La cybersécurité progresse à l’intérieur des bâtiments de l’administration publique. Les données Agid 2022 confirment la tendance positive déjà enregistrée l’année dernière, et elles le font avec des résultats remarquables : les sites d’AP considérés comme sûrs, c’est-à-dire qui utilisent un protocole Https correct, ont plus que doublé par rapport à 2021, et même quadruplé par rapport à 2020 .
Les nombres
Comme l’exige le plan triennal pour les technologies de l’information dans l’administration publique, l’Agence pour l’Italie numérique a surveillé de 2020 à aujourd’hui l’utilisation de protocoles Https appropriés et l’état de mise à jour du Cms (logiciel de gestion de contenu Web qui ne nécessite pas de compétences en programmation) sur les sites de l’administration publique.Cette année, il y a 9 022 sites sécurisés, contre 4 149 en 2021, tandis que le pourcentage de sites présentant des problèmes graves est passé de 53% à 41%, dont la configuration Https est facilement contournable. Le nombre de sites mal configurés, c’est-à-dire ayant une configuration Https non adaptée aux standards modernes, diminue également : de 23% en 2021 à 11% cette année. Les sites qui ne sont pas vraiment équipés en Https représentent alors une toute petite tranche : 1% du total.
Ne baisse pas ta garde
Une tendance positive qui ne doit cependant pas baisser la garde, préviennent Giovanni Amato et Saverio Mastropierro, conservateurs du monitoring : « Il y a certes eu une amélioration, mais cela ne doit pas du tout nous rassurer. Le fait que la situation se soit améliorée ne veut pas dire que ça va bien, mais que par rapport à avant quand on était nul, on est maintenant à un bon point. Par exemple, en ce qui concerne les Cms, près de la moitié des domaines ne sont pas mis à jour avec la dernière version ».
Logiciel mis à jour (peu)
Et de fait les données parlent d’elles-mêmes : seulement un quart des sites utilisent une version du Cms avec la dernière mise à jour, et malgré la croissance étant de 8% par rapport à 2021, il faut prendre en compte que 2021 par rapport à 2020 avait enregistré une baisse de 52 pour cent. Cependant, il n’a pas été possible de réaliser l’enquête sur tous les sites : « Un Cms affiche normalement sa version – expliquent-ils -. Si ce n’est pas le cas, cela signifie qu’un plugin de sécurité a été utilisé qui désactive l’exposition de la version pour empêcher quelqu’un de rechercher une version obsolète et d’en tirer parti. Ainsi d’un certain point de vue le fait que 21% des Cms suivis n’ont pas exposé la version peut être compris comme une valeur positive : cela signifie qu’ils ont eu la prévoyance d’installer un plugin pour se protéger d’éventuels bots, outils automatiques en capable de scanner et de détecter la version pour exploiter les vulnérabilités d’un ancien Cms et le compromettre».
Un coup de pouce de Google
En général, cependant, la dynamique reste positive. Complice d’une part de Google, qui pénalise les domaines sans protocole sécurisé et a donc indirectement poussé les établissements à mettre à jour les protocoles Https de leurs sites ; d’autre part, Agid monitoring lui-même, auprès duquel les administrations ont pris connaissance de leur situation et engagé des actions correctives si nécessaire. Surveillance qui, à partir de l’année prochaine, passera entre les mains du nouveau-né Acn, l’Agence nationale de la cybersécurité, créée par le décret-loi 82/2021.