Comment garantir sa cybersécurité
DigitalDroit des technologies et propriété intellectuelle

Maîtriser les risques et garantir la cycbersécurité au quotidien

Comment garantir sa cybersécurité

Interview Yves Duchesne, expert en cybersécurité et Directeur général d’Acceis

Peut-on maîtriser les risques dans un environnement hyper-connecté où l’on pense que les criminels ont un coup d’avance ?

Il est vrai que c’est une impression fréquente chez les professionnels et plus généralement chez les citoyens. Ils peuvent parfois penser que les cybercriminels (les « méchants ») ont toujours un coup d’avance et que finalement les équipes chargées de nous protéger les « gentils) jouent à un jeu du chat et de la souris sans fin, dans lequel ils sont systématiquement distancés par des attaquants à l’imagination sans limite, qui se renouvellent sans cesse et trouvent des parades à toutes les protections en place.

Cette image d’Epinal fait écho à d’autres situations bien connues, par exemple les cas de dopage dans le sport de haut niveau, pour lesquels le public nourrit la même impression d’impuissance des pouvoir sportifs.

Fort heureusement, la réalité est toute autre et c’est au contraire les professionnels de la cybersécurité qui ont une longueur d’avance sur les attaquants.

Cet avantage tient principalement à deux aspects :

Premièrement, sur le plan purement technique, il existe des moyens très efficaces de sécuriser ses activités. Grâce aux travaux de recherche de nombreuses organisations, des protocoles, des algorithmes, des normes ont vu le jour et permettent bien d’assurer sa sécurité. Pour prendre l’exemple de la cryptographie (la science de la protection des données), nous avons à notre disposition un arsenal technique très fourni et très efficace pour nous protéger. Un exemple très concret est l’utilisation de SSL/TLS, notamment dans le cadre de HTTPS pour la navigation web, qui apporte un très bon niveau de sécurité et de confiance.

Deuxièmement, sur le plan organisationnel, nous disposons de méthodologies de gestion du risque tout à fait matures pour assurer leur pleine maîtrise en entreprise. Nous avons largement capitalisé sur les démarches héritées d’autres industries, comme l’aéronautique, l’automobile, ou l’agroalimentaire, habitués de longue date à prendre en charge ces risques. On peut d’ailleurs faire un parallèle évident avec l’agroalimentaire et la méthode HACCP (Hazard Analysis and Critical Control Points), qui permet de gérer le risque sanitaire, dont les ressorts sont les mêmes que ceux que nous utilisons pour la cybersécurité : analyses de risque, politique de sécurité, audits réguliers, etc.

En définitive, le problème n’est pas d’avoir une longueur de retard par rapport aux attaquants. Nous avons tous les moyens nécessaires pour nous défendre efficacement. La vraie problématique réside dans leur correcte mise en œuvre. Elle nécessite une volonté ferme d’instaurer une vraie gouvernance de cybersécurité, de mettre en place les procédures adéquates et de veiller à leur bonne application, mais également une expertise technique pointue, pour implémenter avec précision tous les mécanismes de sécurité au sein des systèmes d’information.

C’est quoi la cybersécurité au quotidien ?

La cybersécurité au quotidien, c’est avant tout une cybersécurité au service d’un métier. La sécurité dans l’absolu, ça n’existe pas, on se défend toujours de quelque chose et surtout on défend toujours quelque chose. Notre métier, c’est de nous mettre au service du métier des autres.

Assurer la sécurité d’une entreprise, garantir qu’elle ne sera jamais victime d’une intrusion dans ses systèmes d’information et qu’elle ne connaîtra pas de fuite de donnée, c’est très simple : il suffit de réduire à zéro sa surface d’attaque, en déconnectant tous ses serveurs et en la privant d’Internet. Efficace, radical, mais surtout dramatique pour l’entreprise, dont l’outil de production est arrêté et qui ne peut plus exercer son propre métier.

A contrario, il est possible d’adopter la démarche inverse et de supprimer toute sécurité, pour fluidifier sa production et augmenter son efficacité commerciale. Malheureusement, aujourd’hui, ce n’est plus une option viable, car la cybercriminalité a atteint un tel niveau de professionnalisation et d’efficacité qu’une entreprise qui aurait adopté cette méthode de travail serait certaine de connaître des incidents de sécurité majeurs, grévant aussi sûrement sa capacité de production et l’empêchant avec tout autant de certitude d’exercer son métier.

Entre ces deux extrémités, il existe une voie médiane où la sécurité se met au service du métier de l’entreprise, où l’objectif est de permettre à tous de travailler efficacement dans les meilleures conditions de sécurité. C’est cela, la cybersécurité au quotidien.

Aussi, gérer le risque et assurer sa propre sécurité, ou celle de ses clients, c’est avant tout un métier de compromis et de justesse, qui doit placer un curseur au bon endroit. Le premier travail à mener et un inventaire des impératifs métiers, des obligations auxquelles l’entreprise ne peut pas déroger pour effectuer correctement son métier et assurer sa santé financière. C’est au service de ces impératifs, sans jamais les entraver, que la sécurité doit se déployer. Il faut également identifier ce que l’on redoute : quels sont les « trésors » que l’entreprise doit protéger, et quels sont les menaces qui pèsent sur eux ?

On peut alors imaginer une stratégie de cybersécurité, une politique de sécurité des systèmes d’information, qui doit à la fois mettre en place des protections efficaces contre les menaces identifiées et permettre aux professionnels d’exercer leur métier au mieux, dans de bonnes conditions. Cela se traduit très concrètement par la mise à disposition de moyens aux équipes, ainsi qu’à l’instauration d’une gouvernance claire et d’un budget dédiés à la gestion du risque de cybersécurité. Et surtout, il ne faut pas oublier le facteur humain, qui est souvent celui qui pêche, en proposant à ses collaborateurs de l’information, voire des séances de sensibilisation.

 

Laisser un commentaire