Un nouveau rapport du Government Accountability Office (GAO) des États-Unis souligne que le service extérieur américain ne comprend (encore) pas ce que signifient les « pratiques de cybersécurité ». Le Département d’État prétend disposer d’un véritable plan de gestion des risques en matière de cybersécurité, mais ce n’est que sur papier.
Le rapport du GAO GAO-23-107012 examine la mauvaise situation des cyber-affaires au Département d'État, l'agence gouvernementale qui mène la diplomatie américaine et contribue à façonner la politique étrangère américaine. Sécuriser les systèmes informatiques qui soutiennent la mission du Département d'État devrait être un objectif essentiel, et jusqu'à présent, le Département d'État a fait un « travail exceptionnellement bon » pour atteindre cet objectif.
Le rapport du GAO indique que le Département d'État a documenté un plan de gestion des risques de cybersécurité « qui répond aux exigences fédérales ». Le plan identifie les rôles et responsabilités en matière de gestion des risques et élabore des stratégies de gestion des risques appropriées. Cependant, le plan n'a pas été « pleinement » mis en œuvre et le Département d'État ne peut même pas identifier ou surveiller les risques pesant sur ses actifs informatiques, ni savoir combien d'actifs informatiques il possède réellement.
Le rapport complet indique que le Département d'État américain « ne reconnaît probablement pas pleinement » les vulnérabilités en matière de sécurité de l'information et les cybermenaces qui affectent le fonctionnement de ses missions. Le Département d'État américain dispose d'une « équipe de réponse aux cyberincidents » qui surveille et identifie les problèmes de sécurité 24 heures sur 24, mais il lui manque un « processus de mise en œuvre complet » pour soutenir son plan de réponse aux incidents.
Le Département d'État américain "ne protège pas suffisamment" son infrastructure informatique, ce qui est probablement l'euphémisme de l'année, car l'agence gouvernementale utilise probablement encore des PC basés sur Windows XP. Le Government Accountability Office des États-Unis a confirmé que certains systèmes d'exploitation étaient arrivés en fin de vie "il y a déjà 13 ans", ce qui coïncide presque exactement avec la fin du support standard de XP le 14 avril 2009. Microsoft propose un support étendu pour son légendaire système d'exploitation PC jusqu'au 8 avril 2014.
D'autres problèmes liés à l'infrastructure informatique incluent 23 689 « systèmes matériels » et 3 102 installations de systèmes d'exploitation de réseau et de serveur qui ont atteint la fin de leur durée de vie utile et ne sont plus prises en charge. Le rapport du Government Accountability Office des États-Unis souligne que si le problème de la sécurité des technologies de l'information ne suffit pas à inquiéter la population, alors la bureaucratie et la structure commune du Département d'État américain réussissent très bien à s'auto-saboter.
Le Département d'État a réparti les responsabilités de gestion informatique entre le directeur de l'information et les sous-agences, et cette « culture de silo » a favorisé un manque de communication qui a finalement conduit à bon nombre des déficiences relevées dans le rapport. En raison de ce problème de communication, la base de données Enterprise Configuration Management (ECM) du Département d'État ne fournit pas une image complète de tous les matériels et logiciels encore utilisés, a indiqué le GAO. La base de données ECM semble totalement dépourvue de données sur les actifs informatiques utilisés par les 20 avant-postes diplomatiques du pays.
Le Government Accountability Office des États-Unis a formulé 15 recommandations pour résoudre les nombreux problèmes identifiés dans l’infrastructure informatique du Département d’État américain. En outre, le bureau de surveillance publiera ultérieurement un autre rapport « à diffusion limitée » mettant en avant 500 recommandations supplémentaires pour remédier au mauvais état des agences diplomatiques américaines.