La poliorcétique à l'ère du numérique

"Ces deux malheurs arrivent aux armées, de devenir si terrifiées de l'ennemi qu'elles ne veulent pas tenter d'offensive, et si hardies qu'elles ne veulent pas prendre de mesures de précaution. A l'égard de chacun d'eux, le général doit organiser ses plans, et savoir quand, par la voix et le regard, il doit faire paraître l'ennemi faible, et quand il doit le rendre plus menaçant et plus redoutable." - Énée le Tacticien

Énée le Tacticien (en grec : Αἰνείας ὁ Τακτικός ; fl. IVe siècle av. J.-C.) est l'un des premiers auteurs grecs sur l'art de la guerre et est considéré comme le premier auteur à fournir un guide complet pour sécuriser les communications militaires.

L'art de la guerre de siège et de l'architecture militaire, c'est-à-dire la poliorcétique dans son sens le plus large, a toujours fait partie de l'historiographie grecque, puis latine. La taille et la force des murs de protection de la polis étaient tout aussi essentielles pour sa sécurité et la fierté de ses citoyens que les actes héroïques de ses guerriers dans la vie et la mort sur le champ de bataille. À l'époque classique, l'importance croissante des villes en tant que centres de culture, de pouvoir et de stabilité a intensifié la course à la poliorcétique - les fortifications sont devenues plus complexes, tandis que de nouveaux moyens plus ingénieux de les surmonter...

La bataille de Megiddo, l'un des premiers engagements militaires enregistrés dans l'histoire, a également donné lieu à un siège éreintant de plusieurs mois. L'affrontement a eu lieu au 15e siècle avant J.-C., lorsque le pharaon égyptien Thoutmosis III a conduit ses forces dans l'actuelle Palestine pour réprimer la rébellion d'une coalition de cités-États mésopotamiennes. Selon les récits militaires égyptiens, les deux armées se sont affrontées à l'extérieur de la ville de Megiddo dans un affrontement sanglant entre fantassins et chars, le pharaon lui-même étant censé combattre en première ligne. Mais si les Égyptiens ont mis en déroute les forces de la coalition, ils ont perdu du temps à piller un campement ennemi et ont permis à l'armée asiatique de se replier dans la sécurité des fortifications de la ville.Sans se laisser décourager, Thoutmosis met en place des lignes de siège et coupe tout trafic entrant et sortant de la ville. Le siège a duré sept mois brutaux jusqu'à ce que les dirigeants de la ville, affamés et malades, envoient leurs jeunes fils et filles implorer la paix. Après avoir pacifié la région environnante, Thoutmosis épargna Megiddo en échange d'un vœu de loyauté de la part des survivants de la ville.

À l'époque féodale, un roi mesurait la sécurité de son royaume à la taille des murs de la ville, à la capacité des greniers et à l'habileté des archers. Une défense solide signifiait la capacité de résister à un siège et de repousser les attaques tout en maintenant une qualité de vie acceptable à l'intérieur des murs. La guerre de siège a entraîné l'apparition de tactiques asymétriques pour percer les murs : ballistas, catapultes et trébuchets, tunnels et sapeurs avec des explosifs, machines de siège, marmites d'huile bouillante et même guerre biologique. La guerre de siège a une longue histoire, qui remonte à Ulysse et au cheval de Troie - l'ancêtre de l'attaque troyenne en cybersécurité. Mais le cheval de Troie a révélé le défaut fondamental des premières défenses : une fois que vous étiez à l'intérieur des murs, il n'y avait pas grand-chose à faire pour arrêter l'adversaire, à moins d'un effort héroïque de vos chevaliers et de votre milice à l'endroit de la brèche. Résister avec succès aux sièges n'est pas particulièrement courant dans l'histoire.

Au moins jusqu'à il y a une dizaine d'années, la cybersécurité adoptait une approche très similaire à la défense des réseaux. Des pare-feu puissants, des trous d'air, des systèmes de détection des intrusions et un personnel de défense du réseau en alerte constituaient la meilleure défense que l'on pouvait offrir en matière de cybersécurité. L'objectif était simple : empêcher l'adversaire - pirate amateur ou État-nation - d'accéder à vos systèmes. Les méthodes d'attaque étaient analogues à celles d'une guerre de siège : submerger les systèmes par des attaques par déni de service, des dépassements de tampon pour arrêter les systèmes à froid, des chevaux de Troie, etc.

