Les députés estiment que le gouvernement britannique est en train de perdre son niveau de préparation à la cybercriminalité

Le gouvernement britannique a peu de chances d’atteindre ses objectifs de cyber-résilience pour 2025

Le gouvernement britannique s’est fixé un objectif audacieux : la cyberrésilience dans tous les ministères d’ici à la fin de 2025. Il n’y parviendra pas. C’est une évidence. Le Cabinet Office s’est engagé dans la bonne direction, et le lancement d’évaluations indépendantes des systèmes informatiques critiques était attendu depuis longtemps. Mais les progrès ne sont ni assez rapides ni assez profonds. Les faiblesses en matière de sécurité sont plus graves que prévu. Les défaillances de contrôle dans des domaines fondamentaux tels que la gestion des risques et la réponse aux incidents sont encore fréquentes. Cela nous indique que le système actuel ne fonctionne pas.

Le gouvernement sait qu’il ne peut pas continuer à faire les choses de la même manière et s’attendre à un résultat différent. C’est une bonne chose. La résilience future, en particulier dans l’ensemble du secteur public d’ici à 2030, nécessitera un véritable changement structurel. Les ministères ne peuvent pas continuer à traiter le cyberrisque comme une question secondaire ou à externaliser la responsabilité vers le centre. Le Cabinet Office doit jouer un rôle direct plus important, en centralisant les politiques, les modèles de financement, la surveillance et les nouveaux outils d’infrastructure numérique qui s’étendent réellement à tous les départements.

Il s’agit de faire preuve de rapidité, de clarté et de mettre en place les bonnes incitations pour intégrer la cybersécurité dans le secteur public à tous les niveaux. Cela signifie qu’il faut faire pression sur les délais, les performances et les dépenses d’une manière qui corresponde à l’urgence du paysage des menaces.

Des données clés rendent cette urgence évidente. En juillet 2024, l « évaluation de 72 systèmes critiques dans 35 ministères a révélé des vulnérabilités généralisées. Il ne s’agissait pas de systèmes marginaux, mais de l » épine dorsale des services publics. Cela devrait être un signal d’alarme. Le gouvernement n’agit pas assez vite et les objectifs qu’il s’est fixés pour 2025 ne correspondent pas à la réalité sur le terrain.

Les systèmes informatiques existants continuent de compromettre la cybersécurité nationale

L’un des problèmes les plus critiques et les plus anciens est celui des logiciels anciens qui équipent encore une grande partie du secteur public britannique. Selon le ministère des sciences, de l’innovation et de la technologie (DSIT), près de 28 % de l’ensemble de l’infrastructure informatique du secteur public est qualifiée d’ancienne. Cela signifie qu’elle est obsolète, qu’elle n’est pas prise en charge et que, dans de nombreux cas, elle est incompatible avec les protocoles de cybersécurité modernes. Et le plus inquiétant, c’est que la plupart de ces infrastructures n’ont même pas fait l’objet d’une évaluation indépendante des risques.

Cette situation a été signalée de manière constante. Le Comité des comptes publics (CCP) a de nouveau soulevé la question, en soulignant que le gouvernement continue de s’appuyer sur des auto-évaluations. Celles-ci sont souvent incohérentes et trop optimistes. Les dirigeants n’ont pas une vision complète de la quantité de technologies obsolètes encore utilisées ou de l’endroit où elles sont intégrées. Lorsque vous ne savez pas où se trouvent les vulnérabilités, vous ne contrôlez pas le risque. C’est une simple question de logique.

Si l’on ne s’attaque pas à ce problème, on crée un énorme angle mort. Si les systèmes au cœur des soins de santé, de l’aide sociale, de l’immigration ou des infrastructures critiques sont vulnérables en raison d’une architecture existante, le risque est opérationnel. Et cela multiplie les dégâts lorsque les attaquants trouvent leur chemin. Nous avons vu des ransomwares frapper des hôpitaux et des agences gouvernementales. Il ne s’agit plus de savoir « si », mais si nous serons prêts lorsque cela se reproduira.

Ce problème n’est pas propre au Royaume-Uni, mais ce qui ressort, c’est le manque de rythme. Les dirigeants des secteurs public et privé doivent considérer cette transition comme une priorité absolue. La mise à niveau des systèmes existants nécessite plus qu’un financement, elle exige un leadership, une urgence et une intégration avec des stratégies modernes de cybersécurité.

