Sécuriser la numérisation future des services du gouvernement

Collaborateurs :
Charles Eckert, associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada
Milos Petrovic, associé, Services gérés, Conseils, PwC Canada

Les entités gouvernementales et du secteur public subissent des pressions pour se transformer et offrir des services numériques. Et elles réagissent par le lancement de nouvelles applications et initiatives qui leur permettent de fonctionner plus efficacement et d’offrir aux citoyens un meilleur accès aux services.

Mais le fait de passer des activités en personne aux services en ligne sans mettre en place des mesures de sécurité appropriées expose les organisations et les citoyens à de nouvelles cybermenaces. Nos recherches indiquent que les risques associés à ces transformations radicales sont souvent négligés.

Seulement 33 % des répondants canadiens à notre sondage Global Digital Trust Insights 2023 disent avoir pleinement atténué les cyberrisques associés à la numérisation accrue des services aux clients au cours de l’année écoulée. C’est une situation que nous avons observée dans les organisations gouvernementales, nombreuses à se retrouver dans la mire de cybercriminels.

Les enjeux sont élevés pour les organisations gouvernementales et du secteur public. Les pertes financières, les fuites de renseignements personnels et les perturbations des services essentiels ont déjà en soi de graves conséquences. Mais les atteintes à la protection des données et les temps d’arrêt liés à la cybersécurité minent la confiance des citoyens, ce qui compromet la capacité de votre organisation à remplir sa mission.

Détecter les angles morts des évaluations des cyberrisques

Les organisations introduisent involontairement des vulnérabilités dans les projets de nouvelles technologies lorsque les cyberrisques ne sont pas pris en compte dès les premiers stades de développement. Notre 26ᵉ enquête annuelle mondiale auprès des chefs de direction montre que les enjeux qui font les manchettes, comme l’inflation et les conflits géopolitiques, peuvent pousser les dirigeants d’organisation à voir la cybersécurité comme un risque à moyen terme plutôt qu’un risque immédiat. Alors que 18 % des répondants canadiens disent qu’ils seront fortement ou très fortement exposés aux cyberrisques au cours des cinq prochaines années, cette proportion tombe à 11 % dans un horizon d’un an.

Nous avons vu que des organisations négligent la cybersécurité lorsqu’elles font d’importants investissements dans la technologie, souvent pour les mêmes raisons :

Intervention limitée des professionnels du risque et de la cybersécurité

Même si les entités gouvernementales et du secteur public font fréquemment appel à ces experts, elles peuvent être affectées par les mêmes pénuries de personnel spécialisé que les organisations d’autres secteurs.

Minimiser les risques inhérents

Des évaluations de risque trop optimistes peuvent donner à un projet un profil de risque moins élevé qu’il devrait l’être. De plus, les organisations gouvernementales ne sont généralement pas assujetties aux mêmes exigences de cybersécurité que les entreprises qui évoluent dans des secteurs réglementés, comme les services financiers. Cela signifie que même lorsque des normes et des directives existent, de nombreuses entités du secteur public n’ont pas la même maturité en matière de conformité que les entreprises appartenant à des secteurs réglementés.

Valeur latente des technologies

Les équipes de projet ne disposent habituellement que des outils de cybersécurité fournis à l’ensemble de l’entreprise. Cela limite les mesures de cybersécurité qui peuvent être intégrées aux nouvelles initiatives numériques. Même lorsqu’un projet de transformation exige d’investir dans de nouvelles capacités, on y greffe souvent une solution périphérique, qui est plus difficile à gérer – et plus coûteuse – que les mesures de sécurité intégrées dès le début d’une nouvelle initiative. Dans certains cas, les organisations ont accès à plus d’outils de cybersécurité qu’elles le croient grâce à leurs licences existantes. Lorsque ces outils sont correctement configurés, ils renforcent la sécurité des nouvelles initiatives numériques, tout en augmentant le rendement des investissements existants de l’entreprise dans la cybersécurité.

Reconnaître les lacunes potentielles de votre organisation peut vous aider à élaborer un plan dès le début afin d’intégrer des mesures de cybersécurité à vos nouvelles initiatives, à chaque stade de leur développement.

Découvrez comment notre Centre de résilience numérique et Microsoft peuvent contribuer à accélérer votre transformation en toute sécurité.

