Plus de la moitié des spécialistes et des cadres du secteur public (57 %) déclarent ne pas disposer de budgets suffisants en cybersécurité pour faire face aux attaques de pirates à l'ère de l'IA. Dr Barbara Korte, responsable cybersécurité chez Sopra Steria Allemagne, s'interroge : que peuvent faire les décideurs pour améliorer leur cybersécurité avec les ressources existantes ?
La problématique des budgets insuffisants a été mise en lumière dans l'étude récente de Sopra Steria « La cybersécurité à l'ère de l'IA ». Parallèlement, le rapport de situation du BSI 2024, publié à l'automne, dresse un tableau préoccupant de cette menace : les attaques DDoS contre l'administration publique augmentent de manière significative, tant en fréquence qu'en sophistication. Les infrastructures cloud, notamment les clouds publics, deviennent des cibles privilégiées. De plus, l'utilisation croissante des modèles d'IA multiplie les risques potentiels pour la sécurité de l'information, tant en matière de confidentialité que d'intégrité.
Sur le plan réglementaire, la directive européenne NIS2 était censée apporter une certaine sécurité juridique et faciliter la planification. Mais sa mise en œuvre tardive a généré une grande confusion : projets successifs aux périmètres variables, exigences changeantes, renvois à des réglementations encore à publier et estimations floues des coûts de conformité.
Malheureusement, la cybersécurité a un coût, et il n'existe pas de solution miracle. Face à ces contraintes budgétaires, voici quelques pistes concrètes qui démontrent comment le secteur public peut, avec ses ressources actuelles, améliorer sensiblement l'efficacité de sa cybersécurité.
Faire asseoir tout le monde autour de la table
Il ne fait aucun doute qu'une coopération renforcée et un meilleur échange d'informations entre l'administration, le monde scientifique, les entreprises et la société civile sont nécessaires.
De même, l'administration publique dans son ensemble gagnera en sécurité si les schémas d'attaque sont partagés via des portails d'information sur les menaces, mis à disposition gratuitement par le gouvernement fédéral et les régions aux secteurs potentiellement concernées.
Par ailleurs, la mutualisation des équipes d'intervention d'urgence informatique (CERT) s'avère bien plus économique que le maintien de ressources dédiées dans chaque entité.
En Allemagne, l'architecture de cybersécurité se caractérise par une forte fragmentation. Pourtant, la coopération est nécessaire pour accroître l'efficacité sans augmenter les coûts. Cela suppose de réunir les acteurs autour d'une table et d'évaluer quelles institutions sont, d'un point de vue structurel et technique, les mieux placées pour assumer à l'avenir des missions mutualisées. Des associations comme Bitkom, l'Alliance nationale pour la cybersécurité ou la Quadriga du Pacte national pour la cybersécurité sont prêtes à engager ces discussions. Ce travail préparatoire est également indispensable pour anticiper les transformations structurelles de la prochaine législature.
Utiliser les offres de formation gratuites
Selon l'étude de Sopra Steria, les décideurs publics identifient un manque d'expertise (65 %) et une faible sensibilisation aux menaces liées à l'IA comme deux obstacles majeurs à une meilleure cybersécurité.
Ce besoin d’expertise est réel et réalisable : l'administration publique bénéficie d'un atout considérable grâce aux ressources proposées par l'Office fédéral de la sécurité des technologies de l'information (BSI) : les standards applicables à la sécurité de l'information dans l'administration (BSI IT-Grundschutz Standard 200-1 à 200-4) sont disponibles gratuitement, accompagnés de consignes, de guides de mise en œuvre et de modèles simplifiés. Le BSI propose également l'intégralité du matériel pédagogique pour former gratuitement des praticiens IT-Grundschutz, facilement accessible sur son site.
Vingt années de plan fédéral ont permis de constituer un socle de personnel compétent en sécurité de l'information. Ces personnes peuvent bénéficier de formations continues de qualité et à moindre coût. Au minimum, certaines mesures organisationnelles peuvent être mises en œuvre sans dépenses supplémentaires, renforçant ainsi la capacité préventive des structures.
S'attaquer au maillon faible humain
En matière de sensibilisation, certaines mesures peu coûteuses peuvent être adoptées. La négligence humaine face aux politiques de mot de passe, l'insouciance lors de conversations professionnelles ou personnelles dans des lieux publics ou le fait de laisser un ordinateur portable déverrouillé facilitent inutilement les attaques. En 2024, le facteur humain figure encore en tête des six principales menaces dans l'étude Cloud Security du groupe technologique Thales. Les erreurs humaines et les mauvaises configurations représentent 31 % des incidents de données. Ces résultats rejoignent ceux de l'étude Sopra Steria : 43 % des personnes interrogées considèrent comme un risque majeur les réactions inadaptées des employés face aux attaques de phishing.
Parallèlement, l'analyse des mesures mises en place révèle l'ampleur du problème : seulement 48 % des organisations proposent une formation régulière à la cybersécurité, et seulement 44 % disposent de directives pour l'accès à l'infrastructure IT depuis le domicile.
L'usage encore largement non réglementé de l'IA dans la vie quotidienne aggrave la situation. Dans notre étude, 50 % des répondants utilisent des applications d'IA au moins une fois par mois dans leur travail quotidien. Pourtant, seuls 27 % des employeurs ont prévu une formation ou des règles d'usage spécifiques. Cette situation ouvre grand la porte aux risques liés à l'IA, maintes fois signalés par le BSI. Il est donc urgent d'agir en matière de sensibilisation.
Trois suggestions peu coûteuses
- La sensibilisation
Des directives internes sur l'usage des services cloud, des appareils mobiles hors bureau ou des modèles d'IA peuvent être rédigées en quelques jours ouvrés par les spécialistes internes à partir de la documentation du BSI.
- La fréquence des formations
Le matériel de formation existant devrait être diffusé plus régulièrement, en l'associant éventuellement à une obligation de participation ou de justification de suivi.
- Encourager la réflexion individuelle
Chaque collaborateur doit régulièrement vérifier s'il applique bien les mesures de sécurité élémentaires (changement de mot de passe, utilisation d'un VPN, filtre de confidentialité pour écran). Les institutions peuvent soutenir ces réflexes via des campagnes internes automatisées, sans trop investir.
Ne pas considérer ces mesures comme provisoires
Aucune des mesures mentionnées ci-dessus ne suffira, à elle seule, à garantir une cybersécurité optimale dans les administrations allemandes. Mais même la meilleure des solutions techniques, aussi coûteuse soit-elle, n'y parviendra pas non plus de manière isolée. D'ailleurs, même avec un budget plus conséquent, les autorités fédérales, régionales et locales devraient suivre ces conseils.
Ces actions ne doivent donc pas être perçues comme des palliatifs pour tenir l’année 2025. Elles constituent des étapes nécessaires que le secteur public devra franchir, en coopération avec les associations et les partenaires économiques, et qu'il peut, contrairement à d'autres initiatives, déjà entreprendre malgré les contraintes budgétaires.