Geoffrey Clifton-Brown, député et président de la commission des comptes publics, a bien résumé la situation lorsqu’il a déclaré qu’il était « alarmant » que le gouvernement ne connaisse toujours pas le nombre de systèmes existants qu’il exploite. Il ne s’agit pas seulement d’un problème de dette technologique. C’est un problème de leadership. Réglons ce problème.

Les dirigeants des ministères ne prennent toujours pas la cybersécurité au sérieux

La cybersécurité est encore considérée par trop de départements comme une fonction technique, quelque chose que l’informatique gère en arrière-plan. Cet état d’esprit est dépassé et les conséquences d’une telle attitude ne sont pas négligeables. Nous sommes aujourd’hui confrontés à des cybermenaces persistantes, bien financées et souvent soutenues par des États. Considérer la cybersécurité comme une question secondaire ne correspond pas à la réalité de ce qui est nécessaire au niveau national.

Les hauts responsables de l’ensemble du gouvernement n’en ont pas fait assez. De nombreux ministères n’incluent pas les responsables de la cybersécurité dans la prise de décision au plus haut niveau. Cela signifie que la sécurité n’est pas traitée comme une question stratégique, ce qui est une erreur. Lorsque les professionnels de la cybersécurité sont exclus des discussions au niveau du conseil d’administration, les organisations manquent des occasions d’intégrer la résilience dans leur planification et leur exécution. Cela conduit à des réponses fragmentées, à une récupération lente des incidents et à des échecs dans la défense proactive.

Le problème réside en partie dans l’absence d’orientations claires et cohérentes de la part du Cabinet Office. En l’absence de clarté de la part du centre, les départements se rabattent sur un modèle réactif au lieu de mettre en place des défenses ciblées dans leurs flux de travail. La commission des comptes publics a souligné que cette situation a conduit à une sous-estimation généralisée des risques au sein des ministères. L’urgence des cybermenaces n’est pas reconnue par les hauts responsables, et cela doit changer maintenant.

La cybersécurité ne doit pas être isolée. Elle doit faire partie des discussions sur la stratégie de base. La budgétisation, l’embauche, les décisions concernant les fournisseurs ont toutes des implications en matière de sécurité. Pour les dirigeants de C-suite, la conclusion est la suivante : à moins que vos responsables de la sécurité et du numérique ne soient présents lorsque ces décisions sont prises, vous ne gérez pas le risque, vous l’ignorez.

Les problèmes de recrutement dans le domaine de la cybersécurité continuent d’affaiblir les capacités du gouvernement

Il y a un problème de personnes. Le gouvernement ne parvient pas à attirer et à retenir suffisamment de personnes compétentes en matière de talents en matière de cybersécuritéet c’est un risque sérieux. Actuellement, un poste sur trois dans le domaine de la cybersécurité n’est pas pourvu ou est confié à des sous-traitants. Ce n’est pas un modèle durable, surtout lorsque vous essayez d’augmenter la capacité de dizaines de systèmes interconnectés.

La main-d’œuvre a augmenté, atteignant environ 23 000 professionnels du numérique dans le secteur public, mais les postes clés en matière de sécurité ne sont pas pourvus assez rapidement. Pourquoi ? La rémunération. Le gouvernement n’a pas voulu s’aligner sur les salaires du marché pour les meilleurs cybercompétents. Dans un marché mondial concurrentiel, les professionnels qualifiés ont d’autres options. Ils n’attendront pas des postes publics à bas prix s’ils peuvent gagner plus et évoluer plus rapidement ailleurs.

Le rapport est direct sur ce point : le gouvernement doit être réaliste en matière de recrutement et de rétention. Il doit également faire davantage pour que les responsables de la sécurité et du numérique occupent des postes de premier plan au sein de la gouvernance. Tant que les professionnels de la sécurité ne seront pas considérés comme des acteurs à part entière de la planification stratégique, le problème du recrutement perdurera. Les sous-traitants sont utiles à court terme, mais ils ne peuvent pas développer les connaissances institutionnelles nécessaires pour gérer les menaces de cybersécurité au niveau national sur le long terme.

L’incapacité à développer des capacités internes à ce niveau n’est pas une mince affaire, elle affaiblit la position de résilience fondamentale du Royaume-Uni. Les chefs d’entreprise devraient faire le parallèle avec leurs propres organisations. Sans les bonnes personnes, même les meilleurs cadres et technologies peuvent s’effondrer rapidement. Investir dans les talents n’est pas un coût. C’est une ligne de défense. Si vous la négligez, le reste devient vulnérable.