Mais comme aux époques antique et médiévale, à mesure que les modèles économiques changeaient, les villes fortifiées ont constaté que les murs offraient de moins en moins de protection. Les menaces d'initiés, l'augmentation des activités commerciales et la présence de marchands, entre autres vecteurs, ont amené davantage de menaces à l'intérieur des murs de la ville et ont placé davantage de ressources et de personnes à l'extérieur des murs. Et ce, bien avant que les défenseurs ne se rendent compte qu'une attaque était en cours - un peu comme nos domaines numériques aujourd'hui. La peste bubonique, ou mort noire, pourrait facilement être considérée en termes de cybersécurité comme un ver particulièrement vicieux qui se propageait facilement dans la population et causait la mort de près d'une personne sur quatre. La peste entrait généralement dans les villes par les puces ou les rats, et non par un adversaire facilement visible. Mais dans le domaine de la cybersécurité, les pertes peuvent être bien plus importantes, comme Saudi Aramco l'a appris à ses dépens.

Il faudra plusieurs siècles pour que de nouvelles formes de défense apparaissent et supplantent les murs des villes et des châteaux comme forme privilégiée de protection d'un État-nation. Défendre un pays contre une corne d'abondance d'attaques n'est pas chose facile, et les problèmes ne sont pas simples, mais plutôt volatils, incertains, complexes et ambigus. L'échec le plus emblématique des défenses héritées du passé s'est produit au début de la Seconde Guerre mondiale, lorsque les Allemands ont tout simplement franchi et contourné la ligne Maginot française, contournant toutes les défenses et avançant rapidement vers Paris. Les Français, censés disposer de l'une des meilleures armées d'Europe continentale, ont quitté la guerre en moins de deux mois. Mais combattre dans les villes, avec une myriade de pièces, de murs, d'égouts, de populations potentiellement hostiles, etc., s'est avéré exponentiellement plus difficile et plus sanglant, comme les deux camps l'ont appris au cours des cinq années suivantes.

Repenser la cybersécurité

La cybersécurité est une activité continue, permanente et proactive, et non une tâche ou un point unique dans un processus. En tant que telle, elle nécessite une stratégie holistique comprenant des personnes, des processus et des technologies qui intègrent la sécurité à tous les niveaux, et non en aval, ce qui est souvent trop tard. Le cadre du NIST est une référence incroyablement utile pour élaborer une stratégie de risque numérique de bout en bout, car il définit de multiples couches de défense, de l'identification des risques à la récupération rapide des incidents à l'échelle de l'écosystème. Considérer la cybersécurité uniquement comme une question de construction d'une défense ne fait que créer des obstacles et ralentir les progrès. Mais si vous considérez que la cybersécurité couvre toutes les facettes de votre organisation, vous pouvez adopter une approche proactive et stimuler l'innovation numérique en tant que partie intrinsèque de votre cadre de sécurité.

Examinons de plus près les trois principaux facteurs qui influencent une stratégie holistique en matière de risque numérique et la manière dont ils influent sur l'identification et l'atténuation des risques :

• Le personnel - Tous les employés, des nouvelles recrues aux dirigeants, doivent comprendre comment une cyberattaque peut éroder la confiance dans l'organisation, et à quel point les conséquences peuvent être dommageables et profondes. L'intégration des pratiques de sécurité aux opérations commerciales et la formation continue pour améliorer la posture de sécurité d'une organisation ne sont pas des fonctions reléguées au département informatique. Au contraire, les entreprises doivent cultiver une culture de cyber-résilience à l'échelle de l'entreprise. En outre, il convient d'accorder une plus grande attention à l'identification des menaces potentielles émanant des initiés. 
• Procédure - Que se passe-t-il lorsqu'une violation de la sécurité ou une attaque se produit ? Si des incidents occasionnels sont inévitables dans les environnements numériques, il est essentiel de suivre une procédure de récupération rigoureuse. Apprenez-en le plus possible sur l'incident et partagez les informations de débriefing à travers votre entreprise étendue et votre écosystème numérique, y compris les partenaires, les clients et les autorités. Cela vous permettra de corriger les processus, les plans et la modélisation des scénarios de risque. C'est au cours de la phase de récupération du cadre NIST que votre posture de sécurité s'améliore, ce qui vous permet de battre plus rapidement le prochain événement tout en suscitant la confiance des parties prenantes.

N'oubliez pas non plus les partenaires de votre entreprise ; ils peuvent constituer votre première ligne de défense. Exigez d'eux qu'ils passent des certifications tout en soutenant une approche sécurisée du cycle de vie du développement du produit - de la conception du produit à l'intégration des systèmes du client, en passant par les services à valeur ajoutée qui surveillent les menaces potentielles et neutralisent les incidents s'ils se produisent. 

Il est essentiel de donner la priorité à la protection des actifs de grande valeur. McKinsey note que les entreprises peuvent réaliser des économies de 20 % sur le retour sur investissement de la cybersécurité en donnant la priorité aux seuls actifs cruciaux.

Dans un monde numérique, aucune entreprise ne peut devenir un château fort. À l'ère de la convergence rapide de l'informatique et de la télématique, chaque organisation est exposée à la menace de cyberattaques. Et à cette convergence, l'aspect technologique de la cybersécurité ne répond que partiellement au problème des cybermenaces permanentes. Les changements, les processus et la formation des employés à l'échelle de l'organisation doivent informer et soutenir la position de toute entreprise en matière de cybersécurité. La stratégie de cybersécurité doit être un sujet de conversation permanent pour toute entreprise engagée dans la transformation numérique, et le responsable de la sécurité doit avoir un siège régulier à la table. L'innovation numérique en dépend.

La conception de la résilience exige une approche nettement différente de celle de la sécurité. Mais comme les cyberattaques ne cessent de croître en rythme, en portée et en impact, nous devons concevoir et opérer pour la résilience afin de garantir que l'entreprise ou la mission ne perde pas irrévocablement la crédibilité et la confiance nécessaires pour survivre dans l'écosystème. Au-delà des approches pratiques telles que la défense en profondeur, les architectures de confiance zéro et les mécanismes de redondance ou de surveillance pour faire face aux comportements complexes ou émergents, l'approche doit séparer les systèmes des informations. Il s'agit non seulement de comprendre les résultats opérationnels souhaités que le couplage du système et des informations permet d'obtenir, mais aussi de rendre totalement transparents les flux de données et d'informations afin de permettre une défense résiliente des systèmes et des données. Cela doit se faire au niveau de l'écosystème, et non au niveau du système individuel ou de l'entreprise uniquement. Si l'on ne tient pas compte de la défense du programme, et pas seulement des produits, l'échec judiciaire et les conséquences qu'il entraîne.

Comme l'ancien commandant du corps des Marines, le général Robert Neller, l'a déclaré en 2019 : "Si vous me demandez si je pense que nous sommes en guerre, je pense que je dirais oui... Nous sommes en guerre en ce moment dans le cyberespace. Nous sommes en guerre depuis peut-être une décennie. Ils versent de la poix sur les murs du château tous les jours."

Dans un monde numérique, aucune entreprise ne peut devenir un château fort. À l'ère de la convergence rapide de l'informatique et de la télématique, chaque organisation est exposée à la menace de cyberattaques. Et à cette convergence, l'aspect technologique de la cybersécurité ne répond que partiellement au problème des cybermenaces permanentes. Les changements, les processus et la formation des employés à l'échelle de l'organisation doivent informer et soutenir la position de toute entreprise en matière de cybersécurité. La stratégie de cybersécurité doit être un sujet de conversation permanent pour toute entreprise engagée dans la transformation numérique, et le responsable de la sécurité doit avoir un siège régulier à la table. L'innovation numérique en dépend.

Je m'appelle Naully Nicolas. Je suis un consultant numérique, un analyste, un auteur et consultant en transformation numérique : je donne un sens au présent avec les leçons du passé. J'aide les dirigeants à évoluer grâce à la transformation numérique et j'élabore des stratégies en cultivant des expériences exceptionnelles, en me concentrant sur la nature humaine et l'intégrité. Je donne des conférences aux chefs d'entreprise et aux conseils d'administration sur la modernisation de leur société afin de satisfaire les demandes changeantes des consommateurs, mais je le fais avec des échantillons d'histoire, d'art, de théorie et de poésie.

Et pour ne rien rater, abonnez-vous à mes réseaux sociaux : @naullyn ou sur mon blog pour rester en contact.