Penser à la sécurité dès le début

Comment les organisations du gouvernement et du secteur public peuvent-elles lancer de nouveaux services numériques tout en maintenant la sécurité des renseignements sur les citoyens et celle de leurs propres activités? Définir les considérations de cybersécurité à chaque stade de votre plan de transformation vous permet de penser à la sécurité dès
le début :

 

Les organisations du gouvernement et du secteur public sont connues pour la rigueur de leurs évaluations des risques de menaces, des facteurs relatifs à la vie privée et de la protection des données. C’est simplement une première étape. Connaître les risques inhérents vous permet d’élaborer des stratégies d’atténuation des risques et de déterminer les technologies de sécurité à utiliser. Mais il est important de savoir combien de solutions de sécurité vous comptez déployer. L’utilisation de technologies multiples peut créer un enchevêtrement de logiciels disparates qui ont pour effet de rendre la compréhension et la gestion de votre pile de sécurité encore plus difficiles. La rationalisation de portefeuille vous permet de simplifier et de sécuriser vos assises.

 

Quels sont les processus en place pour réduire les cyberrisques? Pour les entités gouvernementales et du secteur public qui lancent de nouveaux services numériques, les contrôles de gestion des identités et des accès sont particulièrement pertinents, qu’il s’agisse de la rapidité à révoquer l’accès d’un utilisateur interne après son départ de votre organisation, ou des moyens d’empêcher un employé du service à la clientèle de consulter indûment les renseignements personnels dans le dossier d’un citoyen.

L’évaluation des vulnérabilités et les tests d’intrusion sont des mesures importantes pour valider l’efficacité de vos contrôles. Ce processus doit aussi permettre d’analyser minutieusement les chaînes d’approvisionnement de vos logiciels et de confirmer que les bibliothèques les plus récentes sont utilisées dans les nouvelles applications. Selon notre étude, c’est une vulnérabilité souvent négligée : 70 % des dirigeants canadiens disent avoir au mieux une compréhension limitée des risques liés aux chaînes d’approvisionnement de leurs logiciels.

En élaborant des plans pour gérer les risques opérationnels liés à la cybersécurité, vous pouvez prévoir les ressources et les capacités requises avant de mettre en œuvre un nouveau service ou une nouvelle application numérique. Avez-vous des systèmes de surveillance appropriés? Pouvez-vous détecter et corriger les anomalies? Avez-vous élaboré des plans d’intervention en cas d’incident et mis au point différents scénarios d’attaque et d’intrusion?


Comme les cybermenaces et les coûts augmentent sans cesse, il peut être judicieux de faire appel à une organisation externe pour renforcer vos capacités de cybersécurité, moderniser vos activités de sécurité, gérer les pénuries de personnel spécialisé et accélérer la mise en marché. Nous observons une tendance à l’utilisation de modèles de prestation de services axés sur les résultats qui harmonisent étroitement les services gérés de sécurité avec les objectifs d’affaires établis.

Utiliser la cybersécurité pour bâtir la confiance et produire des résultats durables

En intégrant des cyberdéfenses aux nouvelles initiatives numériques dès le début, vous pouvez gérer de façon proactive les menaces émergentes et éviter de toujours devoir réagir à la hâte. De plus, en prévoyant les capacités opérationnelles nécessaires pour gérer et réduire les risques, permet d’éviter le fardeau de toujours devoir affecter des employés à la surveillance des applications après la mise en service. Autrement dit, cela soutient la capacité de votre organisation à fournir aux citoyens des services numériques sécurisés.

En améliorant l’expérience des citoyens et en renforçant la cybersécurité, vous augmentez la résilience des services publics essentiels fournis par votre organisation. Vous favorisez aussi la résilience individuelle des citoyens en leur permettant, en toute sécurité, d’obtenir des informations, d’effectuer des transactions et de communiquer avec des entités gouvernementales afin qu’elles répondent à leurs besoins – et vous contribuez à renforcer la confiance entre les citoyens et les importantes institutions publiques sur lesquelles ils s’appuient.

Contactez-nous

Charles Eckert

Charles Eckert

Associé, leader national du groupe Cybersécurité, Services gérés, PwC Canada

Tél. : +1 416 815 5274

Suivre PwC Canada