Au début de la pandémie, secteurs public et privé ont été confrontés aux mêmes défis IT : réagir rapidement pour développer et introduire des stratégies de télétravail efficaces, en particulier pour éviter l’arrêt des systèmes gouvernementaux essentiels. Dans le même temps, la nécessité d'améliorer l’expérience des citoyens lors des échanges avec ce type de services a rapidement nécessité la transition vers une administration numérique. Une analyse de Jean-Pierre Boushira Vice-President South, Benelux & Nordics, Veritas Technologies
Les institutions ayant pu abandonner les anciennes plateformes vieillissantes au profit de services partagés et de nouvelles technologies - telles que Microsoft 365 - ont largement migré vers le cloud. Dans quel objectif ? Améliorer la communication et la collaboration en interne comme avec les citoyens. Toutefois, même si le cloud s'est révélé être un véritable catalyseur pour la transformation numérique et le lancement des actions autour des données par les services du gouvernement, ces actions pourraient s’avérer handicapantes si les mesures de sécurité ne suivent pas le rythme.
Les dangers d’une innovation numérique trop rapide
Lorsque les organisations introduisent de nouvelles solutions dans leur pile technologique, les capacités de protection doivent en parallèle être étendues. Mais face à une pandémie mondiale que personne n'aurait pu prévoir, les entreprises ont dû innover rapidement, et leurs mesures de sécurité n'ont malheureusement pas pu suivre la cadence. De cette situation découle alors de nouvelles zones de vulnérabilité, au sein desquelles les systèmes et les données ont été laissés sans protection face aux attaques. D’après une récente étude, ce fossé entre l'innovation et la protection affecterait une large variété d'organisations, publiques et privées : 39% des entreprises et autres institutions publiques connaîtraient un déficit de sécurité en écho aux mesures de transformation digitale imposées par la crise du COVID.
Si une transformation numérique aussi rapide a apporté de nombreux avantages au secteur public, le revers de la médaille est à prendre en considération. Et pour cause, dans la précipitation, la sécurité est malheureusement passée au second plan. Résultat : des failles subsistent et n’attendent que d’être exploitées par les hackers pour en tirer profit. À l’international, 88 % des professionnels estimeraient avoir fait face à des temps d'arrêt au cours des 12 derniers mois à la suite de violations. Plus marquant encore, les entreprises à travers le monde auraient subi en moyenne 2,57 attaques par ransomware, qui auraient provoqué des temps d’arrêt et par conséquent perturbé leurs activités.
Bien plus qu’un simple outil rentable du crime organisé, le ransomware favorise la création d’écosystèmes de produits et de services permettant de toucher n'importe qui, n'importe où. Il est est alors devenu nécessaire de déployer des efforts supplémentaires afin de réduire le gap de vulnérabilité et d’élever le niveau de sécurité informatique au sein des infrastructures économiques, administratives et de santé.
Alors que les criminels continuent de chercher à exploiter les failles de sécurité des organisations, sur quoi les responsables informatiques du secteur public doivent-ils se concentrer ?
Gartner estime que plus de 85 % des organisations adopteront le principe du « cloud first » d'ici 2025, et que plus de 95 % des nouvelles charges de travail seront déployées sur des plateformes natives dans le cloud (contre 30 % en 2021). Mais au-delà de la nécessité pour les institutions publiques de déployer rapidement des services basés sur le cloud pour s’assurer de rester opérationnels, beaucoup sont encore aujourd'hui en retard quant à l’efficacité de leur gestion. Même si les trois quarts des entreprises et institutions françaises semblent avoir mis en place de nouvelles fonctionnalités ou ont étendu leur infrastructure cloud au-delà de leurs plans initiaux - en écho à la pandémie - beaucoup restent perplexes quand on leur demande combien de services ils utilisent au total à l’heure actuelle. De plus, ces organisations privées et publiques n’auraient qu’un aperçu partiel sur leurs données : 34% des données seraient des dark data en France et 48 % seraient redondantes, obsolètes ou triviales (ROT).
De manière générale, une stratégie de protection des données efficace exige une compréhension approfondie des données à protéger. Comment les institutions peuvent-elles protéger ce qu'elles ne peuvent pas voir ? Ce genre d'angle mort est un repère pour les cybercriminels qui s'acharnent à trouver des faiblesses. Mais cela ne représente qu’une partie du problème. Partons du principe que les institutions publiques ont une bonne visibilité sur leurs données (leur lieu de stockage au sein de leur architecture multi-cloud par exemple) : jusqu’où vont leurs responsabilités à l’égard de ces mêmes données ? Malheureusement, tous les contrats de services cloud ne sont pas toujours lus ou compris convenablement. En fait, la plupart des organisations sont encore persuadées que leur fournisseur de services cloud (CSP) est responsable de la protection et de la confidentialité des données. Pourtant, c’est généralement le client qui reste garant de ces aspects.
Comment les organismes du secteur public peuvent-ils commencer à prendre conscience de leurs responsabilités - et de leurs lacunes - alors qu'ils ne savent même pas combien de services cloud ils utilisent, ni les données qui y sont stockées ?
L'exploitation de la technologie numérique dans le secteur public ne peut se faire qu'en adoptant une approche plus proactive de la gestion des données, fondée sur la visibilité et la normalisation. Pour ce secteur, cela induit également la création de stratégies de protection des données qui couvre les services partagés, garantisse les sauvegardes et la sécurisation des données critiques tout en restant en conformité au niveau réglementaire et légal. Si cela semble facile sur le papier, la tâche se complique lorsque la visibilité sur les données fait défaut.
Finalement, le secteur public ne peut se permettre de se reposer sur ses lauriers. Même si les équipes IT du secteur ont déployé d’énormes efforts depuis de début de la pandémie, il s’agit maintenant de combler le gap de vulnérabilité créé par les initiatives de transformation numérique. Pour que la sécurité des données puisse rattraper l'innovation, gestion des dark data, prise en charge des charges de travail (et des services) dans le cloud il est nécessaire de mettre en place un plan complet de protection des données. En effet, l’ensemble de ces axes figurera au rang de priorités au cours des mois à venir.