Auteur : Thiago de Oliveira Teodoro<\/p>\n\n\n\n
Les Institutions sup\u00e9rieures de contr\u00f4le des finances publiques (ISC) jouent un r\u00f4le essentiel dans l’\u00e9valuation de l’efficacit\u00e9 des politiques gouvernementales. \u00c0 une \u00e9poque marqu\u00e9e par des changements technologiques rapides, les politiques r\u00e9gissant la cybers\u00e9curit\u00e9 et la protection des donn\u00e9es sont soumises \u00e0 une pression consid\u00e9rable pour r\u00e9pondre \u00e0 des normes \u00e9lev\u00e9es de r\u00e9silience et de conformit\u00e9. Cet article vise \u00e0 \u00e9largir notre compr\u00e9hension en examinant de nouvelles perspectives qui peuvent compl\u00e9ter les lignes directrices existantes fournies par l’Organisation internationale des Institutions sup\u00e9rieures de contr\u00f4le des finances publiques (INTOSAI), principalement d\u00e9crites dans le :<\/p>\n\n\n\n
La ligne directrice sur l’audit de la cybers\u00e9curit\u00e9 et de la protection des donn\u00e9es, en particulier, \u00e9num\u00e8re plusieurs bonnes pratiques de l’Institut national des normes et de la technologie (NIST), qui ont \u00e9t\u00e9 utilis\u00e9es comme base de r\u00e9f\u00e9rence pour montrer comment ajouter des \u00e9l\u00e9ments de s\u00e9curit\u00e9 aux lignes directrices existantes de l’INTOSAI. Le cadre du NIST fournit un cadre complet et un catalogue flexible et personnalisable de contr\u00f4les de s\u00e9curit\u00e9 et de protection de la vie priv\u00e9e afin d’aider les organisations \u00e0 g\u00e9rer les risques li\u00e9s aux syst\u00e8mes, \u00e0 faire face aux cyber-menaces et \u00e0 soutenir une gestion des risques globale \u00e0 l’\u00e9chelle de l’organisation.<\/p>\n\n\n\n
Cet examen mettra en \u00e9vidence ce que l’on peut consid\u00e9rer comme les cinq familles de contr\u00f4les de s\u00e9curit\u00e9 et de protection de la vie priv\u00e9e du NIST les plus critiques, r\u00e9f\u00e9renc\u00e9es par les lignes directrices de l’INTOSAI, et qui peuvent \u00eatre mises en corr\u00e9lation avec des cyberattaques \u00e0 fort impact. <\/p>\n\n\n\n
La gestion des risques li\u00e9s \u00e0 la cha\u00eene d’approvisionnement est devenue une pr\u00e9occupation majeure en raison de la pr\u00e9valence croissante des attaques contre la cha\u00eene d’approvisionnement qui menacent les entit\u00e9s des secteurs public et priv\u00e9. Un exemple notable est l’attaque SolarWinds en 2020, o\u00f9 des adversaires ont infiltr\u00e9 des mises \u00e0 jour de logiciels, conduisant \u00e0 des compromissions g\u00e9n\u00e9ralis\u00e9es, y compris parmi les agences gouvernementales. De tels incidents montrent l’importance d’une surveillance rigoureuse et d’une \u00e9valuation des risques dans le cadre des relations avec les fournisseurs tiers. Pour att\u00e9nuer ces risques, les ISC devraient \u00e9tablir des lignes directrices claires pour \u00e9valuer les vuln\u00e9rabilit\u00e9s des fournisseurs et v\u00e9rifier l’authenticit\u00e9 des composants et des services. La mise en \u0153uvre de normes telles que la norme NIST 800-161 <\/a>peut renforcer la s\u00e9curit\u00e9 en fournissant des cadres structur\u00e9s pour l’identification et la gestion des risques li\u00e9s \u00e0 la cha\u00eene d’approvisionnement.