Chaque année, l'institut National Association of State Chief Information Officers (NASCIO) publie le classement Top 10 énumérant les principales priorités stratégiques. Sans surprise, la cybersécurité et la gestion du risque a, une fois encore, remporté la première place en 2024. Cette priorité domine la tête de ce classement depuis plus d'une décennie, car les agences locales et nationales restent la cible d'un déluge de cyberattaques incessantes.
Pourtant, dans ce que NASCIO a appelé une « première historique », les services numériques gouvernementaux occupent également la première place cette année, à égalité avec la cybersécurité. Les services numériques gouvernementaux (ou services « d'e-gouvernement ») sont des services mis à la disposition du public et des entreprises grâce aux technologies de l'information et de la communication.
Doug Robinson, Executive Director de NASCIO, a commenté cette égalité : « La cybersécurité et les services numériques gouvernementaux constituent deux problématiques cruciales pour les DSI des États, et cela restera le cas pendant un certain temps. »
Peu de gens contesteraient cela, mais souvenez-vous qu'il s'agit d'une liste hiérarchisée. Ne devrait-il pas y avoir qu'un seul numéro 1 ?
À l'heure où tout ou presque est désormais disponible en ligne, le public exige que le gouvernement propose également des services numériques irréprochables. Le fait que la gestion de différentes tâches incombe à différentes agences ne devrait avoir aucune incidence sur la qualité des services. Les administrés ne devraient pas avoir à examiner de longues listes d'agences, identifier le site web concerné, puis créer un nouveau compte pour interagir avec les administrations. Aucun utilisateur ne devrait devoir s'acquitter d'une « redevance en temps » résultant de recherches complexes, de processus fastidieux, d'applications chronophages et de longs délais de réponse. Or, c'est aujourd'hui la réalité des services gouvernementaux dans la majeure partie du pays.
Les administrations locales et nationales en sont parfaitement conscientes. Le public n'en a peut-être pas conscience, mais les responsables gouvernementaux se soucient profondément de la mise en œuvre des services – et ils adoptent des dispositions en conséquence.
Par exemple, les États investissent dans des portails web accessibles au public, offrant un accès fluide à chacun des services qu'ils proposent, quelle que soit l'agence concernée. Lorsqu'ils modernisent les applications, ils appliquent les nouvelles directives en matière de conception centrée sur l'humain, afin de prioriser les utilisateurs. Ils associent l'authentification unique et l'authentification multifacteur sans mot de passe, afin que les utilisateurs n'aient à gérer qu'un seul identifiant (sans mot de passe !). Enfin, ils innovent en proposant des assistants numériques basés sur l'IA, afin de donner une réalité au projet d'avenir des services gouvernementaux.
Il ne fait aucun doute que des expériences numériques fantastiques contribuent à renforcer la confiance dans le gouvernement. Ces efforts intenses expliquent pourquoi les services numériques ont progressé jusqu'à atteindre la première place du classement Top 10 de NASCIO. Cependant, de mauvaises pratiques en matière de sécurité et de confidentialité peuvent compromettre ces efforts, et c'est pourquoi cette problématique occupe, elle aussi, la première place – d'où cette égalité.
Revenons maintenant à notre question : était-ce vraiment une surprise ? Évidemment que non ! Du point de vue du public, l'excellence des services numériques et la sécurité renforcée ne sont pas des priorités distinctes. Elles constituent une seule et même problématique.
La plus grande surprise que réserve le classement établi par NASCIO est peut-être la suivante : l'absence marquée de priorités telles que la « disponibilité », la « fiabilité » et la « résilience ». Peu de choses érodent plus rapidement la confiance que des services qui ne fonctionnent tout simplement pas.
Bien entendu, la disponibilité est une composante fondamentale de la sécurité, parallèlement à la confidentialité et à l'intégrité ; on pourrait donc dire qu'elle est implicite. Ces dernières années, toutefois, le terme « résilience » s'est imposé de manière plus explicite comme la pierre angulaire des systèmes dignes de confiance. Le terme « résilience » peut sembler être un mot plus sophistiqué pour désigner la disponibilité, mais il représente bien plus que cela. La résilience met en lumière une problématique essentielle : le renforcement de la confiance. NASCIO devrait envisager de l'énoncer explicitement, comme c'est le cas de la gouvernance, de l'expérience utilisateur, de l'accessibilité et des risques liés aux tiers.
