Il y a 30 ans, je faisais connaissance avec les virus et la fameuse balle de ping pong qui se balladait sur l'écran. Parler sécurité, c'était parler de la sécurité physique des biens.
Il y a 15 ans, je faisais connaissance avec le monde de la sécurité : les premiers fournisseurs de service apparaissaient. Parler sécurité à un interlocuteur non averti était difficile : je parlais firewall, il comprenait renforcement de la disponibilité d'un site.
Aujourd'hui, j'écris un article sur un blog ouvert à tout le monde et tout le monde va me comprendre ! Parler sécurité n'est désormais plus limité à une caste de geeks qui ne jurent que par deux ou trois journaux spécialisés sur le sujet. En effet, tous les jours, on peut lire dans la presse de monsieur tout le monde un article relatant un scandale d'espionnage mandaté par une grande nation, une menace envers une banque ou un industriel de la chimie émanant d'une organisation que personne ne connaît mais qui a fini par devenir très célèbre ou encore de la révélation d'informations confidentielles dérobées à une grande entreprise.
cybersécurité et cybercriminalité : est-ce que l'on y perd ?
Ce type d'information est considéré très négatif du point de vue de la (potentielle) victime. Quoi de plus normal quand on est la vicitme ! D'ailleurs, il y a quelques jours, le Forum économique mondial communiquait sur le fait que l'impact de ce type de menaces pourrait coûter la bagatelle de 3 000 milliards de dollars en 2020. Personnellement, ce chiffre tout simplement énorme ne me parle pas vraiment... Alors, il suffit de le comparer à l'économie mondiale. Perdre 3 000 milliards, c'est tout simplement rayer l'Allemagne de la carte de l'économie mondiale. Chose impensable direz vous ! Et pourtant, certains l'ont imaginé.
Par contre, chose que les médias n'ont pas relayé, c'est que les 3 000 milliards étaient issus d'une évaluation en prenant uns hypothèse bien précise : les mondes public et privé baissent les bras face à ces menaces et se laissent faire. Une autre hypothèse prenait les menaces sous un angle beaucoup plus positif : et si ça boostait l'économie ? Et si ça forçait à être plus créatif ? Et si ça forçait à mieux envisager ces menaces ? Et si on se relevait plus fort après avoir pris une claque parce qu'on sait qu'il faut capitaliser sur ses échecs ? Et là, les chiffres révélés étaient tout autre. Ce n'est plus 3 000 milliards de perte mais 9 000 à 20 000 milliards de gains financiers. Ce n'est plus l'Allemagne qu'on rayerait mais c'est l'équivalent de l'économie chinoise ou américaine qu'on ajouterait.
Alors, apprenons de nos échecs, capitalisons, réagissons positivement et tout le monde en sortira gagnant (le monde de la sécurité sans doute un peu plus...).
apprendre de ses échecs
Premier réflexe alors : cyber sécurité ! C'est à dire réfléchir pour pouvoir agir dans l'urgence... mais de façon ordonnée. Gardons à l'esprit ceci :
- Une organisation qui applique une politique de sécurité en lien avec les menaces auxquelles elle fait face sait réagir face à un incident : elle est préparée à identifier la menace, elle est préparée à réagir, elle est préparée à mettre en place des plans d’actions dans l’urgence pour endiguer la menace (encore reste-t-il à appliquer tout ceci).
- La technologie seule ne suffit pas : il faut mettre en place une analyse des évènements et des process pour assurer une réactivité suffisante en lien avec la criticité de la ressource menacée.
- La sécurité à papa, c’est bien mais elle permet uniquement de définir des barrières de sécurité et donc de se prémunir de certaines menaces : il faut s’assurer/surveiller que personne ne dépasse ces barrières définies. En d’autres termes, pour revenir à quelque chose de plus matériel, on ferme les portes et les fenêtres pour éviter les intrusions. Malheureusement, même si celles-ci ont coûté les yeux de la tête, celles-ci restent vulnérables. Il faut donc vérifier que personne ne s’introduit par l’intermédiaire de détecteurs qui seront positionnés aux endroits stratégiques.
- Un incident est une formidable publicité. Même si la meilleure politique de sécurité existe et est appliquée sans aucun défaut (ça n'existe chez personne !), la sécurité à 100% n’existe pas : les incidents de sécurité permettent aux RSSI d’expliquer pourquoi il faut investir et expliquer ce que coûte un incident. Sans investissements, c'est open bar, c'est donc la multiplication des incidents, c'est donc 3 000 milliards qui partent en fumée en 2020.
- Enfin, même si les détecteurs d’incident sont présents et que les process existent, l’incident remet en cause la manière de détecter la menace... et de réagir. L'incident rappelle donc qu’il faut améliorer la détection, les process et l'organisation en analysant et en capitalisant sur ce qui n’a pas fonctionné... et ce qui a fonctionné !
conclusion : haut les coeurs
Même si la cyber sécurité avait été identifiée comme un échec lors du dernier FIC il y a quelques semaines, elle a un bien bel avenir devant elle. Et ce, dès lors qu'on a compris que dans la cyber sécurité, ce ne sont plus les vendeurs de technologie qui en sont les acteurs principaux mais bien les cibles potentielles elles mêmes qui doivent s'organiser pour se protéger :
- analyse de risque des métiers
- process
- organisation
- expertise
- technologie
- remise en question permanente
Sébastien
Crédit photo : © Syda Productions - Fotolia.com
Au sein d'Orange Business, je suis marketeur ! En tant que bon marketeur, je ne connais rien à la sécurité et encore moins à la technique. Cependant, mon parcours m'a permis d'acquérir une certaine expérience sur le domaine sécurité et surtout sur tout ce qui a attrait au service. Je ne me qualifierais donc pas comme expert de la sécurité mais plutôt comme expert du service dans le domaine de la sécurité. Et je revendique cette différence : la technologie de la sécurité sans le service qui va autour ne sert à rien. Mes domaines de prédilection sont les domaines dont je suis responsable au sein d'Orange Business : services de sécurité de l'infrastructure et services de gestion des risques. Expérience, faits réels, synthèse et réflexion personnels sont les bases de mes écrits.