Un rapport récent du Bureau de l’inspecteur général (OIG) du Département de l’énergie (DOE) met en lumière les progrès réalisés pour remédier à certaines faiblesses en matière de cybersécurité, tout en révélant qu’un nombre non négligeable de vulnérabilités persiste.
Ce rapport, rendu public par l’OIG lundi, évalue l’efficacité du programme de cybersécurité non classifié du DOE pour l’exercice fiscal 2024. Cette évaluation est requise par la loi fédérale de modernisation de la sécurité de l’information de 2014.
Dans son analyse, le Département de l’énergie – y compris son Administration de la sécurité nucléaire nationale – a pris des mesures correctives qui ont permis de clore 19 des 63 recommandations en matière de cybersécurité formulées lors des audits et évaluations précédents de l’OIG, soit 30 %.
Cependant, 44 recommandations antérieures demeurent ouvertes, révélant des faiblesses persistantes dans des domaines cruciaux comme la gestion des risques, la gestion des configurations, la gestion de l’identité et des accès, la surveillance continue de la sécurité de l’information, ainsi que la formation en matière de sécurité.
De plus, l’OIG a formulé 79 nouvelles recommandations au cours de l’exercice fiscal, touchant divers aspects des programmes de cybersécurité, ce qui porte le total à 123 recommandations.
“Les faiblesses identifiées sont survenues pour diverses raisons. Par exemple, certaines constatations sur des sites du Département sont dues à des processus de gestion des vulnérabilités qui n’étaient pas pleinement efficaces pour identifier, traiter et/ou remédier aux vulnérabilités,” explique le rapport.
“Nous avons également constaté que plusieurs sites n’avaient pas entièrement développé et/ou maintenu des politiques et procédures pour faciliter la conception et la mise en œuvre des contrôles de sécurité,” ajoute-t-il.
L’OIG souligne également que le DOE accuse un retard dans l’adoption des normes de cybersécurité fédérales mises à jour.
Par exemple, l’OIG a constaté que quatre des six sites examinés n’avaient pas encore appliqué toutes les exigences du SP 800-53, révision 5 de l’Institut national des normes et de la technologie (NIST). En particulier, 82 des 101 systèmes de ces quatre sites fonctionnaient encore avec l’ancienne norme NIST 800-53, révision 4.
Selon l’OIG, le retard dans la mise en œuvre des exigences fédérales en matière de cybersécurité, telles que le NIST 800-53, révision 5, “continue de mettre les données et les systèmes d’information du Département en péril face à des menaces et vulnérabilités émergentes.”
“Sans améliorations pour remédier aux faiblesses identifiées dans notre rapport, le Département pourrait ne pas être en mesure de protéger adéquatement ses systèmes d’information et ses données contre d’éventuelles compromissions, pertes ou modifications,” avertit le rapport.
L’OIG a exhorté le DOE à clore les 123 recommandations formulées durant l’exercice fiscal 2024 “de manière opportune, en particulier celles qui se répètent d’années en années.” Il a également souligné la nécessité pour le département de mettre en œuvre les dernières exigences fédérales de cybersécurité “afin d’assurer une protection adéquate des données et systèmes d’information du Département face aux menaces émergentes et vulnérabilités.”
Enfin, l’OIG a noté avoir fourni aux responsables de programme et de site des informations détaillées concernant les vulnérabilités identifiées, et beaucoup ont depuis commencé à mettre en place des actions correctives.
Bon à savoir
- Le DOE est en cours d’amélioration, mais des efforts supplémentaires sont nécessaires pour combler les lacunes en cybersécurité.
- La mise en conformité avec les standards NIST est essentielle pour garantir la sécurité des systèmes du DOE.
- Un suivi régulier et une mise à jour des politiques de gestion des risques sont cruciaux pour faire face aux menaces nouvelles.
L’analyse des vulnérabilités en cybersécurité au sein du DOE soulève d’importantes questions sur la sécurité de nos infrastructures essentielles. Alors que des mesures ont été prises, il semble que le chemin à parcourir reste encore long pour garantir une protection optimale face aux menaces croissantes. La conversation autour de cette problématique doit se poursuivre, afin de renforcer l’ensemble du système de sécurité nationale.