Cybersécurité – Mesures à prendre par les représentants élus et les dirigeants d’organismes gouvernementaux

Lorsque les représentants sont élus ou nommés, ils prêtent serment afin de confirmer leur volonté de bien remplir leurs fonctions. Ce serment consiste à jurer qu’ils feront « du mieux qu’ils pourront » pour représenter ceux qui les ont élus ou nommés, et ce, de manière « honorable et intègre ».

Pour les gouverneurs, les maires, les législateurs et même pour les dirigeants nommés à la tête d’organismes, cette volonté doit se traduire par une gestion efficace des ressources de façon à offrir d’excellents services aux citoyens. En cette ère numérique, alors que davantage de gens et d’appareils sont connectés, la volonté de « faire de son mieux » sous-tend le recours aux technologies appropriées en vue d’améliorer les services aux citoyens sans les exposer aux conséquences découlant d’une atteinte à la cybersécurité.

Bien que l’application des mesures de protection ou de correction en matière de cybersécurité ne relève pas explicitement des fonctions de nos représentants, ceux-ci peuvent « faire de leur mieux » pour assurer une sécurité efficace au sein de toute infrastructure technologique ainsi que dans le cadre d’efforts futurs de modernisation ou d’innovation.

Malgré les défis liés à la cybersécurité, on constate une adoption croissante de la numérisation, et les citoyens s’attendent à ce que les gouvernements en tirent parti. Il est déjà difficile pour les spécialistes de suivre le rythme du progrès technologique; c’est un défi supplémentaire pour les élus, qui commencent à prendre conscience à quel point les technologies constituent un atout et un multiplicateur de forces pour l’amélioration des services aux citoyens. Par où peuvent-ils donc commencer pour comprendre les risques liés aux cyberincidents et les atténuer?

Dans un billet de blogue précédent, j’ai indiqué dix questions que devraient se poser les représentants élus à propos des programmes de cybersécurité au sein de leurs collectivités. Ici, j’aimerais présenter les principales mesures de la liste de vérification de la cybersécurité pour les représentants élus issue du Guide sur la cybersécurité et la gestion du risque publié conjointement par le Governing Institute et CGI.

• Tirez parti du cadre de gestion de la cybersécurité du National Institute of Standards and Technology (NIST) pour mesurer le degré de maturité des programmes de cybersécurité existants. Le cadre de gestion du NIST fournit une feuille de route pour cataloguer les actifs, évaluer les risques actuels et définir la priorité des améliorations. Cet outil peut aider les représentants élus à déterminer les priorités de leur budget d’investissement en cybersécurité en fonction des domaines de risques majeurs. Consultez le récent billet de blogue de mon collègue Mike Corby à ce sujet.
• Encouragez activement une culture axée sur la sécurité et exigez que tous les employés suivent une formation continue sur la sensibilisation à la cybersécurité. La plupart des intrusions impliquent deux parties : le pirate informatique qui tente de pénétrer le réseau, et l’employé mal informé qui ouvre par erreur le courriel acheminé par le pirate. Les élus doivent concrètement soutenir et encourager la formation sur la sensibilisation à la cybersécurité et en mesurer l’efficacité.
• Collaborez avec le secteur privé pour exercer vos activités en favorisant une culture axée sur la sécurité et la technologie. Les organisations des secteurs privé et public doivent collaborer afin de combattre les cybercriminels. Les représentants élus devraient encourager une étroite coordination entre les entreprises locales et les gouvernements, et adopter des pratiques mutuellement avantageuses telles que le partage de l’information concernant les menaces.
• Exigez des tableaux de bord qui illustrent l’évolution de la maturité des programmes de cybersécurité et le type de menaces repérées. Les tableaux de bord sur la cybersécurité peuvent prendre diverses formes. Certains, très détaillés, sont générés par des outils de cybersécurité. Les représentants élus devraient plutôt demander à consulter des tableaux de bord de haut niveau pour mesurer les améliorations de la posture de sécurité générale ainsi que la maturité des programmes de cybersécurité.
• Assurez la mise en œuvre d’outils et de technologies qui offrent des mesures constantes des capacités. Les revues périodiques de la protection d’une organisation ne sont plus suffisantes. Les représentants élus doivent s’assurer que leur organisation déploie des outils offrant des diagnostics et une surveillance en continu afin de mesurer leur posture en cybersécurité de façon régulière.

Bien que la cybersécurité soit un défi de taille dans le cadre de la numérisation des services gouvernementaux, elle ne devrait pas empêcher les élus et les dirigeants d’organismes à devenir des maîtres de l’innovation. Ceux-ci doivent simplement s’assurer que l’innovation est gérée de façon sécurisée en collaboration avec les dirigeants et partenaires pertinents. De cette façon, ils font « de leur mieux » pour servir les citoyens.