La cyber-résilience des villes : Une nouvelle étude montre une amélioration

Villes

20 mai 2024

En état de siège cybernétique : les villes se protègent-elles bien ?

Selon une nouvelle étude de RiskRecon, les villes ne s'endorment pas sur les cybermenaces, mais des efforts supplémentaires sont nécessaires pour protéger leurs données et empêcher l'interruption des services essentiels.

Satta Sarmah Hightower

Contributeur

Cloud, en Floride, à Wichita, au Kansas, à Long Beach, en Californie, et d'autres encore - ont été la cible de cyberattaques qui ont mis en péril des services publics vitaux. Une étude récente montre toutefois que de nombreuses villes ont pris ces menaces au sérieux et s'efforcent de renforcer leur cyber-résilience.

RiskRecon, société du groupe Mastercard et principal fournisseur de notations et d'évaluations en matière de cybersécurité, a analysé la manière dont 271 villes américaines ont modifié leur position en matière de sécurité au cours des trois dernières années. En août 2021, l'entreprise a évalué ces villes et leur a attribué une note en fonction de leurs performances dans neuf domaines de sécurité, allant de la sécurité des applications à l'hébergement web. Depuis lors, RiskRecon a constaté que la note moyenne de sécurité globale est passée de 7,3 à 8,1 sur une échelle de 10 points.

En janvier, 221 villes avaient obtenu une note A ou B, ce qui indique une plus grande sécurité dans de nombreuses juridictions.

Cependant, les villes ne doivent pas baisser la garde, déclare Rigo Van den Broeck, vice-président exécutif de l'innovation des produits de cybersécurité chez Mastercard. "Aucune organisation n'est trop grande ou trop petite pour être ciblée. Chaque organisation, quelle que soit sa taille, est confrontée à un pirate informatique en puissance", explique-t-il.

Selon Rigo Van den Broeck de Mastercard, l'une des vulnérabilités les plus dangereuses pour les villes - et relativement facile à corriger - est la mise à jour des logiciels obsolètes.

Dans un récent entretien avec Mastercard Newsroom, M. Van den Broeck explique ce que les recherches de RiskRecon révèlent sur le paysage actuel des risques pour les villes et sur la manière de mieux protéger les systèmes et les données critiques.

La bonne nouvelle est que les gouvernements prennent des mesures pour se protéger. La mauvaise nouvelle, c'est que les gouvernements et les infrastructures publiques qu'ils protègent sont de plus en plus souvent la cible d'acteurs malveillants. Qu'est-ce qui motive cette situation ?

Van den Broeck : Nous avons tous vu les gros titres détaillant les cyberattaques paralysantes contre les gouvernements et les infrastructures publiques - les exemples ne manquent pas. Dans tous les secteurs, la numérisation est une constante depuis de nombreuses années, mais historiquement, de nombreux gouvernements ont été plus lents à s'adapter. COVID a changé la donne en ce sens que l'offre de services numériques n'était plus facultative. Il est devenu essentiel que les gouvernements puissent servir leurs citoyens sur l'internet. Cette évolution rapide a considérablement élargi la surface d'attaque, offrant ainsi davantage d'opportunités aux cybercriminels.

Il est essentiel de comprendre qui est à l'origine des attaques. Les pirates choisissent souvent leurs cibles en fonction de quelques facteurs communs, tels que la sensibilité des données d'une organisation ou l'importance de son fonctionnement sans interruption. Les gouvernements sont également des cibles privilégiées pour les mauvais acteurs motivés par des considérations politiques. Si l'on combine tous ces facteurs, il n'est pas surprenant que les gouvernements soient souvent pris pour cible.

Quels sont les risques financiers et opérationnels pour les villes qui s'ouvrent aux pirates informatiques ?

Van den Broeck : Les pirates utilisent souvent les données volées dans des tentatives d'extorsion ou vendent ces informations à d'autres criminels, ce qui entraîne des pertes importantes pour les organisations victimes de violations. Le rapport d' IBM sur le coût d'une violation de données en 2023 indique que le coût moyen mondial d'une violation de données en 2023 était de 4,45 millions de dollars.

Dans le cas des villes, le risque financier est encore plus grand en raison des services essentiels qu'elles fournissent et des données sensibles qu'elles sont chargées de protéger. Lorsqu'elles sont victimes d'un cyberincident, l'impact est considérable. Nous avons vu des violations qui ont privé le personnel d' urgence des informations en temps réel dont il a besoin pour réagir efficacement en cas de crise, par exemple, ou qui ont limité l'accès aux ordinateurs publics dans l'un des réseaux de bibliothèques les plus fréquentés au monde. La remise en service des systèmes peut être coûteuse, et les villes peuvent être confrontées à des coûts liés à la surveillance, aux litiges et aux interventions en cas d'incident.

Et puis il y a l'atteinte à la réputation, où la perte de confiance du public peut être préjudiciable, surtout si l'on considère que les gouvernements locaux sont parmi les entités gouvernementales les plus dignes de confiance. Il est difficile de mettre un prix là-dessus.

Comment RiskRecon s'y prend-il pour tester les clôtures, pour ainsi dire ?