Pour aider les entreprises à renforcer leur résilience, l'institut National Institute of Standards and Technology (NIST) a édité deux manuels 800-160 Special Publication consacrés aux systèmes dignes de confiance (vol. 1) et aux systèmes cyber-résilients (vol. 2). Une citation essentielle se démarque : « La confiance représente la capacité démontrée et, par conséquent, le mérite que l'on peut accorder à une entité pour sa propension à répondre aux attentes, et notamment à répondre aux attentes dans l'adversité ». En d'autres termes, la confiance est acquise par la capacité à continuellement répondre aux attentes, même dans un contexte difficile.
Or, un contexte peut rapidement devenir difficile lorsque des systèmes ralentissent ou cessent de répondre. La cause peut être un problème informatique, comme un rançongiciel (ou ransomware) ou une attaque par déni de service ; toutefois, il peut également s'agir d'un problème opérationnel, comme un pic de trafic inattendu ou une erreur humaine qui entraîne une véritable crise. Peu de personnes oublieront comment la pandémie a provoqué la cessation d'activité d'entreprises dans l'ensemble du pays, ni comment l'afflux de millions d'utilisateurs a entraîné la saturation des systèmes de demande d'allocations chômage des États, causant l'arrêt de sites web et de longs délais dans l'obtention de prestations essentielles. Ce genre d'échec dans l'adversité a contribué à saper la confiance dans les administrations d'État à un moment critique.
La bonne nouvelle, c'est qu'il existe un guide simple pour instaurer la confiance et la résilience dans vos services numériques, sans toutefois vous plonger dans les 500 pages des publications de NIST – ni attendre la publication du prochain classement Top 10 de NASCIO, l'année prochaine.
Nous vous invitons chaleureusement à explorer la série de publications 800-160 de NIST. Cependant, voici les cinq priorités essentielles à mettre en œuvre pour intégrer immédiatement la résilience à vos programmes de cybersécurité et de services numériques :
Atténuation des attaques DDoS
Les acteurs malveillants recourent aux attaques par déni de service distribué (DDoS) pour perturber les services, ou parfois simplement pour détourner l'attention d'une autre attaque. Les attaques DDoS submergent les systèmes avec du trafic provenant d'une multitude de sources, ce qui les rend difficiles à arrêter, même pour les fournisseurs d'accès Internet en amont. Toutefois, elles ne sont pas une fatalité. Aujourd'hui, vous pouvez connecter vos services numériques à un cloud de connectivité mondial et moderne, offrant la visibilité et l'expertise indispensables pour identifier et arrêter les attaques DDoS.
DNS sécurisé
À l'instar d'autres services Internet fondamentaux, le système DNS (Domain Name System) n'a pas été conçu dans l'optique de la sécurité. Les acteurs malveillants peuvent donc exploiter ses faiblesses et altérer la qualité de service, rediriger les utilisateurs vers des sites malveillants ou intercepter des e-mails. Les améliorations de DNS, à l'image du protocole DNSSEC (Domain Name System Security Extensions), ont évolué pour permettre l'authentification des requêtes DNS, mais n'offraient toujours pas de défense contre les attaques DDoS. Par conséquent, l'adoption d'une solution DNS sécurisée, réunissant des services DNS performants et le protocole DNSSEC, ainsi qu'une protection contre les attaques DDoS, doit être une priorité absolue pour garantir que vos services restent toujours disponibles et protégés contre les attaques basées sur DNS.
Protection des applications web
Les plateformes web sont continuellement la cible d'attaques reposant sur des vecteurs de menaces et des tactiques toujours émergents. Qu'il s'agisse de menaces déjà bien connues et définies par la fondation Open Worldwide Application Security Project (OWASP) ou de nouveaux vecteurs de menaces zero-day émergents, un pare-feu d'applications web (WAF, Web Application Firewall) moderne doit être en mesure de répondre à ces problématiques à grande échelle. La vérification des informations d'identification exposées, les mesures de contrôle centrées sur les API et la détection de données sensibles contenues dans les réponses constituent également des enjeux majeurs d'une approche globale de la protection des applications web. Ces contrôles doivent continuellement être mis à jour, afin de répondre à un panorama continuellement changeant. Par conséquent, pour identifier ces menaces émergentes et y répondre, vous devez envisager de faire appel à un fournisseur de pare-feu WAF tirant parti d'une solution d'apprentissage automatique, formée avec les informations issues d'un vaste réseau de détection, d'ampleur mondiale.
