Que signifie la stratégie australienne de cybersécurité pour votre entreprise ?

Par Phil Muncaster • 30 Janvier 2024

Le gouvernement australien ne manque pas d’ambition. Lors du lancement de son nouveau Stratégie de cybersécurité 2023-2030 en novembre, il a affirmé que le document fournirait une feuille de route pour devenir un « leader mondial » dans le domaine d’ici la date limite. Il reste encore beaucoup de chemin à parcourir, compte tenu de la vague de violations très médiatisées survenues ces dernières années.

Le message qu’il envoie est clair : pour les fournisseurs d’infrastructures critiques (CNI) et les fabricants de technologies, de nouvelles obligations seront imposées pour relever la barre en matière de cybersécurité. Pour les entreprises ordinaires, un soutien et une clarté sont promis pour aider à améliorer les normes de sécurité de base.

Les organisations australiennes devraient donc considérer la nouvelle stratégie gouvernementale comme une opportunité. Ceux qui s’attaquent aujourd’hui aux failles de sécurité constateront qu’ils auront plus de temps demain pour se concentrer sur la croissance de leur entreprise plutôt que de se soucier de répondre aux exigences gouvernementales. Pour ceux qui ne sont pas couverts par des mandats spécifiques, cela pourrait être le moment utile pour revoir et mettre à jour la stratégie de sécurité.

Pourquoi l’Australie a-t-elle besoin d’une nouvelle cyber-stratégie ?

Les organisations australiennes sont une cible de plus en plus populaire pour les auteurs de menaces soutenus par l’État et motivés par des raisons financières. La Direction australienne des transmissions (ASD) prétentions qu'au cours de l'exercice 2022-23, près de 94,000 XNUMX rapports ont été adressés aux forces de l'ordre via ReportCyber. Cela équivaut à un toutes les six minutes – même si de nombreux autres n’ont probablement pas été signalés. Il met en évidence plusieurs défis :

⦁ Des acteurs étatiques ciblent les actifs du gouvernement et du CNI à des fins d'espionnage et de perturbation – en particulier le vol potentiel de propriété intellectuelle découlant du partenariat AUKUS.
⦁ Une menace croissante sur le CNI de la part d'acteurs distants, comme le raid contre DP World
⦁ Une recrudescence des attaques de ransomwares et DDoS
⦁ Violations de données majeures, notamment de grands noms comme Optus, Medibank, Telstra et Latitude
⦁ La rapidité avec laquelle les nouvelles vulnérabilités sont exploitées. L’ASD affirme qu’une personne sur cinq a été exploitée dans les 48 heures

Non seulement les signalements de cybercriminalité ont augmenté de 23 % par an, mais le coût de chaque incident a augmenté de 14 %, selon l'ASD.

Que contient la Cyber Stratégie ?

La stratégie australienne de cybersécurité se compose de six « cyberboucliers » couvrant les domaines suivants :

1) Accompagner les PME et les citoyens pour renforcer la cybersécurité
2) Améliorer la sécurité de la technologie pour les Australiens
3) Créer un réseau de partage et de blocage des menaces de classe mondiale
4) Protéger les infrastructures critiques
5) Améliorer l’industrie et la main-d’œuvre nationales de la cybersécurité
6) Assurer un leadership régional et mondial résilient

Chacun de ces boucliers contient diverses actions répertoriées dans le plan du gouvernement. Plan d'action. Du point de vue de la sécurité de l'information, les parties les plus importantes de la stratégie sont les boucliers 1 à 4. Ils comprennent les plans du gouvernement pour :

Bouclier 1 :

⦁ Créer des bilans de santé et des conseils pour les PME
⦁ Travailler avec l'industrie pour co-concevoir une obligation de déclaration des ransomwares sans responsabilité pour les entreprises
⦁ Fournir à l'industrie des informations sur les obligations de cybergouvernance en vertu de la réglementation en vigueur

Bouclier 2 :

⦁ Travailler avec l'industrie pour co-concevoir une norme obligatoire en matière de cybersécurité et un système d'étiquetage volontaire
⦁ Co-concevoir un code de bonnes pratiques de sécurité volontaire pour les magasins d'applications et les développeurs d'applications
⦁ Développer un cadre pour évaluer les risques de sécurité nationale présentés par les produits et services des fournisseurs
⦁ Développer des options pour protéger les ensembles de données les plus sensibles et critiques d'Australie, qui ne sont pas correctement protégés par les réglementations existantes.
⦁ Intégrer la cybersécurité pour garantir que l'IA est développée et utilisée de manière sûre et responsable
⦁ Établir des normes pour la cryptographie post-quantique

Bouclier 3 :

⦁ Inciter l'industrie à participer aux plateformes de partage de menaces
⦁ Encourager le blocage des menaces dans l'ensemble de l'économie, en particulier dans les entreprises CNI comme les opérateurs de télécommunications et les FAI

Bouclier 4 :

⦁ Aligner les opérateurs télécoms sur les mêmes normes que les autres entités CNI
⦁ Clarifier la régulation des prestataires de services managés
⦁ Intégrer la cyberréglementation dans les secteurs aérien et maritime
⦁ Protéger les données critiques des prestataires CNI
⦁ Activer des obligations renforcées en matière de cybersécurité pour les « systèmes d'importance nationale »
⦁ Finaliser un cadre de suivi et d'évaluation de la conformité pour la CNI
⦁ Élargir les dispositifs de réponse aux crises
⦁ Renforcer la cyber-maturité des ministères et agences gouvernementales, y compris le zéro confiance
⦁ Désigner les « systèmes d'importance gouvernementale » qui doivent être protégés par un niveau plus élevé de cybersécurité.
⦁ Mener des exercices nationaux de cybersécurité dans l’ensemble de l’économie
⦁ Créer des playbooks pour la réponse aux incidents

Que devraient faire les organisations australiennes ?

