L’Australie lance une grande consultation sur la cybersécurité

Le gouvernement australien a fait plusieurs annonces visant à renforcer la cybersécurité du pays, le 27 février 2023. La ministre de l’Intérieur, Clare O’Neil, va notamment créer un nouveau bureau fédéral dédié à la coordination de la cybersécurité nationale.

Elle a aussi lancé une grande consultation auprès de la filière cyber « sur la manière de rationaliser la législation et les politiques actuelles ». Elle s’interroge sur la possibilité de créer une nouvelle loi fédérale, et sur le rôle des États dans la cybersécurité nationale.

Ces initiatives s’inscrivent à la suite de la double fuite de données qui a touché l’opérateur télécoms Optus et l’assurance santé Medibank, fin 2022. Des données personnelles de 10 millions d’Australiens ont été dérobées, comprenant des informations médicales très sensibles.

Le précédent gouvernement avait pourtant voté une loi sur la cyber-protection des services critiques, le Security of Critical Infrastructure Act. Adoptée en 2018, modifiée en 2020 et 2021, la loi couvre désormais onze secteurs critiques, dont les télécoms et la santé. Elle est censée garantir la cyber-résilience des actifs et imposer des obligations de déclaration au gouvernement.

Mais au moment de la double fuite de données, le nouveau gouvernement d’Anthony Albanese s’est heurté aux lacunes opérationnelles de cette loi. Par exemple, le ministère de l’Intérieur n’a pas pu contraindre Optus à le laisser accéder aux SI infectés pour analyser la cyberattaque.

« Lors de ces événements, nous étions censés avoir à notre disposition un texte de loi adopté par l’ancien gouvernement pour nous aider à nous engager auprès des entreprises victimes de cyberattaques, mais cette loi s’est avérée sacrément inutile », a déclaré Clare O’Neil.