La nuit dernière, les Etats-Unis ont pour la première fois depuis 17 ans mis au chômage technique plusieurs fonctionnaires de l'administration fédérale. L'exécutif et le Congrès n'ont pas réussi à se mettre d'accord sur le budget. Les conséquences directes sont la mise au chômage technique de plusieurs fonctionnaires pendant quelques jours. Cette décision va être un test pour vérifier la capacité des agences fédérales à protéger leurs systèmes d'information contre des menaces.
Par anticipation, plusieurs organismes ont publié des plans d'urgence montrant comment gérer et protéger l'infrastructure avec une réduction importante des effectifs IT. Ainsi, le ministère américain des anciens combattants a décidé de réduire de 40% son effectif IT soit 3267 personnes au chômage technique sur un total de 8 026 employés. Ceux qui restent seront chargés des fonctions de maintenance réseau, de la sécurité et de la continuité des datacenters.
La FTC (Federal Trade Commission) a de son côté réservé 6 employés qui ne prendront pas de congés forcés. Ils seront en charge d'assurer l'intégrité et la disponibilité des infrastructures IT. Ils seront aussi affectés à des tâches comme le support réseau, les télécommunications, le datacenter de la FTC, les solutions de sauvegarde et l'administration des bases de données. Pour la Social Security Administration, seuls 310 employés seront exemptés du blocage administratif, soit 10% de la division IT. Ils seront en charge du support de l'infrastructure et des programmes.
Garder l'essentiel, mais gare aux erreurs
La plupart des autres organismes fédéraux sont censés disposer d'équipes réduites de personnels IT capables de gérer la sécurité et de garantir la continuité opérationnelle des infrastructures. « Je crois que la plupart des DSI connaissent le niveau essentiel en matière de sécurité et de réseau de leur équipe IT », a déclaré Karen Evans, ancienne DSI fédéral sous l'administration de Georges W. Bush. Elle souligne néanmoins que « cet état doit être court, car en cas d'un blocage prolongé, cela peut comporter des risques sur les services en ligne et la façon dont le gouvernement accède à ces services ».
Un sentiment partagé par Eugene Spafford, directeur du CERIAS (Center for Education and Research in Information Assurance and Security) de l'Université de Purdue dans l'Indiana qui estime que « les plans élaborés par les agences fédérales sont suffisants pour une durée courte, mais pas à moyen terme ». Il ajoute que « même avec des systèmes fermés, des fonctions comme les mises à jour ou les correctifs sont cruciales pour la maintenance de l'IT. Cela constitue un défi pour des équipes squelettiques constituées dans l'urgence ». L'exemple type est la mise à jour de sécurité de Microsoft, appelé Patch Tuesday, et qui interviendra le deuxième mardi du mois d'octobre.
Mike Brown, vice-président et directeur général de la division secteur public pour RSA, tempère les risques en notant que la paralysie de l'administration ne devrait pas entraîner une augmentation spectaculaire des attaques. Cependant, il relève que la possibilité pour les administrations de faire des erreurs augmente en période de réduction des effectifs.
L'administration américaine bloquée : un test pour la sécurité IT
Faute d'accord sur le budget, l'Etat fédéral américain est paralysé. Plusieurs administrations réduisent leurs équipes IT, devenant ainsi un test important pour la sécurité des organismes publics.