<\/p>\n\n\n\n La gestion des r\u00e9ponses aux incidents est essentielle pour minimiser l’impact des failles de s\u00e9curit\u00e9, en particulier face aux ransomwares et aux menaces persistantes avanc\u00e9es (APT). Un exemple simple est l’attaque du ransomware Conti au Costa Rica en avril 2022, qui a gravement affect\u00e9 plusieurs agences gouvernementales, y compris le minist\u00e8re des Finances, perturbant la collecte des imp\u00f4ts et d’autres services essentiels. De tels incidents soulignent la n\u00e9cessit\u00e9 d’une planification proactive de la r\u00e9ponse aux incidents afin de s’assurer que les organisations peuvent d\u00e9tecter, contenir et se remettre des cyberattaques. Les ISC devraient promouvoir des strat\u00e9gies globales de gestion des incidents, y compris des cadres d’assistance, des plans de r\u00e9ponse structur\u00e9s et des tests r\u00e9guliers des protocoles d’incidents. L’adoption de normes industrielles telles que la norme NIST SP 800-61 <\/a>peut renforcer les capacit\u00e9s de r\u00e9ponse et am\u00e9liorer la r\u00e9silience globale en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n La protection de la vie priv\u00e9e et des donn\u00e9es est devenue primordiale car les r\u00e9glementations, telles que le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD), imposent des exigences strictes en mati\u00e8re de gestion et de sauvegarde des informations personnelles identifiables (PII). Le fait de ne pas prot\u00e9ger les donn\u00e9es sensibles peut entra\u00eener de graves violations, comme on l’a vu en 2020 lorsque des adversaires ont compromis des communications gouvernementales et des informations politiques critiques au sein du Parlement norv\u00e9gien. De tels incidents soulignent l’importance d’une gouvernance solide en mati\u00e8re de protection de la vie priv\u00e9e et de mesures de conformit\u00e9. Les ISC devraient mettre en \u0153uvre des \u00e9valuations de l’impact sur la vie priv\u00e9e et \u00e9tablir des cadres complets de protection des donn\u00e9es afin d’att\u00e9nuer les risques. L’int\u00e9gration du cadre de protection de la vie priv\u00e9e du NIST <\/a>permet aux ISC de d\u00e9velopper une approche structur\u00e9e de la gouvernance en mati\u00e8re de protection de la vie priv\u00e9e, garantissant la conformit\u00e9, la responsabilit\u00e9 et la confiance durable du public dans le traitement des donn\u00e9es.<\/p>\n\n\n\n La surveillance continue et les op\u00e9rations de s\u00e9curit\u00e9 automatis\u00e9es sont essentielles pour identifier et att\u00e9nuer les vuln\u00e9rabilit\u00e9s en temps r\u00e9el, en particulier dans les syst\u00e8mes critiques. Un exemple significatif est l’exploitation de la vuln\u00e9rabilit\u00e9 du transfert MOVEit en 2023, o\u00f9 des adversaires ont r\u00e9ussi \u00e0 int\u00e9grer des logiciels malveillants dans des transferts de donn\u00e9es l\u00e9gitimes, ce qui a eu un impact sur de nombreuses organisations, y compris le D\u00e9partement de l’\u00c9nergie des \u00c9tats-Unis. Cet incident montre l’importance d’une surveillance proactive et automatis\u00e9e de la s\u00e9curit\u00e9 afin de d\u00e9tecter les menaces et d’y r\u00e9pondre avant qu’elles ne s’aggravent. Les ISC devraient adopter des outils automatis\u00e9s, des m\u00e9thodologies de s\u00e9curit\u00e9 adaptatives et des cadres de surveillance continue afin d’am\u00e9liorer la cyber-r\u00e9silience. L’utilisation des lignes directrices du NIST 800-137A <\/a>peut aider \u00e0 mettre en place des op\u00e9rations de s\u00e9curit\u00e9 robustes qui r\u00e9pondent de mani\u00e8re dynamique aux menaces et vuln\u00e9rabilit\u00e9s \u00e9mergentes.