Flexible Security for Your Peace of Mind

Comprendre la stratégie nationale de cybersécurité du Royaume-Uni qui vise la cyber-résilience en 2022

Les données du gouvernement britannique montrent qu’au cours de l’année dernière, le nombre de cyberattaques contre les entreprises britanniques ont augmenté. Aujourd’hui, près d’une entreprise sur trois déclare subir des violations ou des attaques au moins une fois par semaine.

À la lumière de la fréquence accrue des attaques contre le Royaume-Uni, le gouvernement a établi sa stratégie nationale de cybersécurité pour 2022 avec la cyber-résilience comme point central.

Le défi de la cybersécurité

Face à la cybermenace croissante, le Royaume-Uni reconnaît qu’« il reste un écart important entre la cyber-résilience gouvernementale actuelle et ce qu’elle devrait être ». Cet écart est illustré par un niveau insuffisant de sensibilisation, de capacité, de maturité et d’investissement en matière de cybersécurité par les organisations gouvernementales.

D’autres défis attendent le Royaume-Uni, parmi lesquels :

Attaques de ransomwares contre les municipalités et leur impact sur les services publics

  • Les attaquants des États-nations, où le Royaume-Uni est devenu le troisième pays le plus ciblé au monde derrière l’Ukraine et les États-Unis ;
  • La lutte pour retenir et embaucher de nouveaux professionnels de la cybersécurité ;
  • Concurrence interne pour attirer ces cyberprofessionnels « au détriment de la rétention des connaissances et du changement soutenu » ;
  • La nécessité d’améliorer la cyber-résilience dans un monde de plus en plus numérique, comme l’illustre de façon spectaculaire la pandémie de COVID-19 et le changement dans la façon dont le gouvernement fait ses affaires.

Les piliers stratégiques de la cybersécurité résiliente

L’approche britannique de la résilience repose sur deux piliers stratégiques complémentaires :

  1. Construire une base solide en « veillant à ce que les organisations gouvernementales disposent des structures, des mécanismes, des outils et du soutien appropriés pour gérer leurs risques de cybersécurité ».
  2. Mettre en place une posture de résilience dans toutes les organisations gouvernementales qui « exploitera la valeur du partage des données, de l’expertise et des capacités de cybersécurité… pour présenter une force défensive disproportionnellement plus puissante que la somme de ses parties. » Cela inclut la répétition sans trève de process et notamment l’identification des mots de passe faibles et compromis ainsi que le blocage des attaques par pulvérisation de mot de passe qui essaient de pénétrer de nombreux comptes à partir d’un même mot de passe.

Chaque organisation gouvernementale doit avoir les moyens de comprendre les risques de cybersécurité avec des « assurances solides » et une responsabilité partagée par toutes les organisations. Cela sera renforcé par le Government Cyber Coordination Center (GCCC), né de la fusion entre le GCCC et d’autres agences de sécurité.

Objectifs de résilience en matière de cybersécurité du gouvernement britannique

La mise en place d’une meilleure résilience en matière de cybersécurité répondra aux objectifs suivants :

  • Évaluer un événement ou une violation de cybersécurité et minimiser les dommages avant qu’ils n’affectent les services et les fonctions du gouvernement.
  • Répondre à tout incident de cybersécurité avec des mécanismes qui mettent à l’essai et testent les plans de réponse aux incidents – là encore, en garantissant une interruption minimale des services gouvernementaux pour le secteur public.
  • Cultiver les connaissances et les compétences en matière de cybersécurité et établir une culture de sensibilisation à la cybersécurité dans l’ensemble du gouvernement.

En fin de compte, la stratégie nationale de cybersécurité du Royaume-Uni peut être résumée comme suit :

  1. La nature du risque doit être comprise.
  2. Le gouvernement doit prendre des mesures pour sécuriser les systèmes afin de prévenir et de résister aux cyberattaques.
  3. Tout le monde doit comprendre et reconnaître que certaines attaques se produiront encore. La préparation, cependant, doit être suffisamment résiliente pour minimiser l’impact et fournir des solutions de récupération.

La première ligne de cyberdéfense

En 2018, le gouvernement britannique a introduit le MCSS (Minimum Cyber Security Standard) qui énonce clairement les normes techniques et les résultats obligatoires en matière de cyber-résilience que tous les ministères se doivent d’atteindre. Les normes 6 et 7 se concentrent sur la protection des systèmes opérationnels clés et des comptes privilégiés. Chaque ministère individuellement se doit de ne plus être vulnérable face aux cyberattaques courantes.

La première ligne de défense contre les cyberattaques est renforcée lorsque la sécurité des mots de passe est prise au sérieux. Étant donné qu’ajourd’hui, plus de 85 % des violations liées au piratage sont dues à des informations d’identification perdues ou volées, une politique de mot de passe forte capable d’appliquer des mots de passe forts et de bloquer les mots de passe compromis est essentielle.

Comme les mots de passe sont vulnérables aux attaques, il n’est pas très surprenant que les attaques précisément liées aux mots de passe soient en augmentation. Notre rapport Specops sur les mots de passe faibles fournit des informations troublantes :

  • La longueur du mot de passe et la variété des caractères ne sont pas des garanties contre le piratage
    • Des mots de passe de 8 caractères ou plus ont été utilisés à 93 % dans les attaques par force brute.
    • 68 % des mots de passe utilisés dans les attaques réelles comprenaient au moins deux caractères spéciaux.
  • Plus de la moitié (54 %) des organisations manquent d’outils pour gérer les mots de passe professionnels.
  • Dans un peu moins de la moitié (48 %) des organisations, n’importe qui peut appeler un service d’assistance informatique sans vérification de l’utilisateur.

Les politiques de mot de passe standard ne suffisent pas

Les fonctionnalités de stratégie de mot de passe prêtes à l’emploi de Microsoft ne répondent toujours pas aux exigences de sécurité et de conformité et n’ont tout simplement pas évolué suffisament face à la complexité des menaces d’aujourd’hui. Specops Password Policy comble cette lacune empêchant les attaques par mot de passe par force brute d’aboutir et en empêchant les attaquants d’entrer dans les principaux systèmes supports. De plus, Specops Password Auditor identifie les mots de passe faibles et compromis existants devant nécessairement être modifiés afin qu’ils ne constituent pas une menace pour la sécurité de l’entreprise.

Vous voulez en savoir plus ? Découvrez comment votre organisation peut bloquer plus de 3 milliards de mots de passe compromis dans votre environnement Active Directory grâce à notre essai gratuit.

(Dernière mise à jour le 10/10/2022)

Revenir sur le blog

© 2025 Specops Software. All rights reserved.

Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.

Politique de confidentialité

OK