En janvier, le gouvernement britannique a publié une autre stratégie de cybersécurité, la Stratégie gouvernementale de cybersécurité 2022à ne pas confondre avec le Cyberstratégie nationale 2022publié seulement un mois plus tôt.
Cette nouvelle stratégie vise à garantir que les fonctions critiques du gouvernement soient renforcées contre les cyberattaques d’ici 2025, toutes les organisations du secteur public devenant plus résilientes aux cybermenaces d’ici 2030. Cet objectif clair est bienvenu, mais est-il réaliste ou réalisable ?
Les échéanciers établis dans la stratégie sont incroyablement serrés. Les ministères ont de nombreuses demandes concurrentes à leur égard, les budgets sont sous pression et la cybersécurité ne figure pas en tête de nombre de leurs priorités. La mise en œuvre de la stratégie d’ici 2025 sera difficile.
La stratégie repose sur deux piliers : établir une base solide de résilience organisationnelle en matière de cybersécurité, étayée par l’adoption du cadre d’évaluation de la cybersécurité (CAF) du NCSC ; et “défendre comme un seul”, qui sera rendu possible par la création d’un Centre gouvernemental de coordination de la cybercriminalité (GCCC). Ces piliers sont liés au message clé de l’alignement et de l’intégration à l’échelle du gouvernement de la Stratégie nationale de cybersécurité.
De plus, ces piliers sont soutenus par cinq objectifs :
- Gérer le risque de cybersécurité ;
- Protégez-vous contre les cyberattaques ;
- Détecter les événements de cybersécurité ;
- Minimiser l’impact des incidents de cybersécurité ;
- Développer les bonnes compétences, connaissances et culture en matière de cybersécurité.
Tous ces éléments sont sensés et fournissent une approche facile à comprendre pour construire un programme de transformation. Cependant, l’expérience montre que ces objectifs sont difficiles, coûteux et longs à atteindre, en particulier dans les ministères axés sur les opérations.
L’intégration sera la clé
Le succès sera déterminé par les niveaux d’intégration atteints au sein du gouvernement, des régions, avec les partenaires industriels et les organisations spécialisées, peut-être même avec nos alliés internationaux.
La stratégie permet une intégration intergouvernementale grâce à la création du GCCC et à l’utilisation du CAF. Il sera également important de s’intégrer à toutes les personnes nécessaires pour mettre en œuvre cette stratégie – il ne s’agit pas seulement de spécialistes de la cybersécurité. Des spécialistes des ressources humaines, commerciaux et technologiques, ainsi que des spécialistes de la gestion des programmes et du changement, seront également nécessaires pour intégrer la cybersécurité dans une organisation.
Le gouvernement devrait également chercher à tirer des enseignements des expériences et des capacités d’industries telles que les services financiers ou les infrastructures nationales critiques (CNI), qui ont développé des approches plus matures de la cybersécurité.
Ces organisations utilisent déjà les outils de cette stratégie (y compris le CAF), et nous pouvons apprendre de leurs offres. Ils ont également parcouru de longs et difficiles parcours pour arriver à leurs capacités actuelles. En apprenant où ils se sont trompés, ces pièges peuvent être évités et la livraison peut être davantage axée sur les bonnes réponses et donc accélérée.
Engager le leadership tôt
Développer les bonnes compétences, connaissances et culture en matière de cybersécurité est un objectif clé de cette stratégie et sous-tend les quatre autres.
Bien que la stratégie se concentre principalement sur la formation et le maintien de la main-d’œuvre cybernétique et sur l’augmentation de la sensibilisation à la cybersécurité dans tous les départements, tout cela peut attendre car le leadership opérationnel doit être engagé en premier.
Pour que ce travail démarre rapidement, les dirigeants organisationnels et départementaux doivent comprendre et hiérarchiser la mise en œuvre de cette stratégie. Cela nécessitera une orientation stratégique de la part du sommet, éclairée par des rapports clairs sur la gestion des cyberrisques, avec tous les impacts alignés sur les effets opérationnels.
Aider les cadres supérieurs non techniques à comprendre les cyberrisques et à les comparer à d’autres risques opérationnels soutiendra leur prise de décision et conduira à la livraison accélérée des résultats de la stratégie.
Une bouchée à la fois
Dans l’ensemble du gouvernement, les processus de justification des investissements dans les grands programmes et d’obtention des approbations sont souvent longs et retardent le début de la livraison. Cette situation sera exacerbée par les défis budgétaires actuels, car les ministères doivent établir des priorités et faire plus avec moins. En particulier, de nombreux ministères plus petits et leurs organes indépendants partiront d’une position moins mature, ce qui leur donnera beaucoup à faire.
Pour résoudre ce problème, ils doivent adopter une approche « voir grand, commencer petit et évoluer rapidement » tout en s’engageant en permanence avec toutes les parties prenantes. Cela signifie investir du temps pour comprendre le travail requis, le diviser en étapes prioritaires et gérables et rechercher des moyens de commencer la livraison rapidement. Cela pourrait être en lançant un petit projet qui peut être justifié rapidement ou en joignant des livrables – comme un processus sécurisé dès la conception – à des programmes existants (pas nécessairement des programmes de cybersécurité) qui sont déjà financés.
Pendant que ce travail de livraison initial est en cours, les départements peuvent se concentrer sur la création de programmes de cybertransformation plus importants pour permettre au travail de se développer et de se livrer rapidement. Cette approche s’est avérée accélérer la livraison et améliorer les capacités de cybersécurité pour de nombreuses organisations dans tous les secteurs. Il a été particulièrement efficace lors de la mise en œuvre des améliorations majeures nécessaires pour sécuriser le travail à distance pendant la crise du Covid-19, en aidant notamment les petites et moyennes organisations à s’adapter rapidement dans des circonstances difficiles.
Cette combinaison d’intégration, de leadership clair et de décomposition de la tâche en éléments gérables sera essentielle à la fois pour atteindre durablement les ambitions de la stratégie et pour démarrer rapidement la livraison afin de renforcer l’adhésion et la confiance.
Cet article a été rédigé par Laura Marsden, experte en services publics et en cybersécurité, et Chris Goslin, expert en cybertransformation chez Conseil en sonorisation.
