Les violations de données et les failles de sécurité se produisent tous les jours. Nous ne pouvons pas faire grand-chose à ce sujet si nous voulons participer à la société moderne, sauf peut-être remplacer les entreprises avec lesquelles nous interagissons par leurs concurrents si nous supposons que l’une d’entre elles est plus sûre. Il y a un service avec lequel nous n’avons pas le choix d’interagir, quelle que soit la visibilité de ses incidents de sécurité : le gouvernement fédéral.
Une violation du Bureau de la gestion du personnel a annoncé en 2015 qu’il avait divulgué des dossiers d’enquête sur les antécédents, affectant 21,5 millions de personnes, selon l’agence. Le piratage très médiatisé de Solarwinds découvert en 2020 a exposé des dossiers gouvernementaux et commerciaux à des initiés russes. Plus tôt cette année, la division US Marshals Service du ministère de la Justice est devenue une cible, lorsque des pirates ont volé des informations personnelles sur les cibles d’enquête, le personnel et plus encore.
Les attaques étaient ciblées, recherchant généralement un certain type d’informations sensibles sur l’État. Mais nous avons tous des informations sensibles stockées dans des agences fédérales telles que nos numéros de sécurité sociale ou nos adresses personnelles. Probablement encore plus d’informations sont en jeu si vous utilisez des services fédéraux comme l’assurance-maladie, les prêts étudiants ou les prestations SNAP. Nous n’avons pas d’autre choix que de donner au gouvernement fédéral l’accès à nos informations personnelles en échange de certains services, à moins que vous ne lisiez ceci en vivant hors réseau.
« Si nous voulons vivre à l’ère de l’information et que nous utilisons certains de ces systèmes, nous abandonnons intrinsèquement le contrôle », a déclaré à Engadget Kevin Cleary, professeur adjoint clinique de sciences et systèmes de gestion à l’Université de Buffalo. « Vous devez avoir confiance que cette agence a mis en avant tous les meilleurs contrôles et pratiques. »
En réponse, le gouvernement fédéral a développé des agences comme l’Agence de la cybersécurité et de la sécurité des infrastructures pour mener de meilleures initiatives de sécurité dans tous les départements. Cela vise en partie à vous aider à vous sentir un peu mieux dans le stockage de vos données sur des serveurs fédéraux en établissant des normes plus élevées pour la protection de vos données. Selon Michael Duffy, directeur associé de la division de la cybersécurité au CISA, depuis la création de l’agence en 2018, c’est le fer de lance du plus grand progrès qu’il ait vu dans sa carrière fédérale en cybersécurité.
Ainsi, les choses s’améliorent et vous pouvez probablement faire confiance au gouvernement fédéral pour protéger vos données de la même manière que vous faites confiance aux entreprises avec lesquelles vous interagissez au quotidien. Ce qui rend le gouvernement si différent, cependant, c’est qu’il s’agit d’une cible très médiatisée. Les pays adversaires veulent avoir accès aux secrets d’État alors que, dans le même temps, il est difficile de donner la priorité aux dépenses consacrées aux mesures de sécurité. Obtenir des fonds des contribuables pour combler un nid-de-poule sur votre autoroute locale est déjà assez difficile lorsque les dommages sont tangibles et évidents, tandis que la sécurité est difficile à quantifier les avantages jusqu’à ce qu’une attaque se produise. En d’autres termes, la valeur des investissements en sécurité n’est pas prouvée avant qu’il ne soit déjà trop tard.
Cela s’est amélioré. Les investissements en sécurité au sein du gouvernement fédéral tendent largement à la hausse. Pourtant, ce n’est pas assez. « Parfois, leurs budgets ne leur permettent pas de faire chaque étape ou tout ce qu’ils aimeraient faire, parce que vous n’avez tout simplement pas l’argent », a déclaré Marisol Cruz Cain, directrice des technologies de l’information et de la cybersécurité chez GAO.
Mais la raison pour laquelle le gouvernement fédéral peut sembler moins sûr est à cause de son obligation de transparence. Il est de la responsabilité de partager les leçons apprises après un incident et de s’assurer que les citoyens savent ce qui s’est passé. C’est en fait une grande partie du travail de CISA. « Nous cherchons vraiment des moyens de rendre plus acceptable le fait de lever la main et de dire que c’est ainsi que nous avons été attaqués ou qu’un incident s’est produit », a déclaré Duffy.
Le gouvernement interagit également avec une tonne d’entreprises extérieures. Ainsi, disons qu’un entrepreneur du gouvernement subit une violation ou un incident de sécurité, cela signifie que les données détenues dans la technologie fédérale pourraient être exposées. Cela ouvre une multitude de nouveaux vecteurs d’attaque et de possibilités de faute professionnelle.
Vous pouvez réellement voir à quel point certaines agences sont sécurisées grâce au Government Accountability Office (GAO) et à des lois telles que la loi fédérale sur la réforme de l’acquisition des technologies de l’information. Ce dernier documente les efforts de modernisation technologique dans les principales agences, y compris la cyber-préparation. Le GAO, pour sa part, audite les efforts de cybersécurité et développe des évaluations d’impact sur la vie privée qui sont des descriptions accessibles au public sur les informations que l’agence collecte, comment elles les utilisent et plus encore.
Mais avec tous ces audits viennent une conclusion relativement sombre. Les agences n’évaluent pas leurs politiques et procédures pour s’assurer que des incidents très médiatisés ne se produisent pas régulièrement, a déclaré Cruz Cain. Vos informations seront sur ces serveurs, que cela vous plaise ou non.