lundi 15 avril 2013

Cybersécurité Australie : du "Top 35" à "Infosec 4"

Je signalais en décembre 2012 la réactualisation du "top 35" du DSD (1), le guide de recommandations en matière de protection et de défense des systèmes d'information étatiques australiens. Ces derniers jours, le Protective Security Policy Framework (PSPF - le cadre politique de la sécurité et de la protection) du gouvernement australien vient, à son tour, d'être réactualisé. En conséquence, chacune des agences devra dorénavant mettre en œuvre les 4 mesures essentielles du "top 35".


Appelées Infosec 4, ces 4 piliers englobent la tenue d'une liste blanche des applications et des programmes autorisés à s'exécuter, le patching des applications "génériquement" vulnérables (Adobe, Java, Flash, Office), le patching des systèmes d'exploitation et la limitation drastiques des privilèges des droits d'administrateur. Le DSD doit également mettre à jour l'Information Security Manual (ISM - manuel de la sécurité de l'information) qui est en fait un triptyque comprenant la doctrine, la politique de sécurité des systèmes d'information (PSSI) gouvernementale et enfin les déclinaisons technico-pratiques. 

A partir du 1er août 2013, chaque agence devra fournir à son ministère de tutelle un rapport de conformité au PSPF, incluant un état d'avancement Infosec 4. Aucune date de mise en œuvre complète de ces mesures essentielles n'a été déterminée car ce sera à l'agence elle-même de la fixer. Un choix assurément étonnant mais qui pourrait se révéler in fine intelligent car obligeant chaque direction d'agence à devoir agir sans délai. Toute attaque informatique réussie, et qui entraînerait des impacts importants, pourrait lui être alors reprochée. D'autant plus durement que la direction aura traîné des pieds ou aura été négligente dans l'application de ces mesures de sécurité essentielles. 


(1) Toutes proportions gardées, le Defence Signals Directorate (DSD) est à l'Australie ce que la NSA est aux États-Unis.

Aucun commentaire: