La cybersécurité c’est comme l’écologie : n’attendons pas le pied du mur pour réagir !

“Cela n’arrive pas, plus, qu’aux autres”. C’est désormais entendu et compris par toutes les directions générales et informatiques. La menace cyber fait partie intégrante de la vie quotidienne des entreprises, organismes publics, des États-nations. Qui le nie n’a certainement pris toute la mesure des forces en présence (activistes, hackers, espions, criminels) et de leurs motivations (financières, géopolitiques, espionnage industriel, renseignements, etc) ou bien encore des dégâts que peuvent faire les cyberattaques (pertes financières, mise à mal de la continuité de services, atteinte à la réputation, chute du cours de bourse, perte/vol de données, procès et amendes, mise en danger de la vie d’autrui). 

Nous sommes désormais bien renseignés et éduqués au risque cyber. Le travail de fond mené par l’Anssi, CyberMalveillance.gouv, mais également toutes les parties prenantes de l’écosystème cyber (fournisseurs de solution, Clusif, Cigref, analystes, etc.) y contribuent largement. L’actualité fait le reste : pas un jour ne passe sans qu’une attaque ne touche sa cible et fasse vaciller nos vies numériques, qu’il s’agisse des entreprises comme des particuliers d’ailleurs qui ne sont pas épargnés (chantage à la webcam, phishing, ransomware, etc.). SolarWinds, la récente attaque Microsoft Exchange Server ou bien encore les cyber actes criminels menés contre l’hôpital de Düsseldorf qui a causé le décès d’une patiente et celui de la ville Tampa en Floride touchant son infrastructure d’eau potable, sont parmi les plus retentissantes et nous rappellent que la menace est bel et bien réelle.  

Le jargon cyber-sécuritaire n’est pas toujours l’ami de ceux-là mêmes qui travaillent dans le domaine de la sécurité informatique. Nous voyons régulièrement des acheteurs de solutions, pressés de se mettre en conformité, qui peuvent tomber dans le piège de la communication toxique / alarmiste. Cela peut les conduire à négliger les aspects techniques ou liés à l’exploitation, avec ensuite une adoption difficile des outils par leurs utilisateurs, voire des solutions qui seront simplement laissées dans les cartons. Et de la même manière, des vendeurs qui, sortis des discours appris par cœur, ne maîtrisent pas totalement leurs outils et peinent à expliquer avec clarté ce que l’outil réalisera réellement.

C’est pourtant fondamental, d’autant plus que les mesures à prendre pour sécuriser ses réseaux sont loin d’être obscures. La base consiste à maîtriser son réseau pour le protéger efficacement, et utiliser des outils que l’on comprend dans leur fonctionnement et dans les informations qu’ils apportent. Ensuite, user de bon sens en se protégeant étape par étape, à commencer par les bases. Se reposer sur des méthodes robustes, comme EBIOS Risk Manager de l’ANSSI ou FAIR. S’appuyer sur des personnes au profil technique lors du choix des solutions, pour aller dans le détail de la compréhension du produit. Et ne pas négliger les assurances contre les risques cyber qui servent à amortir les chocs lorsque malheureusement, le risque survient. Ce cheminement vers une cybersécurité plus positive, va de pair avec des professionnels plus sereins et davantage reconnus dans leurs organisations, et permet à coup sûr d’améliorer les remparts face aux cybermenaces.

Je ne suis pas adepte du marketing de la peur. Je le trouve même contre-productif. La sécurité numérique doit être ouverte, inclusive et positive. Nous connaissons le problème cyber. Alors, plutôt que se focaliser sur le mal, intéressons-nous aux solutions dont nous disposons pour le contrer. Pourtant, sur le terrain, le constat est toujours le même : savoir n’est pas pouvoir ! 

Pourquoi réagissons-nous seulement au pied du mur ? 

Bon nombre d’organisations, publiques et privées, ont conscience du risque cyber. Pour autant, elles croisent les doigts pour ne pas être la prochaine victime des cyber-attaquants et criminels. Attentistes ? Non, elles manquent souvent de moyens humains et financiers pour s’équiper et parer les menaces qui pèsent sur elles. Savoir est une première étape, maintenant il faut donner aux responsables réseau / sécurité et métier les pleins pouvoirs. Le pouvoir de s’équiper à la hauteur de la menace. Le pouvoir financier et humain pour leur permettre de s’équiper à la hauteur de la menace et de recruter des équipes / experts qui œuvreront au quotidien à la prévention, détection et remédiation. Car je m’inscris à rebours des gros titres des médias qui décrivent le plus souvent l’Homme comme le maillon faible de la sécurité. Bien au contraire, il est à mon sens, la solution au problème. 

Les directions générale et financière doivent le placer au cœur de sa réponse face à la menace cyber. Elles doivent arrêter de considérer la cybersécurité comme on approche l’écologie et la cause environnementale. Si les discours alarmistes sur l’état de dégradation de notre planète ont permis, un temps, d’éveiller les consciences, aujourd’hui, il s’agit non plus de constater mais d’agir. Comme en cybersécurité, nous connaissons bien le problème et disposons d’un arsenal de solutions efficaces, plus ou moins rapides à mettre en œuvre. Tout est question de volonté et de moyens. L’Etat l’a bien compris en multipliant les campagnes de sensibilisation via l’ANSSI et CyberMalveillance.Gouv ou bien encore en lançant son plan cyber et campus dédié à la formation des futurs cyber experts. L’ANSSI va disposer d’un budget supplémentaire de 136 millions d’euros. Les grincheux diront que ce n’est pas suffisant. Je préfère y voir une démarche positive, une ambition enfin affirmée qui appellera sans doute une augmentation de capital dans les années à venir. 

La volonté est là. Donnons désormais les moyens. Recrutons, éduquons (encore et toujours) sur le risque cyber et capitalisons sur l’excellence française pour répondre aux défis des menaces et regagner notre souveraineté cyber et numérique. La France est une terre d’innovation et de recherches. Nous disposons de cerveaux, de talents et de solutions de protection efficaces. La preuve, il n’y a qu’à voir le rachat récent des pépites cyber françaises Alsid et Sqreen. Qu’attendons-nous dès lors pour prendre en main notre destin cyber et numérique ? Si comme en matière d’écologie, c’est au pied du mur que l’on réagit, alors nous y sommes ! 

The post La cybersécurité c’est comme l’écologie : n’attendons pas le pied du mur pour réagir ! first appeared on ProcuRSS.eu.