.png)
3 défis auxquels les agences fédérales sont confrontées lors de la mise en œuvre d'une cybersécurité moderne
La cybersécurité du secteur public est importante en raison des informations qu'elle conserve.
Le gouvernement fédéral américain recueille les informations personnelles de presque tous les citoyens. Les agences fédérales détiennent des données précieuses, dont certaines pourraient mettre le pays en danger si elles étaient divulguées.
Le gouvernement fédéral a de nombreuses initiatives qui se disputent les ressources, mais il est essentiel de donner la priorité à la cybersécurité pour protéger les citoyens qu'il sert.
Les agences fédérales doivent donner la priorité à des stratégies modernes de cybersécurité
Des agences telles que l'IRS ou la Social Security Administration conservent des informations sur presque tous les citoyens des États-Unis. Il s'agit d'informations qu'ils sont tenus de protéger.
Et avec ces informations personnelles, un mauvais acteur peut imiter qui il veut. L'usurpation d'identité est donc une préoccupation majeure.
À l'heure actuelle, où les rencontres en personne sont rares et où nous passons la majeure partie de notre vie en ligne, il est facile pour les pirates informatiques de causer un préjudice important à une personne. Vous entendez des histoires de personnes dont les hypothèques ont été reprises et les comptes bancaires vidés. Il s'agit d'actions qui peuvent changer la vie d'une personne sur la base des seules informations conservées par le gouvernement fédéral.
Au-delà des personnes qu'elles servent, les agences peuvent être directement touchées par de graves cyber-risques.
Si les tactiques, les techniques et les procédures d'un organisme fédéral chargé de l'application de la loi sont dévoilées, un acteur mal intentionné peut s'efforcer de les contourner. Cela affecte les missions de ces agences en permettant la poursuite de la fraude, du gaspillage, des abus et de la criminalité, et affaiblit les défenses des États-Unis.
3 défis que les agences fédérales doivent relever pour mettre à jour leurs stratégies en matière de cybersécurité
Il est facile de reconnaître que la cybersécurité est une préoccupation essentielle pour le secteur public, mais la mise en œuvre de nouvelles initiatives peut s'avérer difficile. Le gouvernement fédéral est confronté à des défis uniques lorsqu'il entreprend quoi que ce soit de nouveau, et cela inclut la cybersécurité.
1. L'argent
Les agences fédérales ont souvent du mal à obtenir les budgets qu'elles demandent. Il leur reste donc peu de fonds pour maintenir leurs initiatives actuelles, et encore moins pour en lancer de nouvelles.
De plus, les nouvelles technologies peuvent être coûteuses. Les agences savent que la cybersécurité est importante, mais la technologie nécessaire pour répondre à leurs besoins est souvent hors de portée. Cette situation est aggravée par les coûts liés à l'embauche de personnel supplémentaire ou au recrutement d'experts en sécurité qui pourraient contribuer à faire avancer les initiatives en matière de sécurité.
2. Les ressources
Le secteur de la cybersécurité est confronté à une pénurie de talents: Le nombre de personnes possédant des compétences en cybersécurité est bien inférieur au nombre de postes à pourvoir dans ce domaine.
Il est déjà difficile pour le gouvernement fédéral de rivaliser avec l'industrie privée pour des ressources limitées. Il en va de même pour les postes à pourvoir dans le domaine de la cybersécurité. Le secteur public est en train de perdre la course aux talents cybernétiques parce qu'il peut rarement rivaliser avec les salaires, les avantages sociaux et les perspectives de carrière offerts par les organisations du secteur privé.
Le réservoir de talents du secteur public étant très réduit, les agences s'accrochent aux employés qu'elles ont. Cela signifie que les agences manquent souvent de personnel et n'ont que peu de temps à consacrer à la formation des compétences ou à l'innovation technologique.
L'attention des employés se concentre uniquement sur le maintien des anciens systèmes de sécurité, et les agences sont à la traîne en ce qui concerne les stratégies de sécurité modernes. Il est difficile pour les agences de rompre ce cycle - même avec un financement illimité, elles resteraient en concurrence avec le secteur privé pour les nouvelles embauches.
3. Mindset
Ce défi cyclique entraîne un décalage dans l'état d'esprit du secteur public à l'égard de la cybersécurité.
Le faible taux de rotation, la rareté des possibilités de formation et l'étroitesse du bassin d'embauche pour les emplois fédéraux facilitent le maintien d'une conception traditionnelle - et dépassée - de la cybersécurité. Les technologies de sécurité vieilles de plusieurs décennies qui ne protègent que le périmètre d'un réseau n'ont pas évolué pour s'adapter aux réseaux dispersés et hyperconnectés d'aujourd'hui.
Chaque professionnel de la sécurité doit avoir l'esprit "assumez la violation". Il est inévitable qu'une cyberattaque franchisse le périmètre, et les équipes de sécurité doivent disposer d'un plan pour empêcher une attaque de dévaster l'ensemble du réseau.
Cependant, même les dirigeants stratégiques des agences fédérales ont du mal à s'adapter aux besoins modernes en matière de cybersécurité. Ils sont conscients de la rapidité des initiatives de l'industrie privée en matière de sécurité, mais sont tout simplement incapables de les mettre en œuvre en raison des contraintes inhérentes au secteur public.
En l'absence de nouvelles stratégies de sécurité au sein du gouvernement fédéral par le biais d'une embauche massive ou d'un meilleur financement, les approches et les systèmes existants restent en place par nécessité. Une sécurité obsolète vaut mieux que pas de sécurité du tout, mais il faut que le secteur public change radicalement d'état d'esprit en matière de cybersécurité.
Les mandats fédéraux en matière de sécurité peuvent aider les agences à évoluer
Des mandats tels que le décret 14028 et le nouveau plan stratégique 2023-2025 de la CISA ont un impact positif sur l'évolution des mentalités et la mise en place d'initiatives actualisées en matière de cybersécurité.
Les équipes de sécurité des agences fédérales peuvent utiliser ces mandats comme soutien dans la lutte pour le financement et les ressources en matière de sécurité. Avec un mandat à faire valoir, la demande d'une nouvelle initiative de sécurité n'est pas simplement une meilleure pratique ou l'opinion de l'équipe de sécurité. La demande a du mordant, une base solide pour justifier sa nécessité, et peut être utilisée comme justification budgétaire auprès du Congrès.
Le secteur public s'oriente vers une sécurité "Zero Trust" (confiance zéro)
La bonne nouvelle ? Il est difficile de trouver quelqu'un qui travaille dans le domaine de la cybersécurité au sein d'une agence fédérale et qui n'a pas au moins entendu parler de Zero Trust et ne sait pas que c'est important. C'est la première bataille, et elle a été largement gagnée.
La confiance zéro est en train de devenir un langage courant et la direction que prennent la plupart des agences sur la voie d'une sécurité moderne et actualisée. Ils constatent que les stratégies de sécurité "zéro confiance", comme la segmentation "zéro confiance", sont beaucoup moins coûteuses et moins longues qu'ils ne le pensaient auparavant.
Illumio peut aider à mener cette transition vers une posture de sécurité plus robuste et moderne au sein du gouvernement fédéral. Avec la plateforme Illumio Zero Trust Segmentation, les agences fédérales peuvent se préparer aux brèches inévitables et protéger les données des citoyens de manière proactive.
Pour en savoir plus, consultez notre page sur la cybersécurité au sein du gouvernement fédéral.
