Des enquêtes récentes sur la préparation à la cybersécurité des agences‌ fédérales australiennes ont ‍mis ‍en lumière‌ des lacunes dans‍ la ‌capacité du secteur⁤ public à faire face aux cyberattaques ou​ aux violations majeures de données, ce qui a‌ conduit à ​un accent particulier en 2024 sur l’amélioration de ⁤leur préparation en matière ⁢de ⁣cybersécurité.

Un audit de⁤ deux agences gouvernementales, Services Australia⁣ et ⁢AUSTRAC, publié en‌ 2024, a révélé que ces agences ne sont pas suffisamment préparées pour se remettre d’une cyberattaque‌ significative, tandis qu’une enquête antérieure à l’échelle‌ du gouvernement a mis en évidence des lacunes dans certains domaines de la​ maturité ⁣en cybersécurité des agences.

La Stratégie de ​cybersécurité du ⁣gouvernement australien 2023-2030 stipule que le gouvernement fédéral doit « se tenir aux mêmes normes qu’il attend de l’industrie ». En 2024, l’un des objectifs⁢ de ​l’Australian Signals Directorate est d’améliorer les compétences en cybersécurité au sein des agences gouvernementales.

Technologie Entités ​gouvernementales australiennes inadaptées à ​un environnement ⁣de cybermenaces renforcé

Les agences du secteur public australien sont des cibles privilégiées pour les cybercriminels en raison ‍des données‌ sensibles qu’elles détiennent.⁤ Par exemple, l’Australian Taxation Office ‌a révélé en 2024 qu’il subissait 4,7 ⁢millions‍ d’attaques par mois en raison ‍des 50 pétaoctets de​ données qu’il gère, tandis que des données sur un grand nombre de personnes ont été compromises lorsque le fonds de⁢ pension Super⁢ SA en Australie-Méridionale a été attaqué⁤ en 2023.

Attaques subies par les entités gouvernementales australiennes en 2022-2023

Les statistiques officielles basées sur ⁣les ‌incidents signalés à l’ASD montrent que les entités ⁤gouvernementales continuent d’être des‌ cibles attrayantes pour les cybercriminels, ⁣avec un‌ volume élevé d’attaques. En 2022-2023 ‌:

• Environ 31 % des incidents de cybersécurité signalés à l’Australian Signals Directorate provenaient d’entités gouvernementales australiennes.
• Plus de 40 % de ces ‌incidents étaient ⁣des cyberattaques‍ malveillantes coordonnées de‌ faible niveau visant le gouvernement fédéral, les services partagés du gouvernement ou ​les⁢ infrastructures critiques réglementées.
• Le ransomware représente la menace ‌de cybercriminalité la ⁤plus significative, posant un ⁢risque considérable pour ​les entités gouvernementales australiennes ainsi que pour les entreprises et les particuliers.

VOIR : L’Australie parviendra-t-elle un jour à surmonter la​ pénurie de compétences en cybersécurité ?

État actuel de la cybersécurité des entités ​gouvernementales

Le Rapport sur⁤ la posture de cybersécurité 2023 de l’ASD, qui évalue le niveau⁢ de‍ maturité de⁣ toutes ‌les agences gouvernementales,​ a ⁢indiqué que «⁣ le niveau de⁢ maturité global des entités est resté faible en 2023 ». Le rapport‌ a révélé :

• 25 % des ⁢entités se ‌sont auto-évaluées‌ au Niveau de ⁢Maturité Deux selon les Huit Essentiels de l’ASD. Ce cadre comprend quatre niveaux de maturité, le Niveau Zéro étant ​le plus bas et le Niveau Trois considéré comme⁢ une bonne⁢ pratique.
• La majorité des entités​ du secteur public — 71‌ % — se sont auto-évaluées au Niveau de Maturité‍ Deux pour ‍la stratégie​ de⁣ mitigation​ « Sauvegardes régulières⁢ ». Cela indique un problème potentiel ‌concernant ⁤leur​ capacité à ‍se ⁤remettre d’une‌ cyberattaque significative.
• Seulement 82 % disposaient d’un plan de réponse aux incidents, bien que cela représente‍ une amélioration par rapport à 2022.‍ Parmi ceux-ci, 90 % ont déclaré que leur plan avait ⁤été mis à ⁢jour au​ cours des deux dernières années, et 69 % ont indiqué qu’il avait été appliqué au moins tous les ⁤deux ans.

Des audits antérieurs⁤ des organismes du ‌secteur public, y compris la ⁢Police fédérale australienne, l’Australian Taxation Office et le Département des affaires étrangères et du ‌commerce, réalisés par l’Australian⁤ National Audit Office, avaient‍ également ⁤« identifié de faibles niveaux de résilience⁤ en ‌cybersécurité⁣ au sein ‍des entités ».

Technologie AUSTRAC et‌ Services ⁤Australia‌ montrent⁢ des lacunes en cybersécurité

Un rapport ⁣de l’ANAO⁣ sur la ⁣gestion des​ incidents de cybersécurité chez ‍Services⁤ Australia et ‍AUSTRAC, publié en juin 2024, ‍a révélé que leurs mesures étaient ‌seulement⁣ « partiellement efficaces », aucune des deux agences n’étant bien ⁤positionnée pour ​garantir la continuité des activités ou la récupération​ après⁣ un incident de cybersécurité majeur.

