Le SPF Economie piraté lui aussi. Et chez vous, ça va?

Les journaux De Tijd et L’Echo annoncent que le SPF Economie a également été piraté, ce qui a été entre-temps confirmé. Le temps est vraiment venu de nommer un CISO au sein du gouvernement!

Après le SPF Affaires Etrangères (piratage avec vol de données) et le SPF Finances (infection virale), le SPF Economie est déjà le troisième service public fédéral à défrayer la chronique par des problèmes de sécurité. Selon les premières informations, il s’agirait cette fois encore d’un piratage sophistiqué.

Comme toujours, la question se pose de savoir si les services publics ne sont pas une proie trop facile. Les spécialistes de la sécurité indiquent que toutes les entreprises et institutions importantes pour le fonctionnement d’un pays (l”infrastructure nationale critique’) sont agressées par des malfaiteurs et, assurément, aussi par des autorités étrangères. Et pas une fois, mais à répétition. Ces attaques ont pour but d’y rechercher des informations politiques, militaires ou économiques intéressantes (qui peuvent être ou non monnayées), ou éventuellement de perturber le bon fonctionnement de ces entreprises et institutions. Le fait que des institutions publiques fassent la une est logique et… justifié, mais cela n’exclut pas que des entreprises en soient tout aussi bien les victimes (rappelons-nous Belgacom), mais ne le révèlent souvent pas. Qui plus est, elles n’ont pas conscience d’avoir été piratées car des publications comme le rapport Verizon Data Breaches révèlent que des actes de piratage et des vols de données durent des mois, voire des années, avant d’être découverts, souvent par des tiers.

Approche plus large

Aujourd’hui aussi, la question se pose de savoir si le gouvernement ne doit pas miser davantage sur la cyber-sécurité. La réponse est évidemment affirmative, mais cela s’applique tout autant aux entreprises et même au citoyen lambda. Les moyens de défense classiques, tels les logiciels antivirus, antimalware, pare-feu, etc., restent nécessaires (malgré le fait que certains prétendent que ‘l’antivirus a vécu’), mais ne suffisent plus depuis longtemps déjà. Eriger une haute muraille n’est plus suffisant pour empêcher les criminels d’entrer.

Aujourd’hui, il faut prévoir une défense multicouche. A côté de la haute muraille (la défense ‘avant’ l’attaque), il faut aussi surveiller en permanence le fonctionnement de l’infrastructure ICT pour y déceler des incidents bizarres (la protection ‘pendant’ l’attaque), mais des scénarios doivent être également prêts (testés correctement) pour intervenir immédiatement ‘après’ une attaque (la phase postérieure, en ce compris une bonne communication de crise). L’on pourrait comparer cela au bon père de famille qui équipe sa porte d’entrée d’une solide serrure (ainsi que toutes les autres portes et fenêtres d’ailleurs) et installe une alarme (pour se protéger contre les intrus), sans compter tout ce qu’il faut en matière de lutte anti-incendie.

Cette approche ‘avant’, ‘pendant’ et ‘après’ ne constitue certes pas une garantie absolue pour une institution publique ou une entreprise qu’elle ne sera jamais plus piratée car ce genre de garantie n’est tout simplement pas possible. Mais de cette façon au moins, une infection sera plus rapidement détectée et les dommages possibles évités ou à tout le moins aussi confinés que possible.

CISO gouvernemental

Cette façon de faire exige cependant une approche cohérente et coordonnée et des compétences aux mains d’une seule personne responsable. Je veux parler ici d’un Chief Information Security Officer alias CISO gouvernemental (tant au niveau fédéral que régional). Quelqu’un (ou un organisme) qui, conseillé de préférence par des spécialistes des institutions et des entreprises, et, contrôlé par les instances politiques, peut véritablement en imposer sur le plan des standards, mesures, moyens et procédures. Qui dispose de moyens et peut forcer la mise en place de procédures et de méthodes, en totale indépendance (mais en concertation). Et qui est financé de manière structurelle et continue, sur base d’une stratégie et d’une vision à long terme, et pas comme cette fois encore: ‘on a oublié les 10 millions. Libérons-les à présent vite, vite.’

Aux Etats-Unis, l’on connaît depuis longtemps déjà le ‘security Czar’ qui assiste le président. Aux Pays-Bas, cette problématique a été hébergée dans une seule organisation. En Belgique, l’on attend aussi du gouvernement et des entreprises qu’ils mettent de l’ordre dans la maison et abordent de manière efficiente le problème de la sécurité. Et soyons clairs, cela s’applique également à l’utilisateur à la maison. Tout un chacun doit fournir des efforts. Dans le cas contraire, l’on pourrait tout aussi bien ouvrir une rubrique intitulée ‘Piratage: à qui le tour aujourd’hui?’.

P.S.: Et non, il n’y a pas qu’en Belgique que les autorités et les entreprises sont piratées et subissent des vols d’informations!