Van den Broeck : RiskRecon évalue en permanence la présence sur Internet de plus de 19 millions d'organisations, allant des commerçants en ligne aux conglomérats multinationaux en passant par les organismes de soins de santé. Les évaluations sont à la fois vastes et approfondies, à la recherche de preuves visibles par le public que nous pouvons utiliser pour déduire la cyberhygiène d'une organisation, par exemple des logiciels obsolètes et vulnérables ou des communications internet qui ne sont pas protégées de manière appropriée. Nos recherches ont montré que les organisations dont l'hygiène en matière de cybersécurité est très médiocre - classées D ou F - subissent des violations 35 fois plus souvent que les organisations classées A.

4,45 millions de dollars

Coût moyen d'une violation de données en 2023, selon IBM

Quels sont les moyens les plus efficaces mis en œuvre par les villes pour améliorer leur position en matière de cybersécurité ?

Van den Broeck : Un certain nombre de rapports et d'études, qu'ils émanent de Mastercard ou d'autres acteurs du secteur, identifient systématiquement plusieurs facteurs susceptibles de contribuer à une violation. Il s'agit notamment des logiciels obsolètes, qui n'ont pas pu recevoir de mises à jour de sécurité depuis un certain temps, et des cas où des services sensibles sont exposés à l'internet public alors qu'ils ne devraient pas l'être. Pensez aux bases de données et aux outils d'accès à distance.

La bonne nouvelle, c'est que les villes que nous avons surveillées ces dernières années affichent des notes globales plus élevées, ce qui témoigne d'une meilleure cyberhygiène. Nous avons constaté une amélioration générale dans huit des neuf domaines de sécurité que nous évaluons, et les gains ont été réalisés aux bons endroits, notamment en ce qui concerne la sécurité du courrier électronique et des systèmes de noms de domaine, les correctifs logiciels et le cryptage des sites web.

Pour les villes moins bien notées, quelles sont les mesures les plus simples et les plus immédiates qu'elles pourraient prendre ?

Van den Broeck : RiskRecon préconise une approche qui tient compte de la gravité du problème auquel une organisation est confrontée et de la sensibilité du système qu'il affecte. Les logiciels obsolètes sont depuis longtemps l'une des vulnérabilités les plus dangereuses pour une entreprise, et cela ne devrait pas changer de sitôt. Cela devrait être une priorité.

Le développement d'une cyberhygiène solide prend du temps, il est donc toujours important d'évaluer les moyens d'atténuer les risques tout au long de votre parcours en matière de cybersécurité. Il existe des ressources qui peuvent aider les villes, quelle que soit leur taille. Les agences de cybersécurité à différents niveaux de gouvernement et les équipes d'intervention en cas d'urgence informatique ont des missions étendues qui contribuent à sécuriser l'internet. Mastercard est également fière de soutenir plusieurs organisations qui fournissent des services de cybersécurité gratuits, notamment le CyberPeace Institute, la Global Cyber Alliance et la Shadowserver Foundation.

Comment les villes qui font appel à des fournisseurs tiers peuvent-elles s'assurer qu'elles ne se rendent pas vulnérables ?

Van den Broeck : Il est essentiel pour les entreprises de comprendre le risque lié aux tiers, surtout si l'on considère la complexité des chaînes d'approvisionnement en expansion et l'incidence accrue des violations de tiers. Dans le domaine de la cybersécurité, il existe un phénomène selon lequel des organisations similaires utilisent les mêmes types de technologies parce qu'elles ont besoin de certaines capacités et décident de s'appuyer sur les mêmes logiciels, ou même lorsqu'il existe quelques fournisseurs spécialisés qui répondent aux besoins de ces organisations. Il en résulte une concentration systémique du risque cybernétique qui peut avoir des conséquences catastrophiques si l'un de ces prestataires de services ou fournisseurs de logiciels est touché par un événement lié à la cybersécurité.

Dans notre récente enquête avec l'Institut Cyentia, "The state of third-party risk management", nous avons constaté que 23% des personnes interrogées ont indiqué que leur organisation avait subi une violation de la sécurité de la part d'un tiers. La mise en place d'un solide programme de gestion des risques liés aux tiers est aujourd'hui une nécessité. Nous avons dépassé le stade où la diligence raisonnable se limite à la phase d'intégration du fournisseur. Au contraire, les organisations ont besoin d'une visibilité en temps réel sur leurs tiers pour bien comprendre et gérer leurs risques.

Que diriez-vous aux villes qui pensent être trop petites pour être ciblées ?

Il est intéressant de noter que nous avons vu les risques de cybersécurité apparaître de manière inattendue dans les villes et les gouvernements de plus petite taille, car ils partagent de nombreuses ressources pour gagner en efficacité. Cela signifie qu'une vulnérabilité dans un système peut suffire à mettre hors service les services de nombreuses municipalités, comme nous l'avons vu lors d'une attaque par ransomware qui a touché 23 petites villes du Texas il y a quelques années. Il est facile de penser que l'on n'est pas la cible d'une cyberattaque parce que le motif n'est pas évident, mais les incidents que nous continuons à observer prouvent le contraire.

There’s a cyber talent gap. Training deaf people may help

Il n'y a pas assez de personnes qualifiées pour occuper les emplois dans le domaine de la cybersécurité. La formation des personnes sourdes et malentendantes peut renforcer les cyberdéfenses.

Une femme signe devant un ordinateur dans un bureau.

Que cherchez-vous ?

Contenu proposé

Mastercard lance Merchant Cloud pour simplifier et soutenir la croissance du commerce dans l'écosystème mondial d'acceptation.

Annonce du Mastercard Circle of Honor, un programme de reconnaissance des clients célébrant les équipes remarquables qui utilisent les services Mastercard pour avoir un impact sur le monde réel.