<\/p>\n\n\n\n L’Internet des objets (IoT) et les technologies op\u00e9rationnelles (OT) jouent un r\u00f4le central dans les infrastructures critiques, mais leurs configurations faibles en font des cibles de choix pour les cybermenaces. Un exemple singulier est l’attaque par ransomware de Colonial Pipeline en 2021, o\u00f9 les adversaires ont perturb\u00e9 la distribution de carburant \u00e0 travers les \u00c9tats-Unis, entra\u00eenant des p\u00e9nuries g\u00e9n\u00e9ralis\u00e9es et d\u00e9clenchant une r\u00e9ponse f\u00e9d\u00e9rale pour renforcer la s\u00e9curit\u00e9 des infrastructures critiques. Cet incident d\u00e9crit la n\u00e9cessit\u00e9 de s\u00e9curiser les environnements IoT et OT afin d’\u00e9viter des perturbations similaires. Les institutions sup\u00e9rieures de contr\u00f4le (ISC) devraient adopter des strat\u00e9gies d’audit fond\u00e9es sur les risques qui tiennent compte des vuln\u00e9rabilit\u00e9s de l’IoT et de l’OT, notamment l’authentification des appareils, le chiffrement et les communications s\u00e9curis\u00e9es. L’utilisation des orientations des SP 1800-25<\/a>, 1800-26 <\/a>et 800-82 <\/a>du NIST peut renforcer la r\u00e9silience et la s\u00e9curit\u00e9 de ces syst\u00e8mes.<\/p>\n\n\n\n Ces cinq domaines de s\u00e9curit\u00e9 s’attaquent aux principales menaces, mais de nombreuses autres familles de contr\u00f4les de s\u00e9curit\u00e9 et de protection de la vie priv\u00e9e du NIST pourraient \u00e9galement \u00eatre prises en compte. Une m\u00e9thodologie similaire peut \u00eatre appliqu\u00e9e pour \u00e9largir l’analyse, en se concentrant sur des contr\u00f4les de s\u00e9curit\u00e9 sp\u00e9cifiques et en proposant des recommandations plus cibl\u00e9es. Cette approche peut s’appuyer sur les lignes directrices existantes de l’INTOSAI tout en incorporant des informations d\u00e9taill\u00e9es provenant d’autres normes, telles que du NIST.<\/p>\n\n\n\n Enfin, en am\u00e9liorant les contr\u00f4les de cybers\u00e9curit\u00e9, les ISC peuvent mieux auditer et renforcer les contr\u00f4les de s\u00e9curit\u00e9, ce qui am\u00e9liore en fin de compte la r\u00e9silience des syst\u00e8mes d’information du secteur public.<\/p>\n","protected":false},"excerpt":{"rendered":" Les Institutions sup\u00e9rieures de contr\u00f4le des finances publiques (ISC) jouent un r\u00f4le essentiel dans l’\u00e9valuation de l’efficacit\u00e9 des politiques gouvernementales. \u00c0 une \u00e9poque marqu\u00e9e par des changements technologiques rapides, les politiques r\u00e9gissant la cybers\u00e9curit\u00e9 et la protection des donn\u00e9es sont soumises \u00e0 une pression consid\u00e9rable pour r\u00e9pondre \u00e0 des normes \u00e9lev\u00e9es de r\u00e9silience et de conformit\u00e9. Cet article vise \u00e0 \u00e9largir notre compr\u00e9hension en examinant de nouvelles perspectives qui peuvent compl\u00e9ter les lignes directrices existantes fournies par l’Organisation internationale des Institutions sup\u00e9rieures de contr\u00f4le des finances publiques (INTOSAI), principalement d\u00e9crites dans le <\/p>\n","protected":false},"author":377,"featured_media":35298,"template":"","meta":{"_acf_changed":false,"footnotes":""},"journal-categories":[4266],"content-tags":[1850,4270,1766,1923,1879],"country":[2897],"region":[2870],"section":[868],"coauthors":[4155],"class_list":["post-35682","journal-entry","type-journal-entry","status-publish","has-post-thumbnail","hentry","journal-categories-q2-2025-fr","content-tags-cybersecurite","content-tags-emerging-risks-fr","content-tags-lapproche-fondee-sur-les-risques","content-tags-numerisation","content-tags-science-et-technologie","country-brazil-5-fr","region-olacefs-de-fr","section-spotlight-on-science-and-technology-fr"],"acf":[],"yoast_head":"\n2. R\u00e9ponse aux incidents (RI)<\/h3>\n\n\n\n
3. Traitement des informations personnelles identifiables (PII) et transparence (PT)<\/h3>\n\n\n\n
4. Surveillance continue et op\u00e9rations de s\u00e9curit\u00e9 automatis\u00e9es (CA, SI)<\/h3>\n\n\n\n
5. S\u00e9curit\u00e9 de l’Internet des objets (IoT) et des technologies op\u00e9rationnelles (OT) (PE, SC)<\/h3>\n\n\n\n
Conclusion<\/h2>\n\n\n\n