La cybersécurité est trop importante pour que les gouvernements ou les entreprises puissent les gérer seuls
• Les entreprises et le gouvernement s’exposent mutuellement à une gamme croissante de cyberrisques.
• Les efforts actuels de mise en commun des ressources de cybersécurité ont une portée limitée.
• Le partage de renseignements sur les menaces est la première étape pour fournir une image claire des cybermenaces.
Le récent piratage de la société de gestion de réseau SolarWinds, qui a permis à de mauvais acteurs de compromettre un éventail d’agences gouvernementales américaines et de grandes entreprises, a révélé une vérité troublante: les entreprises et le gouvernement s’exposent mutuellement à des cyberrisques importants parce qu’ils sont interconnectés et s’appuient sur le même réseau d’éditeurs de logiciels. C’est pourquoi la réponse stratégique doit impliquer une collaboration plus intense. En termes simples, la menace des cyberattaques est une tâche trop lourde pour que le gouvernement ou les entreprises puissent s’y attaquer seuls.
Les plaintes de cybersécurité adressées au Federal Bureau of Investigation des États-Unis ont plus que triplé au cours de la pandémie de l’année dernière, tandis que le paiement moyen des victimes de ransomwares a bondi de 43% au premier trimestre 2021 par rapport au trimestre précédent. Les attaques contre la chaîne d’approvisionnement des logiciels se développent de manière exponentielle, et le développement de l’Internet des objets (IoT) et de la technologie sans fil 5G offrent plus de vulnérabilités à exploiter.
Les gouvernements ont une vision large des menaces potentielles grâce à des capacités d’application de la loi et de renseignement, mais ils ont tendance à voir les choses sous l’angle de la sécurité nationale plutôt que du risque commercial. Les entreprises disposent d’informations sur les risques propres à l’entreprise et au secteur et bénéficient souvent d’un meilleur accès aux talents en cybersécurité, mais elles ne peuvent pas facilement avoir une vue d’ensemble de l’économie et peuvent se trouver submergées par des attaquants parrainés par l’État.
Ce qu’il faut, c’est que les deux parties mettent en commun leurs ressources pour une défense plus concertée. Une partie de cela se produit déjà. La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, le ministère de la Santé et des Services sociaux et le FBI ont averti en octobre 2020 que des «cyberacteurs malveillants» ciblaient les établissements de santé et de santé publique pour faire des demandes de ransomware et perturber les services de santé. Mais ces efforts ont tendance à être l’exception et à arriver trop tard. Les deux parties doivent intensifier leur collaboration et la rendre plus proactive.
Les hauts fonctionnaires reconnaissent qu’il faut faire plus. Le directeur du FBI, Christopher Wray, a récemment appelé le gouvernement et le secteur privé à collaborer dans une lutte organisée contre les cyber-conspirateurs plutôt que de parer chaque attaque individuelle. Chris Inglis, un ancien haut responsable de la National Security Administration que le président Biden a nommé pour devenir le premier cyber-directeur national du pays, pourrait faire de la collaboration public-privé un élément clé de la cyberstratégie du pays.
Voici quatre façons dont le gouvernement et les entreprises peuvent unir leurs forces dans la bataille pour la cybersécurité:
1. Partagez les informations sur les menaces
Les gouvernements et les entreprises disposent de différentes sources d’information, de perspicacité et de renseignement. Leur mise en commun en temps opportun créera une image plus claire et plus actuelle des cybermenaces. Certains échanges ont déjà lieu. Le National Cyber Security Center du Royaume-Uni gère un partenariat de partage d’informations sur la cybersécurité avec l’industrie, tandis que CISA a des partenariats similaires avec des opérateurs américains d’infrastructures critiques. Europol, l’agence d’application de la loi de l’Union européenne, a poussé le concept encore plus loin en créant un site Web sur lequel les entités publiques et privées peuvent partager des outils de décryptage pour se remettre d’attaques de ransomwares sans payer les voleurs.
