Audit du Contrôle fédéral des finances

La Confédération sommée d’agir pour renforcer la cybersécurité de son administration

Selon un audit du Contrôle fédéral des finances (CDF), il convient d’améliorer les mesures de cyberprotection de la Confédération. Notamment en accélérant les processus de notification d'incidents, ainsi qu'en établissant un inventaire général des outils de fournisseurs externes.

(Source: gorodenkoff / iStock.com)
(Source: gorodenkoff / iStock.com)

Le Contrôle fédéral des finances (CDF) s'est penché sur l'efficacité des processus de cybersécurité de l'administration fédérale. En particulier sur la capacité du Centre national pour la cybersécurité (NCSC) à agir contre les vulnérabilités et cyberincidents. Le rapport du CDF conclut que le processus de gestion des incidents est défini, publié et appliqué. Toutefois, de nombreuses lacunes et améliorations potentielles sont constatées.

Lenteur du processus de notification au NCSC

Pour aider les différents services et départements fédéraux à lutter contre une cybermenace, le NCSC dépend des informations qui lui sont transmises. Or, il apparaît que la notification des cyberincidents n’est pas suffisamment rapide. «Le CDF a constaté que la communication avec le NCSC doit encore être développée. Ainsi, la gestion des incidents au niveau horizontal, notamment les échanges d’informations entre fournisseurs de prestations, n’est pas encore assurée partout. En outre, les délégués à la sécurité informatique des départements doivent être informés plus vite», indique le rapport. Qui évoque deux cyberincidents qui ont touché un service interne et un fournisseur externe. Il s'est respectivement écoulé 13 jours et 11 jours avant que le NCSC soit mis au courant. Dans sa réponse au CFD, le NCSC affirme qu’il accordera toute l'attention requise à l'optimisation des procédures de notification des cyberincidents.

L’audit du CFD constate en outre que le rôle des délégués à la sécurité informatique des unités administratives (DSIO) devrait être renforcé, spécialement dans les petites unités administratives. La notification immédiate au NCSC peut parfois être retardée en cas d’absence des DSIO, car ils n’ont pas de suppléant.

Manque de traçabilité des applicatifs

Le rapport soulève aussi un problème majeur, concernant l’absence d'une vue d’ensemble des fournisseurs de prestations externes. «En cas de cyber-incident, il n’est pas possible de déterminer rapidement quelles applications et quels services sont gérés par quel fournisseur pour quelle unité administrative», note le CFD. Avant de préconiser d’établir un inventaire général. Le NCSC y convient, précisant qu’en collaboration avec les départements et la Chancellerie fédérale, «les informations disponibles pour la tenue d'une vue d'ensemble à l'échelle fédérale des fournisseurs de prestations informatiques externes ainsi que de leurs prestations seront examinées dans la mesure du possible».

Le rapport évoque encore la nécessité d’harmoniser et de centraliser l’acquisition d’outils de surveillance au niveau de l’administration fédérale. Car actuellement, différents outils dotés de fonctions identiques ou similaires sont employés.

Webcode
DPF8_270493