Le service a réduit de 84 % les délais de résolution spécifiques au DNS dans 6 000 organismes publics au Royaume-Uni.
Un système d’analyse automatisé a réduit le temps nécessaire pour corriger les vulnérabilités de cybersécurité dans les systèmes informatiques du secteur public, réduisant ainsi le temps médian de correction des cybervulnérabilités générales de 53 jours à 32 jours, et réduisant les délais moyens de correction spécifiques au DNS de 50 jours à huit.
Les résultats proviennent du nouveau service de surveillance des vulnérabilités (VMS) du gouvernement britannique, qui analyse en permanence plus de 6 000 organismes publics, depuis les cabinets de médecins et les ambulances jusqu’aux hôpitaux et à l’agence d’aide juridique, traquant chaque faiblesse identifiée jusqu’à ce qu’elle soit résolue. Le service détecte environ 1 000 types de vulnérabilités et traite environ 400 découvertes confirmées par mois, a indiqué le gouvernement.
« Les cyberattaques ne sont pas des menaces abstraites, elles retardent les rendez-vous du National Health Service, perturbent les services essentiels et mettent en danger les données les plus sensibles des personnes », a déclaré le ministre britannique du gouvernement numérique, Ian Murray, dans un communiqué annonçant les résultats lors de la conférence annuelle du gouvernement sur la cybersécurité et la résilience numérique. « Lorsque les services publics sont en difficulté, ce sont les familles, les patients et les travailleurs de première ligne qui en souffrent. »
Murray a également dévoilé un plan d’action cyber de 210 millions de livres sterling (266 millions de dollars) et le lancement de la toute première cyberprofession gouvernementale, un programme visant à recruter, former et fidéliser les talents en sécurité dans les services publics.
Comparaison favorable
Paul McKay, analyste principal vice-président chez Forrester, a déclaré que les chiffres se comparent favorablement aux références du secteur privé.
« Ces délais de réparation médians sont généralement meilleurs que les chiffres publiés par les fournisseurs de gestion des vulnérabilités dans des études de référence, qui enregistrent un temps de réparation moyen allant de quelques semaines à plusieurs mois en fonction de la criticité de la vulnérabilité et du fait qu’elle soit connue pour être exploitée dans d’autres organisations », a déclaré McKay.
Le plus gros problème dans la plupart des organisations n’est pas la vitesse de détection mais la communication, a déclaré McKay. Les équipes de sécurité qui ne peuvent pas expliquer pourquoi une découverte spécifique est importante ont tendance à voir des vulnérabilités s’accumuler non résolues. « De nombreuses équipes de sécurité ont du mal à y parvenir, submergeant les équipes technologiques avec des listes de milliers de vulnérabilités avec des délais SLA irréalistes pour les corriger », a-t-il déclaré.
L’écart entre les performances moyennes et les meilleures de leur catégorie, a-t-il ajouté, se résume à une chose : « la capacité d’exprimer clairement pourquoi les vulnérabilités sont importantes en termes d’impact sur l’entreprise et de montrer une exposition au risque réelle plutôt que théorique ».
Selon McKay, cette clarté de communication compte plus que les outils déployés par une organisation.
De bons outils, parlent mieux
Le VMS du gouvernement britannique utilise une combinaison d’outils d’analyse commerciaux et propriétaires pour détecter les vulnérabilités des actifs accessibles sur Internet.
Mais McKay met en garde contre toute conclusion erronée à partir des résultats.
« Le processus, la responsabilité et l’appropriation pour expliquer pourquoi cela est important pour la résilience de l’entreprise sont bien plus importants que les outils techniques », a-t-il déclaré. « Construire une approche de priorisation solide et une relation de confiance solide avec les pairs responsables du travail de mise à jour et d’application des correctifs compte bien plus que l’outil spécifique choisi. »
Le VMS du Royaume-Uni alerte les organisations responsables avec des « conseils spécifiques et exploitables » sur chaque découverte, plutôt que de générer des flux bruts de vulnérabilité, et suit les progrès jusqu’à ce que le problème soit résolu.
Le gouvernement a cité les vulnérabilités du DNS comme exemple spécifique. Avant le VMS, une faiblesse dans un enregistrement DNS gouvernemental pouvait passer inaperçue pendant près de deux mois. Le service a fermé cette fenêtre à huit jours.
Le communiqué ajoute également que le service s’étendra pour couvrir des catégories de vulnérabilités supplémentaires, et que les délais de correction devraient encore diminuer à mesure qu’il mûrit.
Le National Audit Office (NAO) du Royaume-Uni a toutefois signalé un problème que le VMS ne peut à lui seul résoudre.
Le défi de la main-d’œuvre
La nouvelle du succès du VMS survient un mois après que le NAO a signalé que la cybermenace contre le gouvernement est « grave et progresse rapidement », concluant que les niveaux de résilience étaient inférieurs aux estimations précédentes et déterminé que le gouvernement n’atteindrait pas ses propres objectifs de cyberrésilience pour 2025. Elle a identifié les déficits de compétences comme le plus grand risque pour la construction d’une cyber-résilience durable.
Le gouvernement a déclaré que la nouvelle Cyber Profession est une réponse directe à ces conclusions. Co-marqué avec le Centre national de cybersécurité (NCSC) et le Département de la science, de l’innovation et de la technologie (DSIT), il « établira un centre de ressources dédié à la cybersécurité, une cyber-académie gouvernementale, un programme d’apprentissage et des parcours de carrière structurés » alignés sur les normes du Conseil de cybersécurité du Royaume-Uni. Manchester servira de plaque tournante principale, ajoute le communiqué.
« Le lancement de la Cyber Profession gouvernementale contribuera à attirer et à retenir les professionnels les plus talentueux possédant les compétences de haut niveau nécessaires pour assurer la sécurité en ligne du Royaume-Uni », a déclaré Richard Horne, PDG du NCSC, dans le communiqué.
DSIT n’a pas répondu aux demandes de détails techniques supplémentaires sur le VMS au moment de la publication.
