Le plan d'action du gouvernement en matière de cybersécurité est-il adapté à son objectif ?

Il est rare que le gouvernement admette ses erreurs. Pourtant, en début d'année, nous avons eu droit à un acte exceptionnel. mea culpa: la reconnaissance qu'un objectif antérieur, celui de rendre Whitehall résilient à toutes les vulnérabilités et méthodes d'attaque connues, ne serait pas réalisable d'ici à 2030. Cet aveu était dissimulé dans le texte de le plan d'action cybernétique (CAP), le dernier effort de la dernière administration pour améliorer la posture sécuritaire du gouvernement central.

C'est un plan détaillé et prometteur, dont l'impact dépassera largement le secteur public. Mais est-ce suffisant ?

Pourquoi le gouvernement a besoin d'un plan

Il ne fait aucun doute que le gouvernement a besoin d'un plan pour renforcer sa cybersécurité. Une évaluation du Groupe de sécurité gouvernementale (GSG) réalisée en 2023-24 a révélé que 58 systèmes informatiques ministériels critiques présentaient des failles de sécurité « importantes », créant un risque « extrêmement élevé ». Une étude distincte du Bureau national d'audit (NAO) rapport Une étude menée l'an dernier a révélé que 28 % des 228 systèmes informatiques existants présentaient un risque élevé de survenance de problèmes opérationnels et de sécurité. Le manque de compétences et de financements a aggravé la situation.

Depuis lors, des brèches importantes ont été constatées au niveau du Agence d'aide juridique, un programme de colonisation afghan  ce qui pourrait coûter cher au contribuable des centaines de millions de livres sterling et au moins deux incidents de sécurité graves à entrepreneurs du ministère de la Défense. À l'heure où l'argent se fait rare et où les services publics sont en déclin, le gouvernement peut difficilement se permettre de nouvelles infractions coûteuses, et tout ce qui met en péril la transformation numérique pourtant indispensable.

Le CAP met en évidence de multiples défaillances :

• Fragmentation institutionnalisée
• Héritage persistant, cybersécurité et risques de résilience
• Données cloisonnées
• Sous-numérisation
• Leadership incohérent
• Pénurie de compétences numériques
• Différencier le pouvoir d'achat
• Modèles de financement obsolètes

Que contient le CAP ?

Le CAP promet une approche centralisée et rigoureuse, assortie d'une orientation claire et d'un leadership actif, définissant des attentes précises quant à la gestion de la sécurité et de la résilience par les ministères, grâce à des objectifs et des résultats plus mesurables. Son objectif principal est d'améliorer la visibilité des cyber-risques et de renforcer la coordination des actions face aux défis les plus complexes (que les ministères ne peuvent relever seuls). Il vise à améliorer la rapidité et la qualité de la réponse aux incidents et à fournir un soutien centralisé pour la résolution des problèmes hérités du passé.

Pour atteindre ses objectifs, la PAC définit trois phases de mise en œuvre :

Phase 1 (d'ici avril 2027) : Création d’une unité gouvernementale de cyberdéfense, mise en œuvre de cadres de responsabilisation, lancement d’une profession de cyberdéfense interministérielle pour attirer, perfectionner et fidéliser les professionnels de la cybersécurité, et publication d’un plan gouvernemental de réponse aux incidents de cyberdéfense.

Phase 2 (du 2027 au 2029 avril) : Développer le CAP grâce à une prise de décision fondée sur les données, ainsi qu'à la fourniture de services de cyberassistance et au renforcement des capacités de réponse.

Phase 3 (avril 2029 et suivantes) : Amélioration continue grâce au partage des données centrales, à l'offre de services à grande échelle, à la mise à profit des compétences en cybersécurité pour la transformation et à la garantie que les départements assurent de manière proactive la gestion des cyber-risques tout au long de leurs chaînes d'approvisionnement.

Le gouvernement affirme que, grâce à la numérisation sécurisée des services publics, la PAC pourrait générer jusqu'à 45 milliards de livres sterling d'économies de productivité. Pourtant, il n'a alloué que 210 millions de livres sterling à cette initiative.