De telles initiatives sont précieuses, mais le partage d’informations n’est pas encore suffisamment cohérent ou opportun. Les dirigeants d’entreprise ont souvent l’impression de fournir des données au besoin, mais leurs homologues gouvernementaux ne rendent pas la pareille. Les services de renseignement ne veulent souvent pas divulguer les menaces potentielles par crainte d’inonder les entreprises de risques potentiels ou de révéler des secrets de fabrication. Et certaines entreprises peuvent craindre que la divulgation d’événements liés à la cybersécurité puisse ouvrir leurs contrôles ou leur gestion des cyberrisques à un examen indésirable, à une réglementation onéreuse ou à des sanctions.
Les deux parties peuvent instaurer la confiance et approfondir la coopération. La collaboration récemment annoncée entre le Nationwide Cybersecurity Center et Google pour fournir une formation en ligne aux législateurs des États américains et à leur personnel représente le type d’initiative que nous devons voir davantage.
Il y a une pénurie de plus de 3 millions de professionnels de la cybersécurité dans le monde – contre un effectif total de 2,8 millions
Image: ISC2
2. Aligner la cyberéducation sur les besoins du marché
Les gouvernements, les entreprises et autres institutions du monde entier sont confrontés à une pénurie de professionnels de la cybersécurité estimée à plus de 3 millions – bien plus que les 2,8 millions de personnes travaillant actuellement dans ce domaine. On peut soutenir qu’il y a une capacité de main-d’œuvre qui pourrait être mobilisée ici. Le défi est double: attirer davantage de personnes pour se recycler en cybersécurité et veiller à ce que les programmes permettent aux étudiants et aux stagiaires de suivre le rythme des menaces qui évoluent rapidement.
L’Initiative nationale pour l’éducation à la cybersécurité du gouvernement américain a récemment révisé son cadre de développement des talents afin que les écoles puissent fournir un enseignement plus pertinent et que les entreprises puissent être sûres que les diplômés possèdent les compétences nécessaires. Le Centre national de cybersécurité du Royaume-Uni a créé CyberFirst, qui offre tout, de l’aide financière universitaire et des apprentissages aux programmes d’été pour attirer les jeunes sur le terrain.
La Cybersecurity Workforce Alliance, qui a été fondée par de grandes institutions financières, la City University of New York (CUNY), et le spécialiste du développement de la main-d’œuvre iQ4, compte plus de 2700 membres issus de l’industrie, du milieu universitaire et du gouvernement, et vise à offrir des stages à plus de 10000 Étudiants américains jusqu’en 2022. La New York City Economic Development Corp s’est associée à des entreprises et des universités locales pour créer des programmes de cyber-diplômes et un accélérateur pour favoriser la croissance des start-ups dans l’espace. Cependant, davantage d’efforts de ce type sont nécessaires pour combler le déficit de cyber-talents.
3. Renforcer les capacités de réponse aux incidents
Même la meilleure cyberdéfense est susceptible d’être fissurée. C’est pourquoi les organisations efficaces ont mis en place des plans bien rodés pour lutter contre les attaquants.
Plusieurs pays proposent des forums où le gouvernement et les entreprises collaborent en réponse aux cyberattaques. Aux États-Unis, le National Cyber Incident Response Plan de CISA définit la cyberdéfense comme une «responsabilité partagée» des individus, du secteur privé et du gouvernement, définit les rôles que les ministères joueront dans la réponse aux attaques et engage les fonctionnaires fédéraux à protéger la confidentialité et propriété intellectuelle des entreprises. Le National Cyber Security Center du Royaume-Uni, une branche de l’agence de renseignement GCHQ, coordonne des réponses similaires et définit les cyber-spécialistes du secteur privé avec lesquels il collaborera.
Ces plans devraient inclure de véritables exercices de formation, pas seulement des jeux de rôle. Le secteur financier est ici un bon exemple. La Securities Industry and Financial Markets Association mène des exercices de cybersécurité depuis 2011. Le dernier exercice Quantum Dawn V, en novembre 2019, a réuni plus de 150 sociétés financières et 50 organismes de institutions importantes et un service public des marchés financiers. Principaux points à retenir: le secteur devrait créer un répertoire des principaux acteurs et personnels, et renforcer le partage transfrontalier d’informations entre les entreprises, les associations professionnelles et les régulateurs tels que les banques centrales.
