Face à la demande croissante d’outils destinés à doper la productivité des entreprises, la cybersécurité a besoin d'un coup de jeune.
 |
| The Stay Puft Marshmallow Man - « Ghostbusters » de Ivan Reitman, 1984 (Copyright Columbia Pictures). |
Des utilisateurs toujours plus exigeants
Comme tous les autres produits de grande consommation, les outils numériques doivent être disponibles, performants et abordables.
Pour beaucoup, la notion de cyber espace reste abstraite comme si elle conférait à la loi de la gravité universelle : « tout le monde sait qu’elle existe mais on ne la voit pas ». Pourtant, ces 20 dernières années, le cyber espace s’est avéré être un milieu favorable, suffisamment sûr et résilient pour que pratiquement toutes les industries puissent s’y réinventer et échanger.
L’incroyable complexité de cet hyper-système composé de sous-systèmes que personne ne maîtrise totalement est à la fois une aubaine et une malédiction :
Ne l’oublions pas, en épaulant la diffusion des idées à travers le monde, internet est non seulement devenue devenu synonyme de «liberté d'expression» mais aussi de «liberté d'entreprendre». Or, il faut se rendre à l’évidence :
Lorsque vous connectez une enceinte achetée sur amazon à votre réseau, vous ne vous souciez pas de sécurité. Tant que cela fonctionne…
Pour beaucoup, la notion de cyber espace reste abstraite comme si elle conférait à la loi de la gravité universelle : « tout le monde sait qu’elle existe mais on ne la voit pas ». Pourtant, ces 20 dernières années, le cyber espace s’est avéré être un milieu favorable, suffisamment sûr et résilient pour que pratiquement toutes les industries puissent s’y réinventer et échanger.
Selon McKinsey, plus de 20% du PIB des pays développés reposent aujourd’hui sur le numérique.
L’incroyable complexité de cet hyper-système composé de sous-systèmes que personne ne maîtrise totalement est à la fois une aubaine et une malédiction :
- une aubaine car internet a été conçu de façon a être ouvert et accessible à tous,
- et une malédiction puisque de nombreuses failles existent et qu’un grand nombre de données peuvent potentiellement être dérobées ou détruites par des organisations criminelles ou de simples hackers.
La sécurité est-elle antilibérale?
Lorsque l’imprimerie fût inventée au 15e siècle, l’église catholique exerçait un contrôle stricte sur la production et la circulation des œuvres. Puis ce fût au tour du pouvoir temporel d’imposer son veto sur la diffusion de l’information. Jusqu’à ce jour, les auteurs d’écrits déplaisants pour le pouvoir risquent la peine de mort dans de nombreux pays.Ne l’oublions pas, en épaulant la diffusion des idées à travers le monde, internet est non seulement devenue devenu synonyme de «liberté d'expression» mais aussi de «liberté d'entreprendre». Or, il faut se rendre à l’évidence :
le digital a ce doux parfum de libéralisme révolutionnaire que rien ne saurait entraver. Du contrôle sécuritaire à l’impossibilité d’entreprendre, il n’y a qu’un pas et c’est là que le bas blesse…
« suivre » ou « survivre » ?
Imaginer que les logiciels ou les objets connectés sont sûrs parce qu’ils sont innovants est une aberration. Il est non seulement impossible d’écrire un code sans défaut mais le marché donne souvent raison au manque d’effort en matière de sécurité.La rupture technologique a parfois des airs de Grand Soir : on sacrifie des notions de sécurité sur l’autel de la productivité ou d’un quelconque effet « whaou ».
Selon un récent rapport de Fortinet, 92% des responsables de la sécurité des systèmes d’information (RSSI) reconnaissent que la transformation digitale des entreprises a un impact énorme sur le business. 85% d’entre eux jugent que les mesures de sécurité représentent un obstacle à l’implémentation d’une stratégie de transformation digitale, aussi appelée « DX ».
