Le Département de la Défense américain a décidé de
rappeler à ses personnels l’importance de l’application des principes basiques
de cybersécurité. Leur respect aurait permis d’éviter de nombreux incidents au
cours des dernières années. Des enquêtes internes ont semble-t-il révélé de nombreuses
lacunes ou failles dans les pratiques qu’il convient de corriger rapidement. Fidèle
à ses méthodes de gestion, le Département a donc lancé un nouveau plan
(décembre 2016), intitulé « Cybersecurity Discipline Implementation Plan »[1].
Il est structuré autour de 4 types de mesures élémentaires :
-
assurer une authentification forte
-
renforcer les outils (machines bien configurées,
mises à jour… notamment pour rendre plus difficile les attaques)
-
réduire la surface d’attaque (réduire le nombre
d’opportunités d’attaques en limitant autant que possible toute connexion à l’internet
grand public
-
détecter et répondre aux intrusions potentielles
(identifier les incidents plus rapidement pour une réponse plus rapide et
efficace).
Notons donc tout d’abord que la Défense américaine
ne cherche pas à masquer ses vulnérabilités et affirme au contraire haut et
fort que ses personnels peuvent être le maillon faible de la cybersécurité :
« This analysis revealed systematic
shortfalls in the ways in which the Department is taking care of its basic
cybersecurity requirements ». On comprend que nombre de personnels ou
services (s’ils n’étaient pas nombreux, un plan ne serait sans doute pas nécessaire)
ignorent les consignes de sécurité, ne respectent pas les méthodes de connexion
sécurisée ; que les logiciels ne sont pas tous mis à jour ; que nombre
de services, réseaux, serveurs, sont peut-être encore trop exposés aux
vulnérabilités de l’internet grand public… Le plan prévoit des évaluations
régulières afin de mesurer les progrès réalisés.