Services d'accélération des applications
L'amélioration de l'expérience utilisateur proposée par les services numériques ne repose pas uniquement sur l'architecture des applications et les principes de conception centrés sur l'humain, mais également sur la disponibilité et l'accélération des contenus présentés aux utilisateurs finaux. Les fonctionnalités avancées de mise en cache et de gestion de contenu, intrinsèquement intégrées aux dispositifs de sécurité décrits ci-dessus, sont des aspects essentiels pour améliorer les performances, la résilience et, en définitive, la confiance dans ces systèmes. Pour atteindre efficacement ces objectifs, les fournisseurs doivent disposer d'une empreinte distribuée, dans laquelle l'accélération et la sécurité sont étroitement liées.
Services d'accélération du réseau
Les fournisseurs qui exploitent le réseau d'infrastructure interconnectant leurs nœuds de services ou leurs points d'application des politiques (PEP, Policy Enforcement Point) améliorent la résilience d'une autre manière. Par exemple, lorsque des goulets d'étranglement apparaissent, le trafic peut être redirigé vers d'autres nœuds, en contournant les zones encombrées. Cette capacité à visualiser l'intégralité du chemin et à exercer un contrôle sur l'acheminement des requêtes et des réponses en fonction des conditions en temps réel améliore considérablement la résilience et les performances. Vous devez envisager de faire appel à un fournisseur de sécurité du cloud qui dispose non seulement de PEP présents dans le monde entier, permettant d'assurer les services de sécurité et d'accélération, mais dispose également de l'infrastructure réseau permettant d'interconnecter ces PEP.
L'égalité des priorités absolues pour les DSI dans le classement de NASCIO est peut-être une première historique, mais elle n'est certainement pas une surprise. Pour servir le public et développer la confiance que leur accorde ce dernier, les agences doivent disposer d'une cybersécurité solide et proposer des expériences numériques simples. Toutefois, la confiance dépend également de la résilience, qui permet de garantir que les services essentiels restent toujours disponibles, même dans l'adversité. Les cinq priorités essentielles que nous avons évoquées contribueront grandement à la mise en œuvre de services numériques dignes de confiance et fiables.
Si ce n'était pas déjà évident, voici une recommandation essentielle pour les DSI des États, à l'heure où vous réfléchissez à vos priorités essentielles pour 2025 : évoquez spécifiquement la « résilience » dans le cadre de la priorité que représentent les services numériques gouvernementaux. Cette démarche est essentielle, et elle est également plus simple que vous ne le pensez.
Cloudflare propose une suite de services conçus spécifiquement pour les administrations et les organisations du secteur public des États-Unis. Ces services permettent aux entreprises de développer des services rapides, fiables et évolutifs, tout en renforçant la sécurité pour l'ensemble des points de terminaison, des utilisateurs et des clouds. Les services sont fournis depuis un réseau cloud mondial, très résilient, doté de fonctionnalités intégrées d'amélioration de la sécurité et des performances. Avec Cloudflare, les entreprises peuvent répondre aux deux priorités essentielles du classement NASCIO sans ajouter davantage de complexité.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs technologiques aujourd'hui.
Cet article a été rédigé à l'origine pour GovTech.
Découvrez comment répondre aux exigences de sécurité de l'architecture Zero Trust pour les administrations fédérales dans la publication Guide de déploiement de l'architecture Zero Trust.
Scottie Ray – @H20nly
Principal Solutions Architect, Cloudflare
Steve Caimit – @stevecaimit Principal Product Manager, Cloudflare
Cet article vous permettra de mieux comprendre les aspects suivants :
Comment les gouvernements s'efforcent d'améliorer les services numériques
Pourquoi la résilience est essentielle au renforcement de la confiance
Cinq priorités pour renforcer la résilience dans le domaine de la cybersécurité et des services numériques