L’organisme américain de politique étrangère manque cruellement de gestion des risques
WTF ?! Un nouveau rapport du Government Accountability Office (GAO) des États-Unis souligne à quel point la diplomatie américaine ne connaît pas (encore) le sens des « pratiques de cybersécurité ». Le Département d’État dispose d’un véritable programme de gestion des risques en matière de cybersécurité, mais ce n’est que sur papier.
Le rapport GAO-23-107012 du GAO américain a enquêté sur la triste situation des cyber-affaires au Département d’État américain, l’organisme gouvernemental qui mène la diplomatie américaine et contribue à façonner la politique étrangère américaine. Sécuriser les systèmes informatiques qui soutiennent la mission de l’État devrait être un objectif crucial, et c’est un objectif que le ministère a exceptionnellement bien réussi à échouer jusqu’à présent.
Le rapport du GAO indique que le Département d’État a déjà documenté un programme de gestion des risques de cybersécurité qui « répond aux exigences fédérales ». Le programme a identifié les rôles et responsabilités en matière de gestion des risques, ainsi qu’une stratégie de gestion des risques appropriée. Le plan, cependant, n’a pas été « entièrement » mis en œuvre, et le Département d’État ne peut même pas identifier ou surveiller les risques pour ses actifs informatiques – ni le nombre d’actifs informatiques qu’il possède réellement.
Le rapport complet indique que le Département d’État américain n’est « probablement pas pleinement conscient » des vulnérabilités en matière de sécurité de l’information et des cybermenaces qui affectent ses opérations de mission. L’État dispose d’une « équipe de réponse aux cyberincidents » adéquate pour surveiller et identifier les problèmes de sécurité 24 heures sur 24 et 7 jours sur 7, mais il lui manque des « processus entièrement mis en œuvre » qui soutiennent son programme de réponse aux incidents.
Le Département d’État américain n’a « pas suffisamment sécurisé » son infrastructure informatique, et c’est peut-être un euphémisme de l’année, car l’organisme gouvernemental utilise probablement encore des PC basés sur Windows XP. Certaines installations de systèmes d’exploitation étaient arrivées en fin de vie « il y a plus de 13 ans », confirme le GAO, ce qui correspond presque exactement à la fin du support général de XP le 14 avril 2009. Microsoft a fourni un support étendu pour son légendaire système d’exploitation PC jusqu’à 8 avril 2014.
D’autres problèmes liés à l’infrastructure informatique incluent 23 689 « systèmes matériels » et 3 102 installations de systèmes d’exploitation de réseau et de serveur qui ont atteint leur fin de vie et ne sont plus prises en charge. Lorsque la sécurité informatique ne donne pas suffisamment de raisons de s’inquiéter, remarque le rapport du GAO, le Département d’État américain réussit très bien à se saboter grâce à ses pratiques bureaucratiques et sa structure fédérée.
L’État a réparti les responsabilités de gestion informatique entre son DSI et ses sous-organisations, avec une « culture isolée » qui favorise le manque de communication et est en fin de compte responsable de nombreuses carences identifiées dans le rapport. En raison de ce problème de communication, explique le GAO, la base de données de gestion des configurations d’entreprise (ECM) du ministère ne peut pas fournir une image complète de tout le matériel et des logiciels encore utilisés. La base de données ECM ne contient apparemment absolument aucune donnée sur les actifs informatiques utilisés dans 20 avant-postes diplomatiques de l’État.
Le GAO a préparé 15 recommandations pour résoudre les nombreux problèmes découverts dans l’infrastructure informatique du Département d’État américain. En outre, le Bureau de surveillance publiera ultérieurement un autre rapport à « diffusion limitée » mettant en avant 500 recommandations supplémentaires pour remédier au triste état de choses du corps diplomatique américain.