Les objets connectés et l’hyper-connectivité changent profondément notre rapport à la productivité et à la sécurité
Être « agile » suggère deux choses :
- Être en mesure de s’interconnecter à des systèmes tiers via le cloud (bureautique, application métiers, bases de données, annuaires…),
- Pouvoir intégrer au réseau de l’entreprise des objets connectés dont le fonctionnement et les mises à jour nécessitent une communication extérieure (Robots, DevOps, télécommunications, gadgets…)
Avec la DX, il est difficile de montrer patte blanche à tout bout champ ce qui rend la menace omniprésente. Elle provient aussi bien de l’extérieur que de l’intérieur. Les systèmes de sécurité locaux et les SIEM (Security information management system) sont à la fois complexes et insuffisants, il n’y a plus de « dedans » et de « dehors ».
Une stratégie de défense élaborée dans un environnement clos a en effet moins de chance d’être opérante face à un panel d’attaques toujours plus sophistiquées. Lorsque l’un de vos partenaires subit une attaque, vous êtes également à risque.
En matière de sécurité, le constat est plutôt alarmant. La plupart des entreprises s’équipent sans vraiment comprendre ce qu’elles achètent. Elles se contentent de cocher les cases d’une longue liste de choses à avoir sans se soucier de qui pilote.
La cybersécurité est plus que jamais une affaire de spécialistes pas de généralistes
Se reposer sur des marques c’est bien, encore faut-il pouvoir trouver des experts en cybersécurité capables de caractériser les menaces. Le problème de toute main d’œuvre qualifiée est quelle est souvent difficile à trouver, plus longue à former et donc souvent inaccessible pour les entreprises de taille modeste.
Une étude de « The Global Information Security Workforce » datant de 2017, prédit une pénurie de + 1,8 millions de travailleurs qualifiés en cybersécurité d’ici 2022.
En attendant, il est toujours possible d’organiser des tests de pénétration de votre système informatique. Les gouvernements, les industries sensibles et les Organismes d’Importance Vitale (IOV) y investissent chaque année des sommes colossales. On sait que les GAFAM proposent même des primes aux hackers qui sauront mettre à jour les failles de leurs systèmes d’information.
L’industrie automobile propose des voitures haut de gamme qui embarquent 7 fois plus de code informatique qu’un Boeing 787 - soit 7 fois plus de surface à protéger.
Nous sommes loin de l’exemple de l’enceinte connectée. Tout est affaire de risque.
L’intelligence artificielle est-elle l’avenir de la cybersécurité ?
En revanche, impossible de dire si elles sauront devancer les nouvelles ruses des hackers ou le piratage « psychologique » consistant à extirper par téléphone des informations sensibles au personnel d’une entreprise.
Même si l’automatisation n’est pas la panacée, elle n’en reste pas moins une piste prometteuse et globalement plus accessible et mieux acceptée que le recours aux chasseurs de primes.
À ce jour, personne ne connaît réellement le poids des investissements liés à la cybersécurité comparés aux opportunités économiques générées par la connectivité.
Une chose est sûre, le bénéfice cumulé de la connectivité dépasse de loin le risque à condition que la sécurité passe à la « puissance cloud ».
Et ça Google l'a bien compris : sans confiance, pas de business. En fondant sa filiale "Google Chronicle", le géant du web promet une plateforme de détection des cyber-menaces dopée au Machine Learning plus performante que toutes les solutions du marché, et pour un prix très accessible.
Les états, les opérateurs et les éditeurs aussi ont tout à gagner à coopérer à plus large échelle dans le domaine de la cybersécurité. La convergence et la mutualisation des moyens à grande échelle (supervision, cartographie et corrélation d'événements) permettra de renforcer notre capacité de défense mais aussi de démocratiser l’accès aux services de sécurités managés.
Il n’en reste pas moins qu’une sécurité s’envisage invariablement selon des critères technologiques, humains et procéduraux sans oublier d’adopter le principe premier de résilience. Seul celui-ci permet d’envisager la reprise d’activité en cas de désastre.
Personne de dispose de toutes les clés du royaume, mais le Prince, dans son souci de guider ses amis, préfèrera mettre la ceinture et les bretelles.
Thomas Benigni
Commentaires
Enregistrer un commentaire