Les débats sur la cybersécurité en Australie au cours des dernières semaines se sont largement concentrés sur l'adoption du projet de loi controversé du gouvernement sur l'assistance et l'accès. Mais si l'accès du gouvernement aux messages cryptés est un sujet important, protéger l'Australie contre les menaces pourrait dépendre davantage de l'élaboration d'un plan de réponse solide et robuste en matière de cybersécurité.

L'Australie a publié ses premiers accords de gestion des incidents cybernétiques (CIMA) pour l'État, le territoire et les gouvernements fédéraux le 12 décembre. Il s'agit d'un pas louable vers une stratégie nationale globale de défense civile pour le cyberespace.

Au moins une décennie après que le besoin eut été annoncé pour la première fois par le gouvernement, ce n'est que la première étape d'un chemin qui demande beaucoup plus de développement. Au-delà de la CIMA, le gouvernement doit mieux expliquer au public les menaces uniques posées par les cyberincidents à grande échelle et, sur cette base, mobiliser le secteur privé et une communauté plus large d'experts pour faire face à ces menaces uniques.

L'Australie est mal préparée

L'objectif des nouvelles dispositions en matière d'incidents cyber est de réduire la portée, l'impact et la gravité d'un « incident informatique national ».

Un cyberincident national est défini comme étant d'importance nationale potentielle, mais moins grave qu'une « crise » qui déclencherait le cadre de gestion de crise du gouvernement australien (AGCMF).

L'Australie est actuellement mal préparée pour répondre à un cyberincident majeur, comme les attaques Wannacry ou NotPetya en 2017.

Wannacry a gravement perturbé le National Health Service du Royaume-Uni, pour un coût de 160 millions de dollars australiens. NotPetya a fermé la plus grande entreprise de conteneurs maritimes au monde, Maersk, pendant plusieurs semaines, lui coûtant 500 millions de dollars australiens.

Lorsque les coûts des cyberattaques aléatoires sont si élevés, il est essentiel que tous les gouvernements australiens disposent de plans d'intervention coordonnés en cas d'incidents à haut risque. La CIMA définit des modalités de coordination inter-juridictionnelles, rôles et responsabilités, et principes de coopération.

Une cyber-crise de plus haut niveau qui déclencherait l'AGCMF (un processus qui lui-même semble quelque peu sous-préparé) en est une qui « … entraîne une interruption durable des services essentiels, de graves dommages économiques, une menace pour la sécurité nationale ou des pertes en vies humaines. »

Plus de cyber-experts et d'exercices sur les cyberincidents

Avec seulement sept pages, au format brochure sur papier glacé, la CIMA ne définit pas de protocoles spécifiques de gestion des incidents opérationnels.

Il appartiendra aux gouvernements des États et des territoires de négocier avec le Commonwealth. Cela signifie que les protocoles développés peuvent être soumis à des priorités budgétaires concurrentes, appétit politique, niveaux divergents de cyber-maturité, et, le plus important, besoins en personnel.

L'Australie connaît une grave crise dans la disponibilité de cyber-personnel qualifié en général. C'est notamment le cas dans les domaines spécialisés nécessaires à la gestion des cyberincidents complexes.

Les agences gouvernementales ont du mal à rivaliser avec les grandes entreprises, comme les grandes banques, pour les recrues de haut niveau.

La crise des compétences est exacerbée par le manque de programmes d'éducation et de formation de haute qualité en Australie pour cette tâche spécialisée. Nos universités, pour la plupart, n'enseignez pas – ni même ne faites pas de recherche – sur les cyberincidents complexes à une échelle qui pourrait commencer à répondre aux besoins nationaux.

Le gouvernement fédéral doit agir rapidement pour renforcer et officialiser les ententes de collaboration avec les principaux partenaires non gouvernementaux – en particulier le secteur des affaires, mais aussi des chercheurs et des grandes entités à but non lucratif.

Fournisseurs d'infrastructures critiques, comme les compagnies d'électricité, devrait être parmi les premières entreprises ciblées pour la collaboration en raison de l'ampleur des retombées potentielles si elles étaient attaquées.

Pour aider à y parvenir, La CIMA présente des plans d'institutionnalisation, pour la première fois, exercices réguliers sur les cyberincidents qui répondent aux besoins à l'échelle nationale.

Une meilleure planification à long terme est nécessaire

Bien que ces mouvements soient un bon début, il y a trois tâches à plus long terme qui nécessitent de l'attention.

D'abord, le gouvernement doit construire un système cohérent, discours public crédible et durable autour de l'objectif de ses politiques en matière d'incidents cybernétiques, et les programmes d'exercices associés.

L'ancien ministre de la cybersécurité Dan Tehan a parlé d'une seule cyber-tempête, l'ancien Premier ministre Malcolm Turnbull a parlé d'une cyber-tempête parfaite (plusieurs tempêtes ensemble), et le cybercoordinateur Alastair McGibbon ont parlé d'une cybercatastrophe comme la seule menace existentielle à laquelle l'Australie était confrontée.

Mais il y a peu d'articulation dans le domaine public de ce que ces idées signifient réellement.

Les nouveaux dispositifs de gestion des cyberincidents sont censés fonctionner en deçà du niveau de la cyber-crise nationale. Mais le pays a un besoin urgent d'une stratégie de défense civile pour le cyberespace qui traite les deux niveaux d'attaque. Il n'y a aucune mention significative de cybermenaces sur le site Web de l'Australian Disaster Resilience Knowledge Hub.

Il s'agit d'une toute nouvelle forme de protection civile, et il peut avoir besoin d'une nouvelle forme d'organisation pour le faire avancer. Un nouveau, bras dédié d'une agence existante, tels que les Services d'urgence de l'État (SES), est une autre solution potentielle.

L'un d'entre nous (Greg Austin) a proposé en 2016 la création d'un nouveau "cyber corps civil". Il s'agirait d'un service discipliné reposant sur des engagements à temps partiel de la part des personnes les mieux formées pour répondre aux cyberurgences nationales. Un corps cyber civil pourrait également aider à définir les besoins de formation et contribuer aux modules de formation nationaux.

La deuxième tâche incombe aux entreprises privées, qui font face à des coûts potentiellement paralysants dans les cyberattaques aléatoires.

Ils devront développer leur propre expertise en matière de simulations et d'exercices cybernétiques. Sous-traiter ces responsabilités à des sociétés de conseil, ou des rapports ponctuels, produirait des résultats dispersés. Toute « leçon apprise » au sein des entreprises sur la gestion des imprévus pourrait ne pas être consolidée et partagée avec l'ensemble de la communauté des affaires.

La troisième tâche de toutes les parties prenantes est de mobiliser une communauté de connaissances en expansion dirigée par des chercheurs du monde universitaire, gouvernement et le secteur privé.

Ce qui existe en ce moment est minimaliste, et semble l'otage des préférences d'une poignée de hauts fonctionnaires du Centre australien de cybersécurité (ACSC) et du ministère de l'Intérieur qui pourraient ne pas être en poste dans plusieurs années.

La cyberdéfense civile est la responsabilité de l'ensemble de la communauté. L'Australie a besoin d'un comité permanent national pour la gestion des urgences en matière de cybersécurité et la résilience qui soit un partenariat égal entre le gouvernement, Entreprise, et spécialistes universitaires.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.