Renforcer les audits de cybersécurité dans le secteur public : Tirer parti des normes du NIST pour les Institutions supérieures de contrôle des finances publiques
Auteur : Thiago de Oliveira Teodoro, Tribunal de Contas da União (Cour fédérale des comptes du Brésil)
Introduction
Les Institutions supérieures de contrôle des finances publiques (ISC) jouent un rôle essentiel dans l’évaluation de l’efficacité des politiques gouvernementales. À une époque marquée par des changements technologiques rapides, les politiques régissant la cybersécurité et la protection des données sont soumises à une pression considérable pour répondre à des normes élevées de résilience et de conformité. Cet article vise à élargir notre compréhension en examinant de nouvelles perspectives qui peuvent compléter les lignes directrices existantes fournies par l’Organisation internationale des Institutions supérieures de contrôle des finances publiques (INTOSAI), principalement décrites dans le :
- Groupe de travail pour le contrôle des technologies de l’information (WGITA) – Initiative de développement de l’INTOSAI (IDI) Manuel sur l’audit des technologies de l’information à l’intention des Institutions supérieures de contrôle des finances publiques
- Guid-5100 : Lignes directrices sur la vérification des systèmes d’information et la version initiale du projet correspondant.
- Lignes directrices du WGITA sur l’audit de la cybersécurité et de la protection des données
La ligne directrice sur l’audit de la cybersécurité et de la protection des données, en particulier, énumère plusieurs bonnes pratiques de l’Institut national des normes et de la technologie (NIST), qui ont été utilisées comme base de référence pour montrer comment ajouter des éléments de sécurité aux lignes directrices existantes de l’INTOSAI. Le cadre du NIST fournit un cadre complet et un catalogue flexible et personnalisable de contrôles de sécurité et de protection de la vie privée afin d’aider les organisations à gérer les risques liés aux systèmes, à faire face aux cyber-menaces et à soutenir une gestion des risques globale à l’échelle de l’organisation.
Cet examen mettra en évidence ce que l’on peut considérer comme les cinq familles de contrôles de sécurité et de protection de la vie privée du NIST les plus critiques, référencées par les lignes directrices de l’INTOSAI, et qui peuvent être mises en corrélation avec des cyberattaques à fort impact.
Cinq familles de contrôles essentiels du NIST : Leçons tirées des cyberattaques à fort impact
1. Gestion des risques de la chaîne d’approvisionnement (SR)
La gestion des risques liés à la chaîne d’approvisionnement est devenue une préoccupation majeure en raison de la prévalence croissante des attaques contre la chaîne d’approvisionnement qui menacent les entités des secteurs public et privé. Un exemple notable est l’attaque SolarWinds en 2020, où des adversaires ont infiltré des mises à jour de logiciels, conduisant à des compromissions généralisées, y compris parmi les agences gouvernementales. De tels incidents montrent l’importance d’une surveillance rigoureuse et d’une évaluation des risques dans le cadre des relations avec les fournisseurs tiers. Pour atténuer ces risques, les ISC devraient établir des lignes directrices claires pour évaluer les vulnérabilités des fournisseurs et vérifier l’authenticité des composants et des services. La mise en œuvre de normes telles que la norme NIST 800-161 peut renforcer la sécurité en fournissant des cadres structurés pour l’identification et la gestion des risques liés à la chaîne d’approvisionnement.
2. Réponse aux incidents (RI)
La gestion des réponses aux incidents est essentielle pour minimiser l’impact des failles de sécurité, en particulier face aux ransomwares et aux menaces persistantes avancées (APT). Un exemple simple est l’attaque du ransomware Conti au Costa Rica en avril 2022, qui a gravement affecté plusieurs agences gouvernementales, y compris le ministère des Finances, perturbant la collecte des impôts et d’autres services essentiels. De tels incidents soulignent la nécessité d’une planification proactive de la réponse aux incidents afin de s’assurer que les organisations peuvent détecter, contenir et se remettre des cyberattaques. Les ISC devraient promouvoir des stratégies globales de gestion des incidents, y compris des cadres d’assistance, des plans de réponse structurés et des tests réguliers des protocoles d’incidents. L’adoption de normes industrielles telles que la norme NIST SP 800-61 peut renforcer les capacités de réponse et améliorer la résilience globale en matière de cybersécurité.
