient pas en place pour empêcher cette cyberattaque », et elle est désormais apparent que l'agence gouvernementale a échoué à un test Cyber ​​Essentials conçu pour améliorer les cyberdéfenses des organisations avant que l'attaque n'ait lieu. Face à la gravité de l’attaque d’août 2021, l’organisation affirme avoir entamé des travaux pour « améliorer la sécurité, la résilience et la fiabilité » de ses systèmes informatiques.

Ailleurs dans le secteur public britannique, plusieurs forces de police britanniques ont récemment été confrontées à d'importantes violations de données. En août, la police métropolitaine de Londres alerté des dizaines de milliers de ses collaborateurs à une violation de données provoquée par « un accès non autorisé au système informatique d’un fournisseur du Met ».

Le fournisseur informatique en question avait dans ses dossiers des informations telles que les noms, les grades, les photos, les niveaux de contrôle et les numéros de paie des policiers et du personnel du Met. Cependant, le Met a déclaré que le piratage n'avait pas entraîné de fuite de données personnelles telles que des noms, des adresses et des informations financières. Parmi les autres forces de police britanniques qui ont récemment été victimes de violations de données, citons la police du Grand Manchester et le service de police d'Irlande du Nord.

Ces violations de données ont prouvé que les données personnelles ne sont pas nécessairement en sécurité entre les mains des agences gouvernementales et que celles-ci doivent faire davantage pour améliorer leurs capacités de cybersécurité. Mais quels cadres de cybersécurité et bonnes pratiques peuvent-ils mettre en œuvre pour garantir que ces incidents ne se reproduisent plus ?

Leçons critiques à tirer

L’une des principales leçons de ces violations est que même les bases de données hautement sécurisées sont vulnérables aux violations et restent des cibles lucratives pour les cybercriminels. Révision et limitation privilèges d'accès l'accès à des bases de données contenant de gros volumes de données personnelles est une excellente première étape, mais ce n'est pas la seule chose que les organisations devraient prendre en compte.

Alors que le paysage des cybermenaces évolue à une vitesse sans précédent, les organisations doivent garder une longueur d'avance sur les cybercriminels en anticipant les vulnérabilités de sécurité et les méthodes de piratage qu'ils peuvent exploiter dans leurs attaques. La seule façon d’y parvenir est de mener régulièrement des audits de cybersécurité et de se tenir au courant des dernières menaces en matière de cybersécurité.

Il est également essentiel de comprendre que les violations de données entraînent bien plus que de simples pertes financières. Compte tenu du rôle crucial que jouent la Commission électorale, les forces de police et d'autres agences gouvernementales dans la vie publique, ils ne peuvent pas se permettre de perdre la confiance des citoyens. Mais malheureusement, l’atteinte à la réputation et l’érosion de la confiance du public constituent de vastes risques de cyber-attaques impactant les institutions publiques. De plus, ces organisations subissent généralement toute la force des organismes de réglementation, ce qui compromet considérablement leur travail public essentiel.

David Sancho, chercheur principal sur les menaces au sein de la société de cybersécurité Trend Micro, a décrit les violations de données sur les listes électorales et les forces de police comme « de bons exemples de cas où les organisations ne prennent pas au sérieux la sécurité des données qu'elles protègent ».

Sancho a averti les organisations de ne pas négliger la sécurité des données « car les attaquants sont prêts à bondir à tout moment ». Il a déclaré que quelle que soit sa taille, chaque entreprise et organisation est « soumise à des cyberattaques ».

Il a ajouté : « D'après mon expérience, certains accordent une moindre priorité aux dépenses de sécurité avec un raisonnement du type « cela ne nous arrivera pas, nous ne valons pas le temps d'un cyber-attaquant ». Cela ne devrait pas arriver et toutes les entreprises devraient être prêtes à faire face à de telles tentatives.»

Améliorer les fondations de la cybersécurité

Qu’il s’agisse de pertes financières, d’atteinte à la réputation ou de répercussions réglementaires, bon nombre de ces risques peuvent être évités lorsque les organisations prennent au sérieux la menace de la cybercriminalité. Mais les actes sont plus éloquents que les mots : les organisations ne devraient pas se contenter de promettre d'améliorer leurs la cybersécurité dans une déclaration publique après une violation grave, mais prennent des mesures concrètes et qualitatives pour renforcer leurs fondements en matière de cybersécurité.

