Les conséquences de la brèche dans l'OPM se poursuivent, les dégâts s'avérant plus importants qu'initialement prévu.

Il y a quelques semaines, nous avons évoqué sur ce blog la récente fuite de données de l'Office de gestion du personnel (OPM) des États-Unis et le fait qu'elle représentait un cauchemar potentiel pour le gouvernement fédéral et des millions de ses employés.

Malheureusement, il s'est avéré que le cauchemar ne faisait que commencer.

Au cours des semaines qui ont suivi la révélation de l'affaire, une deuxième faille de sécurité a été mise au jour, portant le nombre d'anciens et d'actuels employés fédéraux touchés d'environ 14 millions à près de 10 millions. 22 millions. Suite à ces révélations, Katherine Archuleta, directrice de l'OPM, a démissionné de son poste.

Dans son témoignage à un audition au Congrès, L’inspecteur général adjoint de l’OPM chargé des audits a indiqué que l’agence avait négligé de suivre les recommandations formulées par son bureau au cours des dernières années, notamment une demande à l’agence centraliser sa cybersécurité structure de gestion. Et bien que le département ait récemment mis en œuvre un outil de gestion des informations et des événements de sécurité (SIEM), un audit de 2014 a révélé que la solution ne collectait des données que pour environ 80 % des principaux systèmes informatiques de l'OPM.

L'administration Obama a déclaré qu'il faudrait probablement des mois, voire des années, pour remédier à toutes les vulnérabilités de cybersécurité de l'agence. Mais, de manière générale, deux problèmes principaux semblent se dégager :

1. Un certain nombre de contrôles et de procédures de sécurité de l'OPM étaient obsolètes ou sous-utilisés, rendant les systèmes vulnérables aux attaques extérieures.

2. Bon nombre des outils de l'agence, même les plus modernes, n'étaient pas utilisés à plein potentiel.

Il est tout à fait possible qu'une solution de prévention des pertes de données, utilisée correctement, aurait pu contribuer à atténuer certains des problèmes liés au premier ; le second aurait pu être résolu avec succès grâce à une solution de gestion des cas de cybersécurité conçue pour aider les organisations à tirer le meilleur parti des outils de sécurité existants.

Mais si les solutions individuelles sont importantes, l'engagement de tous les niveaux de l'organisation l'est tout autant., du sommet de la hiérarchie jusqu'aux échelons inférieurs, Il est impératif de donner la priorité à la sécurité de l'information. Car si les recommandations des experts sont ignorées ou écartées, comme cela semble avoir été le cas à l'OPM, l'organisation risque d'en payer le prix fort.