Par ailleurs, elle a lancé un nouveau Programme d'ambassadeurs de la sécurité logicielle Afin de promouvoir l'adoption du Code de bonnes pratiques en matière de sécurité logicielle – une initiative volontaire visant à minimiser les risques et les perturbations de la chaîne d'approvisionnement logicielle –, Cisco, Palo Alto Networks, Sage, Santander, NCC Group et d'autres entreprises ont accepté d'en devenir des ambassadeurs. Ils défendront le code dans tous les secteurs, en « présentant des exemples concrets de mise en œuvre et en fournissant des retours d'expérience pour éclairer les futures améliorations de la politique ».

Fournisseurs sous les projecteurs

Tristan Watkins, directeur de l'innovation des services chez Advania UK, société de services informatiques, salue globalement la PAC, la jugeant « fondée sur une analyse lucide de nos problèmes fondamentaux actuels ». Il précise toutefois que sa portée variera selon les fournisseurs.

« Les contrats des fournisseurs stratégiques du gouvernement intégreront des exigences en matière de cybersécurité et de résilience, qui devraient entrer en vigueur d'ici mars 2027 », explique-t-il à IO. « Les détails restent à préciser. Concernant les autres fournisseurs, nous devrions y voir plus clair après avril 2027, première étape de la mise en place de l'Unité gouvernementale de cybersécurité. »

Nick Dyer, vice-président régional de l'ingénierie des solutions chez Arctic Wolf, affirme que les fournisseurs devront au minimum effectuer des contrôles annuels Cyber ​​Essentials pour rester conformes. Keiron Shepherd, architecte de solutions senior chez F5, partage cet avis. « Les fournisseurs doivent se préparer à des évaluations plus approfondies et à des exigences de reporting plus strictes », déclare-t-il à IO. « Cette transition vers une assurance continue est une approche plus robuste que la conformité ponctuelle actuelle. »

Un travail en cours

Toutefois, aucun des deux experts ne juge le financement annoncé suffisant. Dyer, d'Arctic Wolf, affirme qu'il sera « certainement insuffisant » pour atteindre les résultats escomptés.

« Un investissement soutenu et le respect de la feuille de route établie par le gouvernement seront essentiels à sa réussite », déclare-t-il à IO. « L’approche proposée en trois étapes, visant une mise en œuvre complète début 2027, est réaliste. Cependant, son succès dépendra de l’engagement de tous. Les priorités peuvent évoluer et la situation peut changer en un an ; un suivi continu est donc indispensable pour garantir que le plan atteigne les objectifs fixés. »

Le programme d'ambassadeurs de la sécurité logicielle soulève également des interrogations. Watkins, d'Advania UK, salue l'initiative, mais estime que les entreprises ne doivent pas y voir un signal pour relâcher leurs efforts en matière de gestion des risques liés à la chaîne d'approvisionnement.

« En définitive, le code de bonnes pratiques et le dispositif devraient être considérés comme des compléments pertinents au nouveau CAP et au projet de loi sur la cybersécurité et la résilience, permettant de répondre à une préoccupation similaire en temps opportun », déclare-t-il. « Je recommande toutefois aux organisations de concentrer leurs efforts internes en matière de sécurité sur les problématiques liées à la chaîne d'approvisionnement logicielle, car un code de bonnes pratiques ne saurait à lui seul répondre à ces besoins. »

Dyer, d'Arctic Wolf, va plus loin, prévenant que, s'agissant d'un code volontaire, il pourrait conduire à une « adoption incohérente » d'une organisation à l'autre.

« Rendre ce code obligatoire, en revanche, permettrait d’harmoniser son adoption et de rendre la responsabilité mesurable », ajoute-t-il. « Son application juridique garantirait que les développeurs de logiciels respectent les bonnes pratiques de sécurité, ce qui constituerait sans doute une manière plus efficace de protéger les systèmes gouvernementaux critiques. »

Shepherd, de F5, partage cet avis. « Ce dispositif est constructif, mais si l’objectif est de réduire les risques tout au long de la chaîne d’approvisionnement logicielle, les mesures volontaires seules ne suffiront pas », conclut-il. « Nous atteindrons bientôt un point où l’imposition de normes de sécurité intégrées dès la conception sera la méthode la plus efficace pour garantir la cohérence et combler les lacunes. »