Services Australia, qui fournit des services et des paiements aux citoyens, et AUSTRAC,‌ responsable de la lutte contre l’abus criminel du système financier, sont tous deux des‍ gardiens d’informations ⁢économiques ou⁤ commerciales et​ de données ‍personnelles, classés comme infrastructures critiques ou de sécurité nationale.

AUSTRAC

Le rapport‍ de l’ANAO a révélé que ⁢les​ procédures d’AUSTRAC soutenant les processus ‌de récupération après incident⁤ n’incluaient pas la sécurité⁤ et les tests des solutions de sauvegarde, ⁢ni ne détaillaient les ⁣systèmes, applications‍ et serveurs​ soutenant les processus commerciaux critiques.

De plus,‍ il n’a pas précisé les responsabilités du CISO⁢ — son approche de surveillance continue et ‌de reporting d’amélioration — ⁣ni défini de délais pour les rapports. En outre, l’organisation ne ‍disposait pas d’une politique de journalisation des événements ni ne documentait ⁢son analyse de tous les événements de cybersécurité, ⁢enfreignant ainsi les directives de l’ASD.

VOIR : Les CISO en‍ Australie appelés à examiner de plus ⁣près les risques de violations de données

Services Australia

Services Australia est seulement « partiellement efficace » dans ‌la conception de procédures​ de gestion des‌ incidents de cybersécurité, ‌sans approche documentée pour les évaluations de menaces ​et de vulnérabilités. L’agence⁤ n’avait ‍également pas​ de calendrier pour le triage et l’escalade, ni⁢ d’approche définie⁣ pour les enquêtes.

L’agence avait «⁢ partiellement mis en⁣ œuvre des‍ processus de récupération efficaces », y compris des sauvegardes régulières.‍ Cependant, ses plans⁣ n’incluaient pas tous les systèmes et applications ‌soutenant les processus commerciaux ⁣critiques, et l’agence⁣ ne teste ‍pas la ‍récupérabilité ⁢des sauvegardes.

Technologie⁢ Quelle ‍est la ​stratégie nationale de cybersécurité australienne ?

Le ⁤gouvernement​ australien est conscient de la nécessité pour les agences ⁣d’améliorer leur niveau de préparation et de résilience en ⁣matière de cybersécurité. Dans la Stratégie‍ de cybersécurité 2023-2030, par ⁣exemple, ⁤le gouvernement souligne qu’en tant que propriétaire et opérateur d’infrastructures critiques⁢ et⁤ responsable de la‍ détention ⁤de certaines des données​ les plus sensibles concernant les ⁤citoyens, l’économie et la sécurité nationale,⁢ « le gouvernement‍ doit se tenir aux mêmes normes qu’il impose à l’industrie ».

Dans le⁤ cadre de cette stratégie, le ⁢gouvernement ⁤s’est engagé⁢ à :

• Renforcer la maturité en‌ cybersécurité des départements et agences gouvernementaux.
• Identifier et protéger ⁤les systèmes critiques au‍ sein du gouvernement.
• Améliorer les compétences en⁣ cybersécurité du Service public australien.

L’ASD a déclaré qu’elle joue un rôle dans le renforcement de la sécurité au sein des agences gouvernementales en ​2024 ​grâce à un financement supplémentaire.​ Cela ‍inclut⁤ l’introduction ​de capacités techniques ⁣supplémentaires dans les​ départements et la fourniture‌ d’experts pour‌ aider‌ les agences ‌à renforcer leurs réseaux contre les cybercriminels.

Les exigences du secteur privé augmentent les normes de‍ sécurité dans le secteur ‍public

Le secteur ‌privé ⁣accueillera les initiatives visant à améliorer la cybersécurité ​dans⁤ le secteur public.

Dans une récente‍ soumission au gouvernement concernant​ des ‍réformes législatives proposées ‌en matière de cybersécurité,​ le Technology Council of Australia, représentant l’industrie technologique, a ⁤exhorté le gouvernement australien à renforcer et ‌à protéger ses propres ⁣pratiques et méthodes de sécurité de l’information. Cela vise à garantir que toute information fournie par des organisations​ du secteur‌ privé, dans le cadre de propositions de partage d’informations sur les incidents de cybersécurité, soit transférée⁣ dans des environnements et⁣ canaux sécurisés.

Amazon Web Services a⁢ suggéré que le⁤ gouvernement devrait inclure⁢ formellement ses propres infrastructures critiques ‍et « Systèmes de Signification Gouvernementale » sous le champ d’application de la ​loi sur la sécurité des‍ infrastructures critiques ou d’un autre cadre législatif.

« Cela établirait des normes contraignantes importantes pour le gouvernement », a écrit AWS, « et enverrait un⁢ signal fort à l’industrie que⁤ le gouvernement se⁤ considère véritablement comme un partenaire égal dans l’élévation de la ‌cybersécurité du pays. »