La réponse des pouvoirs publics n’est pas à la hauteur de l’ampleur ou de la sophistication des menaces

L’environnement des cybermenaces s’intensifie. Les attaques gagnent en complexité, en fréquence et en impact. Malgré cela, la réponse du gouvernement britannique n’a pas évolué assez vite. Des incidents tels que l’attaque par ransomware de la British Library en 2023, la violation du fournisseur du NHS Synnovis en 2024 et les perturbations cybernétiques en cours dans les principaux supermarchés britanniques montrent un schéma clair : les acteurs de la menace ciblent des institutions qui sont essentielles à la fonction publique et à la vie quotidienne.

Il ne s’agit pas d « événements isolés. Ils montrent comment les attaquants exploitent les faiblesses systémiques. Et les risques sont aggravés par la lenteur et la fragmentation de la réponse des entités gouvernementales qui n’ont pas suivi le rythme de la dynamique des menaces modernes. Il existe un écart considérable entre le niveau de risque et l » état de préparation actuel des différents ministères. Plus cet écart se prolonge, plus les risques de perturbations et de dommages augmentent.

C’est un environnement où les motivations financières, la géopolitique et les technologies émergentes comme l’IA modifient rapidement le paysage des menaces. Le Centre national de cybersécurité a déjà souligné que nous nous dirigeons vers un clivage important : les organisations qui peuvent évoluer et suivre ces progrès survivront. Celles qui n’y parviendront pas prendront du retard et deviendront des boulets.

Les hauts responsables, tant à l’intérieur qu’à l’extérieur du gouvernement, doivent s’attendre à des attaques similaires. Ce n’est pas une question d’optimisme ou de pessimisme. C’est une question de réalisme et d’action. Les ressources, le leadership et les systèmes doivent tous être alignés afin d’agir plus rapidement, d’anticiper les menaces et de fournir des réponses coordonnées qui minimisent l’impact sur le monde réel.

La faiblesse de la surveillance de la chaîne d’approvisionnement crée des vulnérabilités au niveau national

La cybersécurité ne concerne pas seulement les contrôles internes. Les systèmes du secteur public sont étroitement liés à des fournisseurs externes, en particulier dans les domaines des soins de santé, des transports et des infrastructures. Nombre de ces fournisseurs manquent de ressources en matière de cybersécurité, ce qui crée des vulnérabilités qui se répercutent en cascade sur les systèmes gouvernementaux. L’incident du NHS Synnovis l’a prouvé. L’intrusion d’un seul fournisseur a perturbé la fourniture de soins de santé essentiels.

À l’heure actuelle, la surveillance de la sécurité de la chaîne d’approvisionnement par les pouvoirs publics est incohérente. Il n’existe pas d’ensemble unifié de normes ou d’outils d’application garantissant que les fournisseurs respectent des pratiques de cybersécurité rigoureuses. Cela multiplie les risques. Même les services disposant de défenses internes solides peuvent être compromis si un fournisseur manque de fonds, de talents ou de protocoles robustes. La commission des comptes publics le souligne clairement : les incidents liés à la chaîne d’approvisionnement sont un vecteur de risque qui reste sous-supervisé dans la plupart des ministères.

Les dirigeants doivent être conscients qu’une organisation sûre dépend de partenaires sûrs. Pour le gouvernement, cela signifie qu’il faut améliorer la visibilité tout au long de la chaîne d’approvisionnement. Cela signifie également qu’il faut allouer des fonds et définir les responsabilités, de sorte qu’en cas de problème, on sache clairement qui est responsable, ce qui est touché et comment réagir sans perturber les services publics.

Les dirigeants du secteur privé devraient également en prendre note. Si la structure de vos fournisseurs est complexe et que vous ne gérez pas activement les cyberrisques dans l’ensemble de ce réseau, votre exposition est probablement sous-estimée. Les pouvoirs publics sont confrontés au même problème, mais avec des enjeux plus importants, car les perturbations affectent souvent des systèmes critiques dont dépendent des millions de personnes.

Le Cabinet Office doit définir et déployer une stratégie de cyber-résilience évolutive au-delà de 2025.

La commission des comptes publics a été claire : la stratégie cybernétique actuelle du gouvernement britannique n’est pas suffisante. Pour répondre aux exigences d’un paysage de menaces en constante évolution après 2025, le Cabinet Office doit passer de la surveillance à l’exécution d’une réponse plus affirmée, à l’échelle du système. Cela implique de nouveaux outils d’application, des mécanismes de contrôle mieux définis et des cadres évolutifs pouvant être appliqués dans tous les ministères et toutes les chaînes d’approvisionnement.