Bien que les exigences les plus normatives s'adressent aux entreprises CNI et aux fournisseurs de technologie, il existe des gains rapides que les organisations de tous types peuvent viser, selon Jacqueline Jayne, défenseure de la sensibilisation à la sécurité en Asie-Pacifique chez KnowBe4.

"La plus grande lacune concerne la lutte contre l'erreur humaine, et cela est cohérent à l'échelle mondiale", a-t-elle déclaré à ISMS.online. « Mettez donc en œuvre un programme continu, pertinent et engageant de sensibilisation à la sécurité, qui comprend la possibilité d’appliquer ces nouvelles connaissances à des activités d’ingénierie sociale simulées. »

D'autres bonnes pratiques faciles à mettre en œuvre incluent l'activation de l'authentification multifacteur (MFA) et le déploiement de gestionnaires de mots de passe pour des mots de passe forts et uniques, ainsi que la garantie que les mises à jour automatiques sont activées et que les données sont régulièrement sauvegardées hors ligne. Les « données non pertinentes ou obsolètes » doivent également être gérés « de manière appropriée » pour minimiser l’exposition aux risques, ajoute-t-elle.

Pour Damir Brescic, RSSI d'Inversion6, la première étape pour les organisations australiennes devrait être une évaluation des risques afin d'établir une base de référence pour identifier et hiérarchiser les menaces. Le cryptage des données sensibles, la segmentation du réseau pour limiter la propagation des attaques, la planification de la réponse aux incidents, la surveillance/analyse continue des journaux de sécurité et le respect de la politique d'accès du moindre privilège sont également importants, ajoute-t-il.

« Si une organisation souhaite améliorer sa posture globale en matière de cybersécurité, commencez par un certain nombre d'améliorations et effectuez un examen annuel pour vous assurer que votre posture globale continue de s'améliorer et de mûrir », explique-t-il à ISMS.online.

Marty Rickard, directeur du support technique de Nozomi Networks, met en garde contre les dangers des appareils « fantômes » qui peuvent être non gérés et non corrigés. « À mesure que les appareils IoT sont de plus en plus utilisés et acceptés, les risques qui y sont associés augmentent. Les appareils dont la provenance est mauvaise ou inconnue sont susceptibles d'entraîner des quantités et des gravités plus élevées de vulnérabilités et de risques », a-t-il déclaré à ISMS.online.

« Les organisations devraient envisager de mettre en œuvre des nomenclatures logicielles (SBOM) et des processus de gestion de la sécurité des fournisseurs, pas seulement pour les appareils IoT. Ces appareils doivent être soigneusement sélectionnés et déployés dans des enclaves correctement sécurisées au sein de l'infrastructure d'une organisation afin de limiter l'exposition et les effets potentiels d'une vulnérabilité inconnue exploitée.

Comment la norme ISO 27001 et les cadres de bonnes pratiques peuvent vous aider

Une grande partie des conseils ci-dessus concordent avec les recommandations de l'ASD. Stratégies pour atténuer les incidents de cybersécuritéL’ Huit essentiel Il s'agit d'une liste simplifiée qui sera plus facile à gérer pour les petites organisations et celles situées en bas de l'échelle de cyber-maturité.

Toutefois, les grandes organisations peuvent également bénéficier de la conformité ISO 27001. Cette norme mondialement reconnue définit les exigences d'un système de gestion de la sécurité de l'information (ISMS). La conformité peut contribuer à améliorer la sécurité de base et fournir l'assurance que les actifs critiques sont protégés à travers 93 contrôles regroupés sous les rubriques organisationnelles, humaines, physiques et technologiques.

« Les entreprises australiennes ont besoin de soutien à la fois pour se défendre contre les menaces courantes et pour développer leur cyber-confiance », affirme Jamie Akhtar, PDG de CyberSmart. « Des normes telles que la norme ISO 27001 peuvent les aider à y parvenir en leur permettant de construire une culture d'amélioration continue de leurs pratiques de cybersécurité, ce qui leur permettra, ainsi qu'à l'Australie, de mieux être équipés pour lutter contre les cybermenaces. »

Si le gouvernement veut réaliser ses ambitions de « leader mondial », les organisations australiennes devront être proactives dans l’atténuation des cyber-risques. Les cadres et normes de l’industrie peuvent être un allié important dans cette démarche.

« Qu'il s'agisse de la conformité ISO 27001, de l'Essential Eight, du NIST ou de tout autre cadre, chaque organisation doit trouver celui le plus approprié qui correspond à son organisation », conclut Jayne de KnowBe4.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 17er Février 2026.

Ce que la faille de sécurité de LastPass nous apprend sur la conformité en 2026

Le RGPD a toujours été conçu pour être vague. En n'énumérant pas de contrôles techniques prescriptifs – comme le fait par exemple la norme PCI DSS – le règlement est plus efficace…

Phil Muncaster

La cyber-sécurité 12er Février 2026.

Le plan d'action cybernétique du gouvernement est-il adapté à son objectif ?

Le plan d'action du gouvernement en matière de cybersécurité est-il adapté à son objectif ?

Il est rare que le gouvernement admette ses erreurs. Pourtant, en début d'année, nous avons eu droit à un mea culpa exceptionnel : la reconnaissance d'une faute antérieure…

Phil Muncaster

La cyber-sécurité 3er Février 2026.

La fraude signalée par le WEF est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n'est pas la seule.

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Cinq ans, c'est une éternité en cybersécurité. Pourtant, c'est la durée pendant laquelle le Forum économique mondial (WEF) interroge les PDG pour son rapport mondial sur la cybersécurité…

Phil Muncaster