3. Traitement des informations personnelles identifiables (PII) et transparence (PT)
La protection de la vie privée et des données est devenue primordiale car les réglementations, telles que le Règlement général sur la protection des données (RGPD), imposent des exigences strictes en matière de gestion et de sauvegarde des informations personnelles identifiables (PII). Le fait de ne pas protéger les données sensibles peut entraîner de graves violations, comme on l’a vu en 2020 lorsque des adversaires ont compromis des communications gouvernementales et des informations politiques critiques au sein du Parlement norvégien. De tels incidents soulignent l’importance d’une gouvernance solide en matière de protection de la vie privée et de mesures de conformité. Les ISC devraient mettre en œuvre des évaluations de l’impact sur la vie privée et établir des cadres complets de protection des données afin d’atténuer les risques. L’intégration du cadre de protection de la vie privée du NIST permet aux ISC de développer une approche structurée de la gouvernance en matière de protection de la vie privée, garantissant la conformité, la responsabilité et la confiance durable du public dans le traitement des données.
4. Surveillance continue et opérations de sécurité automatisées (CA, SI)
La surveillance continue et les opérations de sécurité automatisées sont essentielles pour identifier et atténuer les vulnérabilités en temps réel, en particulier dans les systèmes critiques. Un exemple significatif est l’exploitation de la vulnérabilité du transfert MOVEit en 2023, où des adversaires ont réussi à intégrer des logiciels malveillants dans des transferts de données légitimes, ce qui a eu un impact sur de nombreuses organisations, y compris le Département de l’Énergie des États-Unis. Cet incident montre l’importance d’une surveillance proactive et automatisée de la sécurité afin de détecter les menaces et d’y répondre avant qu’elles ne s’aggravent. Les ISC devraient adopter des outils automatisés, des méthodologies de sécurité adaptatives et des cadres de surveillance continue afin d’améliorer la cyber-résilience. L’utilisation des lignes directrices du NIST 800-137A peut aider à mettre en place des opérations de sécurité robustes qui répondent de manière dynamique aux menaces et vulnérabilités émergentes.
5. Sécurité de l’Internet des objets (IoT) et des technologies opérationnelles (OT) (PE, SC)
L’Internet des objets (IoT) et les technologies opérationnelles (OT) jouent un rôle central dans les infrastructures critiques, mais leurs configurations faibles en font des cibles de choix pour les cybermenaces. Un exemple singulier est l’attaque par ransomware de Colonial Pipeline en 2021, où les adversaires ont perturbé la distribution de carburant à travers les États-Unis, entraînant des pénuries généralisées et déclenchant une réponse fédérale pour renforcer la sécurité des infrastructures critiques. Cet incident décrit la nécessité de sécuriser les environnements IoT et OT afin d’éviter des perturbations similaires. Les institutions supérieures de contrôle (ISC) devraient adopter des stratégies d’audit fondées sur les risques qui tiennent compte des vulnérabilités de l’IoT et de l’OT, notamment l’authentification des appareils, le chiffrement et les communications sécurisées. L’utilisation des orientations des SP 1800-25, 1800-26 et 800-82 du NIST peut renforcer la résilience et la sécurité de ces systèmes.
Conclusion
Ces cinq domaines de sécurité s’attaquent aux principales menaces, mais de nombreuses autres familles de contrôles de sécurité et de protection de la vie privée du NIST pourraient également être prises en compte. Une méthodologie similaire peut être appliquée pour élargir l’analyse, en se concentrant sur des contrôles de sécurité spécifiques et en proposant des recommandations plus ciblées. Cette approche peut s’appuyer sur les lignes directrices existantes de l’INTOSAI tout en incorporant des informations détaillées provenant d’autres normes, telles que du NIST.
Enfin, en améliorant les contrôles de cybersécurité, les ISC peuvent mieux auditer et renforcer les contrôles de sécurité, ce qui améliore en fin de compte la résilience des systèmes d’information du secteur public.