La prochaine phase de la cyber-résilience doit cesser de reposer sur des actions ministérielles fragmentées. Au lieu de cela, le Cabinet Office devrait jouer un rôle de chef de file, non seulement en tant que coordinateur, mais aussi en tant que facilitateur, avec des normes qui sont applicables et non suggérées. Il ne s’agit pas seulement d’améliorer les processus. Il s’agit d’accélérer la façon dont le gouvernement s’adapte, communique et répond aux risques en temps réel. Tant que ces leviers ne seront pas explicités, tant en termes de politique que de contrôle opérationnel, les progrès resteront lents et inégaux.

À l’avenir, l’IA sera un facteur d’accélération important dans le paysage des menaces. Elle modifie déjà la nature des attaques, les rendant plus rapides, plus ciblées et plus difficiles à détecter. Ce n’est pas de la théorie. C’est une réalité, et c’est déjà en train de se produire. Les organisations qui n’intègrent pas la modélisation et la réponse aux menaces basées sur l’IA prendront inévitablement du retard. Le Centre national de cybersécurité a mis en garde contre le fossé qui se creuse entre ceux qui s’adaptent aux menaces fondées sur l’IA et ceux qui ne le font pas. Les pouvoirs publics doivent s’assurer de faire partie de la première catégorie, et non de la seconde.

Les décideurs devraient considérer la période 2025-2030 comme une fenêtre d’investissement critique. Après le prochain examen des dépenses, il sera possible d’établir de nouvelles références en matière de transparence, de développement des talents et de défense proactive. Si ces outils sont clairement définis et rapidement déployés, le Royaume-Uni pourra devenir cyber-résilient.

Récapitulation

À l’heure actuelle, le gouvernement britannique n’agit pas assez vite pour rester en tête de la courbe des menaces. C’est un problème, qui devrait préoccuper toute personne occupant un poste de direction, dans le secteur public ou privé. Les infrastructures héritées du passé, les lacunes en matière de leadership, le manque de financement des filières de talents et la dépendance excessive à l’égard d’orientations centrales vagues ont créé des vulnérabilités dans tous les domaines. Et le paysage des menaces ne ralentit pas.

Pour les dirigeants, ce moment est un signal. La cybersécurité n’est plus une responsabilité cloisonnée relevant de l’informatique. Il s’agit d’un risque commercial de premier ordre ayant un impact opérationnel. Que vous soyez à la tête d’un ministère ou d’une entreprise internationale, le message est le même : si vous n’intégrez pas la cyberstratégie dans les décisions fondamentales des dirigeants, vous exposez votre organisation.

Les organisations prêtes pour l’avenir, celles qui prospéreront dans un environnement de menaces pilotées par l’IA, se définiront par la rapidité avec laquelle elles s’adapteront, par la profondeur de leur leadership en matière de sécurité et par le sérieux de leurs investissements dans les talents et la transparence. C’est vrai pour les pouvoirs publics, comme pour les entreprises. Il était temps d’agir hier. L’occasion de prendre les devants se présente maintenant.

Alexander Procter

mai 22, 2025

14 Min

Stratégies et transformation
La sauvegarde intelligente repose encore sur la règle 3-2-1
Juin 17, 2025
11 min
Stratégies et transformation
Mieux vaut un LLM adapté qu’un LLM populaire
Juin 17, 2025
21 min
Stratégies et transformation
Mieux évaluer les risques dans vos projets IT
Juin 17, 2025
12 min

Les députés estiment que le gouvernement britannique est en train de perdre son niveau de préparation à la cybercriminalité

Le gouvernement britannique a peu de chances d’atteindre ses objectifs de cyber-résilience pour 2025

Les systèmes informatiques existants continuent de compromettre la cybersécurité nationale

Les dirigeants des ministères ne prennent toujours pas la cybersécurité au sérieux

Les problèmes de recrutement dans le domaine de la cybersécurité continuent d’affaiblir les capacités du gouvernement

La réponse des pouvoirs publics n’est pas à la hauteur de l’ampleur ou de la sophistication des menaces

La faiblesse de la surveillance de la chaîne d’approvisionnement crée des vulnérabilités au niveau national

Le Cabinet Office doit définir et déployer une stratégie de cyber-résilience évolutive au-delà de 2025.

Récapitulation

La sauvegarde intelligente repose encore sur la règle 3-2-1

Mieux vaut un LLM adapté qu’un LLM populaire

Mieux évaluer les risques dans vos projets IT

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !