La Cybersécurité par les nombres - Episode 10 - Les 10 points d'équilibre (Partie 2)

L’Episode 2 de cette série consacrée à « La cybersécurité par les nombres », s’est attaché à rappeler deux binaires incontournables de toute problématique sécuritaire : le premier est de nature philosophique : le dilemme Sécurité vs Liberté (cf. Le Loup et le Chien de Jean de la Fontaine et la maxime de Thomas Jefferson). Le second est de nature stratégique avec l’approche Attaque vs Défense (cf. la maxime de Sun Zu).

En la matière, il est très difficile de trouver un équilibre en termes politiques et opérationnels. Il faut faire des choix, certainement de plus en plus délicats à traduire dans l’univers numérique.

Regardons d’autres aspects pratiques pour les risques cyber. Dix points d’équilibre peuvent être proposés. Voir les 5 premiers points d’équilibre ici.

6-   Centralisation vs Décentralisation

Ce sujet est sans doute un des plus délicat à aborder car il s’inscrit dans l’évolution des modes de gouvernance de toute organisation. Ici encore, il n’y a pas ou plus de modèle universel, sauf à considérer la pyramide comme le seul acceptable.

Dans le domaine de la sécurité, il est séduisant de s’inspirer du monde militaire, donc d’une structure très hiérarchique avec ses différents niveaux (Stratégique, Tactique, Opérationnel) en la démultipliant au sein d’une structure. Pourtant dans le domaine de l’entreprise sous l’influence du numérique et de la digitalisation des métiers, ce modèle ne peut pas fonctionner, essentiellement par manque d’agilité. Le mode « réseau » du monde numérique, aux multiples sphères (Digital, Cloud, Donnée), et aux multiples dimensions (technologique, juridique, humaine, etc.) s’impose d’évidence.

Au regard de ce qui a été décrit tout au long de ces articles, l’équilibre « centralisation vs décentralisation » peut se définir ainsi :

• Centralisation : Gestion / Contrôle des cyber risques et Cyber Défense, incluant les choix politiques, technologiques et des fournisseurs clés (hors de la fonction informatique)
• Décentralisation : au sein de 3 sphères (Digital, Cloud, Donnée) avec 6 fonctions clés, le plan d’acculturation, les pratiques de « By design » et « By default », en incluant des contrôles opérationnels stricts (au sein des unités opérationnelles et de la fonction informatique)

7-   Internalisation vs Externalisation

Cette question est fondamentale. Ici, la taille et le domaine d’activité des organisations prend une importance majeure. Une grande banque internationale n’aura pas la même approche qu’une PME de l’agro-alimentaire. La question est que peut-on ou doit-on internaliser et externaliser ? Partant du principe que l’externalisation ne peut s’opérer sans un contrôle fort, contractuel comme opérationnel.

Au plan macroscopique, la tendance est à une externalisation quasi généralisée des services numériques et de Cloud. Ceci fait porter une responsabilité de plus en plus forte sur les fournisseurs et pousse le recours aux normes et certifications (y compris individuelles). Pour les petites structures, c’est la fonction même du RSSI qui est parfois sous-traitée, souvent en temps partagé.

Ainsi, quelles fonctions doivent se maintenir en interne d’une grande organisation ? La gestion des risques Cyber et la Direction Cybersécurité (cf. Point 6-) ainsi que la Direction des programmes « cyber ».

8-   Supervision vs Surveillance

Depuis une dizaine d’années, le curseur s’est déplacé de la Prévention/Protection vers la Détection/Réaction. Certes, l’évolution de la menace oblige à renforcer les contrôles mais aussi à anticiper sur les potentiels scénarios d’attaque. L’offre de technologies et de services s’est considérablement améliorée (voir Episode 10-1). Désormais, l’Intelligence Artificielle et la surveillance du Deep / Dark web font partie de la panoplie des outils. L’élément clé de cette approche reste la gestion du temps…

Clairement, certaines limites sont atteintes et des précisions majeures doivent être apportées en permanence : quelle est la finalité de la « supervision » ? Est-ce bien dans un mode défensif et de « détection » ? quelles sont les cibles de la « surveillance » ? Est-elle ciblée sur les menaces ? Si oui, lesquelles et surtout quels acteurs ? Également, supervise-t-on / surveille-t-on le périmètre interne (ses actifs, systèmes, activités) et / ou aussi des environnements externes ? Comment intègre-t-on les environnements « Cloud » ? Comment maîtrise-t-on réellement les atteintes aux données ? Que se passe-t-il concrètement au niveau du « réseau » ?

On en parle peu, mais ces démarches, aussi fondamentales soient-elles, commencent à poser des questions d’éthique et de conformité, de performance (consommation de ressources et outillage) et de transparence (qualification et reporting des incidents).

9-   Négligence vs Malveillance

En lien avec le point précédent, et tout effet ayant par nature une cause, revenons au facteur humain. L’actualité nous inonde de faits entrant incontestablement dans la logique du marketing de la peur. Le niveau de la « malveillance » n’a jamais été aussi élevé. La nature des menaces n’a jamais été aussi complexe (sources, organisations, modes opératoires) d’autant qu’elle influe désormais des pans entiers de la vie personnelle comme professionnelle. Il est donc fondamental de la connaître et de l’analyser pour décider de manière appropriée (voir Episode 5).

Pourtant, n’oublions pas que la grande majorité des incidents et des cyber-attaques avérées trouvent leur origine dans ce qu’on peut appeler une certaine « négligence ». Elle prend plusieurs formes bien au-delà du « clic malheureux » (voir Episode 6). Retenons en trois : l’inconscience des dirigeants concentrés sur le court terme et peu attirés par le « numérique » ses atouts et ses risques. Ils négligent la prise en cause des cyber-risques dans leur stratégie. Au-delà, c’est la négligence opérationnelle d’informaticiens peu compétent ou pris par le temps, qui laisseront la « porte ouverte »… Enfin, et cela prend une dimension majeure depuis fin 2020, la sécurité du logiciel et des plateformes Cloud, (voir Episode 10-1). La négligence reste le facteur clé facilitant les actes malveillants…

10- Education vs Répression

Pour conclure, force est de constater que la maxime d’Abraham Lincoln reste plus que jamais d’actualité : « Si vous pensez que l’éducation coûte cher, essayez l’ignorance. ». (Voir Episode 4). Plus que jamais, informer, sensibiliser, éduquer sur les risques et les enjeux, les bonnes pratiques et les solutions demeure une approche fondamentale où l’innovation et la puissance doivent se conjuguer. (voir la campagne cybermalveillance.gouv.fr et le mois de la cybersécurité organisé dans le monde depuis octobre 2003).

Pourtant, face à l’ampleur des cyber-attaques et de leurs impacts sociétaux (ransomware dans les hôpitaux, atteintes aux personnes, et aux infrastructures critiques, etc.) le volet répressif ne doit pas être négligé. C’était l’ambition de la Convention du Conseil de l’Europe (Oct. 2021) dite de Budapest dont on vient de fêter les 20 ans… La liste des pirates informatiques arrêtés et condamnés s’allonge. Dernier en date le responsable de l’attaque « supply chain » sur le logiciel Kesaya. Et n’oublions pas que cette menace peut aussi s’exercer à l’intérieur des organisations nécessitant des moyens de contrôle adaptés et proportionnés (cf. point 8-).

Cette série d’épisode se poursuit avec le nombre 10 en traitant la question des 10 plateformes de pilotage des cyber-risques.