Appelées Infosec 4, ces 4 piliers englobent la tenue d'une liste blanche des applications et des programmes autorisés à s'exécuter, le patching des applications "génériquement" vulnérables (Adobe, Java, Flash, Office), le patching des systèmes d'exploitation et la limitation drastiques des privilèges des droits d'administrateur. Le DSD doit également mettre à jour l'Information Security Manual (ISM - manuel de la sécurité de l'information) qui est en fait un triptyque comprenant la doctrine, la politique de sécurité des systèmes d'information (PSSI) gouvernementale et enfin les déclinaisons technico-pratiques.
A partir du 1er août 2013, chaque agence devra fournir à son ministère de tutelle un rapport de conformité au PSPF, incluant un état d'avancement Infosec 4. Aucune date de mise en œuvre complète de ces mesures essentielles n'a été déterminée car ce sera à l'agence elle-même de la fixer. Un choix assurément étonnant mais qui pourrait se révéler in fine intelligent car obligeant chaque direction d'agence à devoir agir sans délai. Toute attaque informatique réussie, et qui entraînerait des impacts importants, pourrait lui être alors reprochée. D'autant plus durement que la direction aura traîné des pieds ou aura été négligente dans l'application de ces mesures de sécurité essentielles.
(1) Toutes proportions gardées, le Defence Signals Directorate (DSD) est à l'Australie ce que la NSA est aux États-Unis.
Aucun commentaire:
Enregistrer un commentaire