Pourquoi les gouvernements ont besoin d'une formation de sensibilisation à la sécurité
Publié le: 28 Oct 2021
Dernière modification le: 30 Sep 2025
Les gouvernements ont besoin d’une formation de sensibilisation à la sécurité pour réduire le risque d’attaques réussies, protéger les informations sensibles et maintenir la confiance du public dans les institutions gouvernementales, et ce pour un certain nombre de raisons. Les gouvernements et les services du secteur public sont dans la ligne de mire des cybercriminels. Une étude de Checkpoint confirme cette affirmation ; une enquête de la société montre que le gouvernement et les secteurs militaires au Royaume-Uni et en Irlande ont fait face à une moyenne de 352 cyberattaques par semaine au milieu de l’année 2021.
Le Royaume-Uni dans son ensemble a connu une augmentation de 20 % des cyberattaques au cours de l’année 2020, avec des types d’attaques tels que les ransomwares qui ont augmenté de 80 % au cours des trois derniers mois de l’année 2020. Ce tsunami de cyberattaques suit un schéma typique de manipulation du facteur humain, généralement un employé ou un fournisseur.
Afin d’atténuer l’assaut des cybermenaces telles que le phishing, l’exposition accidentelle de données et l’ingénierie sociale, les ministères doivent se tourner vers la formation à la sensibilisation à la sécurité.
Comment se produisent les pertes de données et les cyberattaques dans les administrations publiques ?
Les pirates informatiques s’appuient sur le succès des attaques menées par le passé contre des organismes publics.
L’attaque de ransomware WannaCry, peut-être la plus tristement célèbre, a été ressentie dans le monde entier, et plus particulièrement par le NHS britannique. Comme toutes les attaques de ransomware, WannaCry a été dévastateur, fermant les hôpitaux aux nouveaux patients et exerçant une pression énorme sur un NHS déjà à bout de souffle. Le gouvernement est une cible pour les cybercriminels parce qu’il s’est avéré être une option fructueuse, l’équivalent cybercriminel du fruit à portée de main.
Les attaques telles que les ransomwares commencent souvent par la manipulation d’un employé qui est amené à cliquer sur un lien malveillant dans un courriel ou à télécharger une pièce jointe infectée.
Une demande de liberté d’information effectuée par le groupe de réflexion Parliament Street a révélé que le Trésor de Sa Majesté avait réussi à bloquer près de 5 millions de courriels d’hameçonnage, de logiciels malveillants et de pourriels au cours des trois années précédant septembre 2021. Un autre rapport de Parliament Street a révélé que la Chambre des communes avait bloqué 126 millions de tentatives de courriels malveillants.
Mais ce ne sont pas seulement les cyberattaques qui devraient préoccuper les responsables de la sécurité et de la conformité des gouvernements.
Un rapport du ministère de la défense (MoD), analysé par Parliament Street, fait état d’une augmentation de 18 % des incidents de perte de données. La plupart de ces incidents ont été causés par la divulgation non autorisée de données, le reste étant dû à la perte d’équipements électroniques, d’appareils ou de documents dans les locaux du gouvernement, ou à l’élimination non sécurisée de documents papier.
Les cybercriminels jouent un jeu de longue haleine et améliorent sans cesse leurs techniques d’évasion. Un simple courriel malveillant qui passe à travers les mailles du filet peut devenir un autre incident du type WannaCry. Un simple ordinateur portable perdu dans un train peut se retrouver aux portes des médias, traité comme un problème de non-conformité réglementaire par l’Information Commissioners Office (ICO).
La cyber-tempête parfaite, composée d’un mélange de cybercriminalité et d’événements accidentels d’initiés, s’accumule comme un nuage sombre au-dessus des ministères du gouvernement britannique.
Comment une formation de sensibilisation à la cybersécurité peut aider une administration à rester en sécurité sur Internet
L’ICO britannique a déclaré que 90 % des violations de données sont dues à une erreur humaine : le rôle que joue le facteur humain dans la perte de données et les cyber-violations ressort clairement de l’étude menée par Parliament Street. Toutefois, le facteur humain en matière de sécurité offre également aux services gouvernementaux la possibilité de réduire les risques.
