Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, Général, Sécurité, Technologie

L’an dernier, les violations de données de services gouvernementaux du monde entier faisaient la une des médias. Aux États-Unis seulement, les organismes du gouvernement fédéral ont enregistré une hausse considérable du nombre de violations de données par rapport aux années précédentes, selon le rapport 2018 Thales Data Threat Report, Federal Edition (en anglais).

Le rapport indique que sur 100 chefs de file du secteur informatique du gouvernement fédéral américain interrogés, 57 % ont déclaré avoir subi une violation de données l’an dernier, alors que ce chiffre s’élevait à 34 % dans le rapport de l’année précédente. Au cours des dernières années, les organismes gouvernementaux ont fait l’objet de critiques virulentes sur leur manière de traiter les données personnelles des citoyens. Ces violations de données ont probablement ébranlé la confiance des citoyens dans la capacité du gouvernement à protéger leurs données à caractère personnel.  

Cette année, les violations de données ont encore frappé, de l’attaque de rançongiciel contre les systèmes de l’administration municipale d’Atlanta (en anglais) aux employés du comté de Caroline du Nord (en anglais) qui ont été la cible d’une cyberattaque, il n’est pas étonnant que les fonctionnaires soient préoccupés par la vulnérabilité des systèmes face aux violations de données, que les données à caractère personnel soient celles des citoyens ou les leurs.

RGPD : sensibiliser de nouveau aux risques existants

À la lumière du règlement général sur la protection des données (RGPD) de l’Union européenne, qui entrera prochainement en vigueur, les entités gouvernementales du monde entier remettent en question le traitement des données à caractère personnel qu’elles ont mis en place. Les pirates informatiques représentent évidemment une préoccupation majeure, mais de nombreux experts conviennent que la plus grande menace à la sécurité des données fédérales vient de l’intérieur, autrement dit, les employés qui n’ont pas d’intention malveillante, mais qui sont susceptibles de supprimer accidentellement des fichiers importants, d’être victimes de tentatives d’hameçonnage ou de partager plus de données que les politiques de sécurité ou les exigences juridiques ne le stipulent.

Que doivent donc faire les services gouvernementaux pour affronter la menace bien réelle que représentent les violations de données? Voici trois solutions pour améliorer la sécurité des services gouvernementaux.

 

1. Renforcer le contrôle sur les appareils mobiles

La main-d’œuvre étant de plus en plus mobile de manière générale, de plus en plus d’employés vérifient leurs courriels de travail sur leurs appareils mobiles personnels non sécurisés, compromettant ainsi la sécurité de données sensibles. Si vous croyez que les organismes gouvernementaux font exception à cette règle, rappelez-vous cette controverse relativement récente : l’affaire des e-mails de Hillary Clinton.

Les administrateurs des services informatiques ne sont pas en mesure de contrôler l’utilisation des appareils mobiles personnels pendant les heures de travail, mais ils peuvent toutefois restreindre l’accès au serveur de messagerie à partir d’appareils non autorisés. Les entreprises qui veulent réduire au minimum les risques liés à la cybersécurité devront probablement éliminer complètement les courriels, envoyés ou reçus, qui contiennent des données sensibles, optant plutôt pour un logiciel d’échange sécurisé de fichiers. Les transferts de données réalisés par XM SendSecure, par exemple, sont renforcés par des fonctionnalités de sécurité robustes comme le double cryptage et l’authentification à deux facteurs. De plus, SendSecure et son application mobile s’intègrent parfaitement aux principales plateformes de messagerie, ce qui permet aux utilisateurs de travailler à partir de la plateforme qu’ils trouvent la plus conviviale pendant leur déplacement.

 

2. Former les fonctionnaires aux pratiques exemplaires en matière de sécurité

L’importance de la formation à la sécurité des données ne doit pas être négligée, qu’il s’agisse d’envoyer un simple message aux fonctionnaires (même aux hauts fonctionnaires) pour leur rappeler d’éviter de cliquer sur des courriels suspects ou de demander aux informaticiens d’appliquer des correctifs aux systèmes informatiques dès que des mises à jour sont disponibles.

Il est de la responsabilité du service informatique, et non de l’utilisateur final, de connaître les enjeux en cas de politiques de sécurité laxistes. Faciliter la compréhension et l’application des conseils de sécurité peut être difficile, mais reste fondamental.

 

3. Mettre en œuvre un programme de signalement de bogues

Un grand nombre de fonctionnaires signalent qu’ils ont du mal à trouver des professionnels de la sécurité qualifiés à embaucher, mais aux États-Unis il existe une vaste communauté de chercheurs indépendants en sécurité qui pourraient contribuer à trouver les vulnérabilités des systèmes gouvernementaux. Depuis des années, les entreprises de la Silicon Valley mettent en œuvre des programmes de « Bug Bounty » (programme de prime pour le signalement des bogues), permettant aux développeurs de logiciels de découvrir des bogues dans le système bien avant qu’ils ne puissent causer de graves dégâts. Lorsque les organismes gouvernementaux mettent en place ce type de programme, ils offrent aux « gentils » pirates informatiques la possibilité de recevoir une reconnaissance et une indemnisation, mais aussi de faire une bonne action qui protège les citoyens.

Les initiatives de sécurité réussies comme « Pirater le Pentagone » (en anglais) sont de bons exemples de l’utilisation de ressources extérieures pour cerner les faiblesses de l’infrastructure informatique dans un environnement contrôlé. Malheureusement, les organismes gouvernementaux des États ou les administrations locales n’ont pas tous accès aux meilleurs pirates informatiques du monde. Néanmoins, inviter des chercheurs ou des consultants disponibles pour vérifier les vulnérabilités et vous aider à déterminer quelles failles pourraient faire l’objet de cyberattaques ou pourraient entraîner une violation à la sécurité des données, peut toujours s’avérer utile.

 

Découvrez des solutions pour simplifier et renforcer votre stratégie en matière de sécurité des données, incluant un temps d’arrêt minimal et une formation des utilisateurs. Parlez à un spécialiste dès aujourd’hui.

 

PARLEZ À UN EXPERT

 

Leave a Comment