L’erreur humaine jouant un rôle si important dans les violations de données, les organisations doivent faire davantage pour former leur personnel à détecter et à atténuer les risques de cybersécurité. Alors que le paysage des cyber-risques continue d’être complexe, une seule présentation PowerPoint pour cocher une case ne suffira pas. Les organisations des secteurs public et privé doivent déployer régulièrement formation et sensibilisation du personnel campagnes. Des organisations comme le National Business Crime Center proposent formation gratuite en cybersécurité pour les employés, la sensibilisation à la cybersécurité ne doit donc pas grignoter les budgets des entreprises.

Une autre étape fondamentale mais essentielle pour améliorer les bases de la cybersécurité d'une organisation consiste à mettre régulièrement à jour les logiciels et les systèmes pour corriger les vulnérabilités de sécurité. La migration à partir de systèmes d'exploitation obsolètes comme Windows 7 et 8 évitera également les failles de sécurité logicielles. Exécution authentification multi-facteurs réduira également la probabilité que des parties malveillantes obtiennent un accès non autorisé aux systèmes informatiques d'une organisation.

La mise en œuvre d'un cadre industriel reconnu à l'échelle internationale, tel que le cadre de cybersécurité du National Institute of Standards ou ISO 27001, renforcera la cyber-résilience organisationnelle. Ces cadres aident les organisations dans des domaines tels que la gestion d'actifs, contrôles d'accès, gestion des vulnérabilités, réponse aux incidents, sécurité tierce et amélioration continue.

Luke Dash, PDG d'ISMS.online, a déclaré que de tels cadres aideront les organisations à « améliorer considérablement la résilience contre les attaques ». À la lumière des violations de données sur les listes électorales et les forces de police, il exhorte les gouvernements à rendre obligatoire la mise en œuvre de cadres de cybersécurité dans les agences gouvernementales – surtout si elles détiennent des données sensibles – ainsi que des audits et une certification des cadres.

Intégration de ces apprentissages et cadres

La mise en œuvre d’un cadre de cybersécurité et l’amélioration de la cyberrésilience seront entièrement nouvelles pour de nombreuses organisations. Alors, que peuvent-ils faire pour atteindre ces objectifs avec succès ?

Dash affirme que les organisations ne doivent pas considérer la cybersécurité comme une « réflexion après coup ». La clé pour cyber résilience c'est « une concentration, des ressources et un engagement continu. Il poursuit : « La mise en œuvre d’un cadre robuste peut contribuer à renforcer les défenses avant qu’une violation ne se produise. Le public mérite une sécurité de classe mondiale pour ses données, et ces cadres fournissent un modèle. Il y a encore du travail à faire, mais la voie à suivre est claire.

Selon Sancho, accroître la visibilité des réseaux d'une organisation les aidera également à protéger les données sensibles. Il a recommandé : « Vous y parvenez avec un logiciel qui analyse le comportement du réseau et peut signaler des anomalies disparates dans le cadre d’un effort de piratage concerté. Cette visibilité améliorée peut permettre à un défenseur de comprendre qu’il est attaqué avant que les dégâts ne soient causés.

Quel que soit leur secteur d'activité ou leur taille, toutes les organisations qui traitent et stockent des informations sensibles doivent également prendre des mesures pour comprendre les lois sur la confidentialité des données comme le règlement général sur la protection des données.

Kévin Modiri, avocat du cabinet d'avocats Nelsons, a déclaré : « La législation générale sur la protection des données (RGPD) est entrée en vigueur en 2018 et régit la manière dont nous pouvons utiliser, traiter et stocker les données personnelles, y compris toute information sur une personne vivante et identifiable. La législation s’applique à toutes les organisations, y compris celles qui fournissent des biens et des services.

À retenir

Les violations des listes électorales et des données des forces de police sont des incidents malheureux qui ont touché des millions de personnes, mais ce qui est clair, c'est qu'ils ont présenté de précieuses leçons pour les organisations traitant des informations sensibles.

La leçon la plus importante est peut-être que toutes les organisations doivent évaluer leurs capacités en matière de cybersécurité et prendre des mesures continues pour sécuriser les données sensibles. Attendre que des violations se produisent n’est pas une option avec des enjeux aussi importants, notamment des pertes financières, une atteinte à la réputation et des mesures réglementaires.

Les mesures efficaces pour prévenir les fuites de données comprennent la mise en œuvre de cadres internationaux de cybersécurité et la fourniture d'une formation régulière et cohérente à la cybersécurité pour tous les membres de l'organisation.