La capacité à sensibiliser les utilisateurs aux questions de cybersécurité et aux risques liés aux données est un élément important d’une politique et d’une stratégie globales de sécurité. La formation à la sensibilisation à la sécurité fournit un programme formel pour dispenser cette éducation ; les cinq principes fondamentaux d’une formation à la sensibilisation à la sécurité efficace sont les suivants :
Prévenir les violations de données
Les violations de données sont généralement liées à une campagne d’hameçonnage à un certain stade de la violation. Un employé ou une autre entité associée, telle qu’un entrepreneur ou un fournisseur, est victime d’un message d’hameçonnage et le résultat peut être une infection par un ransomware (ou un autre logiciel malveillant) ou un vol de données d’identification.
La formation à la sensibilisation à la sécurité forme le personnel et d’autres personnes à repérer les signes révélateurs des messages de phishing et d’autres escroqueries d’ingénierie sociale. Des simulations d’hameçonnage peuvent être utilisées pour faciliter cette formation et pour mesurer l’efficacité de la formation. Dans un département informatique gouvernemental au budget serré, les programmes de formation à la sécurité peuvent être très rentables.
Prévenir l’exposition accidentelle de données
L’exposition accidentelle de données couvre une gamme d’événements allant de la mauvaise livraison d’un courriel à l’oubli de documents sensibles sur une imprimante. La formation à la sensibilisation à la sécurité sensibilise le personnel aux aspects hygiéniques de la sécurité en ligne, ainsi qu’aux aspects plus technologiques. Les employés et d’autres personnes sont formés aux bonnes pratiques, telles que le respect d’une politique de bureau propre et la garantie qu’ils ne partagent pas leurs mots de passe.
Maintien de la sécurité
Les cybercriminels cherchent toujours à contourner les mesures de sécurité traditionnelles, notamment en changeant de tactique pour inciter les employés à exécuter des activités malveillantes en leur nom. La formation à la sensibilisation à la sécurité n’est pas un événement ponctuel, mais fonctionne sur le principe de la formation continue pour garantir qu’une administration (et ses employés) reste au fait des changements dans le paysage des menaces à la cybersécurité.
La sécurité pour tous
Chaque employé, consultant et fournisseur est une cible potentielle pour un cybercriminel. Chaque employé et fournisseur est également un facteur humain dans l’exposition accidentelle de données. C’est pourquoi les programmes de formation à la sensibilisation à la sécurité sont plus efficaces lorsqu’ils sont utilisés dans l’ensemble de l’organisation et qu’ils incluent les fournisseurs. Les administrations publiques ayant recours à des services et à du personnel externalisés, cet aspect de la formation à la sensibilisation à la sécurité est important pour s’assurer que la priorité à la sécurité est universelle.
Le pare-feu humain et le renforcement des mesures techniques
Le concept de pare-feu humain est une idée qui s’appuie sur l’éducation fournie par un programme de sensibilisation à la sécurité. Si elle est bien menée, la formation à la sécurité peut responsabiliser chacun au sein d’une organisation, tout en veillant à ce que le groupe bénéficie de cette formation dans son ensemble.
Conformité réglementaire, normes de protection des données et gouvernement
Un programme efficace de sensibilisation à la sécurité permet également de répondre aux exigences réglementaires en matière de sécurité de l’information. Le gouvernement devrait montrer l’exemple au reste de l’industrie en s’assurant qu’il répond aux attributions des diverses réglementations sur les données au Royaume-Uni, ainsi qu’à celles qui peuvent avoir un impact au-delà des frontières britanniques. De nombreuses normes et réglementations relatives à la protection des données, notamment ISO27001 et DPA2018/UK GDPR, imposent désormais à une organisation de former ses employés à la sécurité ou les y encouragent fortement.
Si les mesures de sécurité traditionnelles telles que l’authentification à deux facteurs et le cryptage peuvent contribuer à réduire les violations de données, il n’y a rien de tel que de sensibiliser les employés aux risques que représentent pour une organisation le phishing et d’autres attaques d’ingénierie sociale.
Les administrations publiques sont exposées aux risques de perte de données et de cyberattaques comme n’importe quel autre secteur d’activité. En dispensant une formation essentielle en matière de sécurité à leurs employés, les administrations publiques peuvent réduire les risques auxquels elles sont exposées et donner l’exemple à d’autres secteurs d’activité.