D’autres exercices de ce type doivent être effectués. Les facteurs de menace varient selon le secteur commercial, et plus les gouvernements peuvent en apprendre sur ce qui compte et pour qui, plus les fonctionnaires seront mieux préparés à recueillir des renseignements précieux sur les menaces.
4. Construire la sécurité dès la conception
L’erreur humaine, comme tomber dans une attaque de phishing et télécharger des logiciels malveillants, est impliquée dans 95% des cyberattaques réussies. Nous ne pouvons pas éliminer cette vulnérabilité, mais nous devrions être en mesure de la réduire en intégrant une meilleure sécurité dans les appareils technologiques, ce que de nombreuses entreprises technologiques négligent ou ignorent dans la précipitation pour mettre de nouveaux produits et services sur le marché.
Le commissaire australien à la sécurité en ligne, la première agence gouvernementale au monde consacrée à accroître la sensibilisation et l’éducation du public aux cyber-risques, a convoqué des représentants de l’industrie, du gouvernement, des défenseurs des consommateurs et des organisations à but non lucratif en 2019 pour convenir d’un ensemble de principes visant à accroître la sécurité inhérente des services en ligne. La principale d’entre elles est l’idée que la sécurité ne devrait jamais être la seule responsabilité du consommateur et que les entreprises atténuent les facteurs de risque pour tous les utilisateurs avant de proposer des services au public. En décembre, les États-Unis ont adopté une législation obligeant le gouvernement à fixer des normes plus strictes pour la sécurité des appareils IoT.
Les autres pays devraient suivre ces pistes. Le but ultime serait l’équivalent cyber du Kitemark de la British Standards Institution, une désignation montrant que tout, des appareils électriques aux appareils mobiles, répond aux normes de sécurité.
Le Centre pour la cybersécurité du Forum économique mondial dirige la réponse mondiale pour relever les défis systémiques de la cybersécurité et améliorer la confiance numérique. Nous sommes une plateforme mondiale indépendante et impartiale engagée à favoriser les dialogues internationaux et la collaboration sur la cybersécurité dans les secteurs public et privé. Nous comblons le fossé entre les experts en cybersécurité et les décideurs au plus haut niveau pour renforcer l’importance de la cybersécurité en tant que priorité stratégique clé.
Notre communauté a trois priorités clés:
Renforcer la coopération mondiale – accroître la coopération mondiale entre les parties prenantes publiques et privées pour favoriser une réponse collective à la cybercriminalité et relever les principaux défis de sécurité posés par les obstacles à la coopération.
Comprendre les futurs réseaux et technologies – identifier les défis et opportunités de cybersécurité posés par les nouvelles technologies et accélérer les solutions tournées vers l’avenir.
Renforcer la cyber-résilience – développer et amplifier des solutions évolutives pour accélérer l’adoption des meilleures pratiques et augmenter la cyber-résilience.
Les initiatives comprennent la création d’un partenariat pour combler le déficit mondial d’application de la loi sur la cybercriminalité en améliorant l’efficience et l’efficacité de la collaboration public-privé dans les enquêtes sur la cybercriminalité; doter les décideurs d’entreprise et les responsables de la cybersécurité des outils nécessaires pour gérer les cyberrisques, protéger les actifs et les investissements de l’entreprise contre l’impact des cyberattaques; et le renforcement de la cyber-résilience dans les secteurs clés de l’industrie tels que l’électricité, l’aviation et le pétrole et le gaz. Nous encourageons également les initiatives axées sur la mission soutenues par nos organisations partenaires.
Le Forum est également signataire de l’Appel de Paris pour la confiance et la sécurité dans le cyberespace qui vise à assurer la paix et la sécurité numériques qui encourage les signataires à protéger les individus et les infrastructures, à protéger la propriété intellectuelle, à coopérer en matière de défense et à s’abstenir de nuire.
Pour plus d’informations, contactez nous.
À mesure que le rôle de la technologie dans la société augmente, la cybersécurité deviendra un défi de plus en plus grand. Les gouvernements et le secteur privé ont un intérêt et une responsabilité partagés pour faire face ensemble à cette menace.