Mis à jour ,publié pour la première fois
Les préparatifs du recensement de cette année ont été frappés par des avertissements selon lesquels des vulnérabilités clés en matière de cybersécurité restent non résolues, après qu’un examen cinglant des plans de l’enquête nationale a averti qu’elle devait combler des lacunes critiques avant que des millions d’Australiens ne se connectent en août.
Un audit publié mercredi a révélé que le Bureau australien des statistiques avait renforcé certains aspects de ses cyberdéfenses, mais avait abandonné tardivement des travaux importants faute d’avoir réussi à adopter une vision suffisamment large des risques dans l’ensemble de ses systèmes technologiques.
Dans des conclusions sans détour, le Bureau national d’audit australien a déclaré : « Pour être prêt pour le recensement de 2026, l’ABS doit s’attaquer aux principales vulnérabilités restantes en matière de cybersécurité en garantissant que les activités critiques seront achevées à temps. »
L’auditeur a averti que la réponse de l’ABS avait nécessité « le déploiement d’experts en cybersécurité importants pour une période prolongée au-delà de celle initialement prévue » après que des vulnérabilités soient apparues plus tard qu’elles n’auraient dû.
Les résultats rouvrent les questions sur la résilience du recensement près d’une décennie après l’échec du recensement en ligne de 2016, lorsque le formulaire numérique a été fermé après un certain nombre d’attaques par déni de service distribué dans le cadre d’une tentative délibérée de saboter l’enquête nationale. La forme n’a pu être rétablie que 40 heures plus tard. Une DDoS est une cyberattaque dans laquelle des pirates informatiques tentent de faire planter un système en l’inondant de comptes de robots (ou chevaux de Troie).
Le recensement de cette année, qui doit avoir lieu le 11 août, sera le plus dépendant du numérique jusqu’à présent. L’ABS s’attend à ce que 85 % des Australiens remplissent le formulaire en ligne, le programme de 726 millions de dollars introduisant également l’accès via myGov et une utilisation élargie de l’intelligence artificielle.
L’audit a révélé que l’ABS identifiait et évaluait les cyber-risques, mais que ses modalités de gouvernance ne donnaient pas toujours aux décideurs de haut niveau une image claire des menaces émergentes.
Parmi les conclusions, les comités de surveillance ne recevaient pas toujours « les informations les plus récentes ou les plus précises sur les risques de cybersécurité », tandis que les mises à jour étaient parfois incomplètes et que des incohérences apparaissaient entre les évaluations des risques stratégiques et opérationnels.
Le rapport formule également une critique plus large de la planification au sein de l’agence gouvernementale fédérale, estimant que la planification de la cybersécurité n’a pas été suffisamment prise en compte parce que les préparatifs n’ont pas pleinement pris en compte les risques dans l’ensemble de l’ABS. L’audit a révélé que des préoccupations similaires avaient été soulevées lors d’un précédent examen du recensement de 2021.
Dans l’une de ses observations les plus critiques, l’auditeur a déclaré qu’une action plus précoce « aurait permis à l’ABS de mieux identifier et résoudre ces problèmes plus tôt » et était essentielle pour maintenir la confiance que ses systèmes pouvaient « détecter et prévenir efficacement les cyberactivités malveillantes avant et pendant » le recensement.
L’audit a formulé quatre recommandations : renforcer la gestion des risques, proposer des dispositifs de conseil en matière de cybersécurité, améliorer la surveillance de l’architecture de sécurité et s’attaquer aux vulnérabilités découlant de l’environnement technologique plus large du bureau. L’ABS a accepté les quatre.
Dans sa réponse, l’ABS a déclaré qu’il « réévalue en permanence les cybermenaces et les risques, donne la priorité aux contrôles des systèmes critiques, ajuste activement le séquençage et les investissements à mesure que des vulnérabilités émergent » et reste convaincu que « nous serons prêts à réaliser le recensement de 2026 ».
« L’ABS continuera de donner la priorité à ces améliorations et d’allouer les ressources appropriées pour soutenir leur mise en œuvre réussie », indique le communiqué.
Rob Harris est le correspondant national du Sydney Morning Herald et de The Age basé à Canberra. C’est un ancien correspondant Europe.Connectez-vous par e-mail.